在Oracle中,用户的权限分为哪几类?
权限是指执行特定类型SQL命令或访问其他用户对象的权利,包括系统权限(System Privilege)、对象权限(Object Privilege)、角色权限(Role Privilege)、列权限。
(一)系统权限
系统权限是指执行特定类型SQL命令的权利。它用于控制用户可以执行的一个或是一组数据库操作。通过查询系统表SYSTEM_PRIVILEGE_MAP可以获取所有系统权限,查询视图DBA_SYS_PRIVS可以获取每个用户拥有的系统权限。以下示例显示了SCOTT用户具有的系统权限:
1SYS@lhrdb> SELECT * FROM DBA_SYS_PRIVS D WHERE D.GRANTEE='SCOTT';
2GRANTEE PRIVILEGE ADMIN_OPTION
3----------- ----------------------- ---------------
4SCOTT UNLIMITED TABLESPACE NO
一般情况,授予系统权限是由DBA完成的,如果用其他用户来授予系统权限,那么要求该用户必须具有GRANT ANY PRIVILEGE的系统权限。在授予系统权限时,可以带有WITH ADMIN OPTION选项,这样,被授予权限的用户或角色还可以将该系统权限授予其他的用户或角色。
(二)对象权限
对象权限指访问其它用户(SCHEMA)对象的权利,用户可以直接访问自己用户的对象,但是如果要访问别的用户的对象,那么必须具有该对象的相应权限。常用的对象权限有:ALTER、DELETE、SELECT、INSERT、UPDATE等。通过数据字段视图DBA_TAB_PRIVS可以查询用户或角色所具有的对象权限。下列示例列举出了所有的对象权限的种类:
1SYS@lhrdb> SELECT DISTINCT PRIVILEGE FROM DBA_TAB_PRIVS;
2PRIVILEGE
3----------------------------------------
4EXECUTE
5FLASHBACK
6DEQUEUE
7ON COMMIT REFRESH
8ALTER
9DELETE
10UPDATE
11DEBUG
12QUERY REWRITE
13SELECT
14READ
15USE
16WRITE
17INSERT
18INDEX
19REFERENCES
20MERGE VIEW
2117 rows selected.
可以单独赋权,也可以多个权限用逗号隔开:
1
2GRANT SELECT ON EMP TO LHR;
3GRANT UPDATE ON EMP TO LHR;
4GRANT DELETE ON EMP TO LHR;
5GRANT UPDATE,DELETE,INSERT ON EMP TO LHR;
6也可以使用ALL来赋权:
7GRANT ALL ON EMP TO LHR;
8需要注意的是,系统权限和对象权限不能放在一个GRANT语句中进行授权,分开单独授权即可,否则会报错:
9SYS@oradg11g > GRANT CREATE TABLE, SELECT ON oe.Orders TO lhr;
10 GRANT CREATE TABLE, SELECT ON oe.Orders TO lhr
11 *
12ERROR at line 1:
13ORA-00990: missing or invalid privilege
14
15SYS@oradg11g > GRANT SELECT ON oe.Orders to lhr;
16
17Grant succeeded.
18
19SYS@oradg11g > GRANT CREATE TABLE to lhr;
20
21Grant succeeded.
(三)列权限
可以基于列进行赋权,只不过只能赋予INSERT、REFERENCES和UPDATE的权限,举例如下:
1GRANT UPDATE (ENAME,SAL) ON EMP TO LHR;
基于列的权限可以查询DBA_COL_PRIVS视图。
(四)角色权限
角色即用户权限的集合,可以对用户直接赋予某一个角色,这样,该用户就拥有了角色的所有权限。如果想查询角色所拥有的权限,那么可以通过视图DBA_SYS_PRIVS来查询;如果想查询某个用户拥有哪些角色,那么可以通过视图DBA_ROLE_PRIVS来查询。Oracle预定义角色请参考:【3.1.2 Oracle有哪些预定义角色?】。
角色权限需要注意默认角色(Default Role)的问题。一个用户一旦被赋予某个角色之后,其默认角色为YES,即角色权限处于激活状态,该角色拥有的权限是生效的;若默认角色为NO,则代表目标用户被赋予了某个角色,但是该角色拥有的权限并没有生效。可以使用如下SQL语句让角色生效:
1ALTER USER LHRTEST DEFAULT ROLE CONNECT;--设置LHRTEST用户的默认角色为CONNECT,让该用户其它角色失效
2SET ROLE RESOURCE; --让当前用户的RESOURCE角色生效
3ALTER USER LHRTEST DEFAULT ROLE ALL;--所有角色生效
有关权限角色的更多内容可以参考:http://blog.itpub.net/26736162/viewspace-2140769/。
本文选自《Oracle程序员面试笔试宝典》,作者:李华荣。
---------------优质麦课------------
详细内容可以添加麦老师微信或QQ私聊。
● 本文作者:小麦苗,只专注于数据库的技术,更注重技术的运用
● 作者博客地址:http://blog.itpub.net/26736162/abstract/1/
● 本系列题目来源于作者的学习笔记,部分整理自网络,若有侵权或不当之处还请谅解
● 版权所有,欢迎分享本文,转载请保留出处
● QQ:646634621 QQ群:618766405
● 提供OCP、OCM和高可用部分最实用的技能培训
● 题目解答若有不当之处,还望各位朋友批评指正,共同进步
长按下图识别二维码或微信扫描下图二维码来关注小麦苗的微信公众号:xiaomaimiaolhr,学习最实用的数据库技术。
