Oracle权限和角色管理概述

Object Privileges 权限可以级联收回revoke select on scott.empfrom sj;-----------通过sj再赋予其他用户的权限在此语句执行后

Oracle的权限有两种：

system privileges:用户所做的操作会对数据字典造成影响；

object privileges:用户所做的操作会对数据造成影响；

System Privilege：

大概有200多个系统权限，常用的系统权限包括：

GRANTprivilege1,privilege2 TO username;

grantcreate table to scott with admin option;

connectscott/tiger;

grantcreate table to sj;

用户scott只能在自己的schema中建立表

用户sj也只能在自己的schema中建立表

如果将scott的该权限收获，sj的权限将依旧存在；

--查看用户所拥有的权限，并且看其是否可以继续授权

select * fromdba_sys_privs where grantee='SJ';

授予any table权限的，任然不能操作SYS表空间中的表；

Object Privileges

可以将select，update,delete,insert,alter,execute等DML操作权限赋给用户，可以针对表，也可以针对表中的某些列,例:

grantselect on scott.emp to sj;

grant update (order_status) on scott.orders to sj;--在列这个级别分配会造出严重的系统负担；

grant allon scott.regions to sj;

Object Privileges 权限可以级联收回

revoke select on scott.empfrom sj;-----------通过sj再赋予其他用户的权限在此语句执行后都将收回；

创建和管理角色

--查看用户所拥有的角色，并查看是否可以继续授权

select * fromdba_role_privs where grantee='SJ';

A role isbundle of system and/or object privileges that can be granted and revoked as aunit, and having been granted can betemporarily activated or deactivated with in a session;

CREATE ROLE rolename；

角色的名字不能和现有用户的用户名重复，，也不能和现有的角色名重复；

createrole hr_junior;

grantcreate session to hr_junior;

grantselect on hr.regions to hr_junior

createrole hr_senior;

granthr_junior to hr_senior with admin option;

grantupdate on hr.regions to hr_senior;

createrole hr_manager;

granthr_senior to hr_manager with admin option;

grant allon hr.regions to hr_manager;

和system privileges权限的收回方式一样，role的收回也是不能级联进行的；

预先定义好的角色：

there isalso a predefined role PUBLIC, which is always granted to every database useraccount;

例：grant select on hr.regions topublic;------通过执行这个语句，系统中的所有用户都可以获得对这个表的select权限；

--将一个用户的默认角色失效

ALTER UESR sj DEFAULT ROLE NONE;--当sj用户登录的时候，它没有任何可用的角色，甚至不能登录；

grant connect to sj --将登录角色赋给sj

alter user sj default role connect;---将登录角色作为sj的默认角色

SET ROLE rolename；

CTRATEROLE rolename IDENTIFIED USING procedure_name;