Oracle系统权限与对象权限

oracle权限分为:

系统权限: 允许用户执行特定的数据库动作，如创建表、创建索引、连接实例等。

对象权限: 允许用户操纵一些特定的对象，如读取视图，可更新某些列、执行存储过程等。

...

--系统权限

超过一百多种有效的权限(查询约209种)
SQL> select count(*) from system_privilege_map;
COUNT(*)
----------
209
...
数据库管理员具有高级权限以完成管理任务，例如:
– 创建新用户
– 删除用户
– 删除表
– 备份表
...
--常用的系统权限:
create session 创建会话
create sequence 创建序列
create synonym 创建同名对象
create table 在用户模式中创建表
create any table 在任何模式中创建表
drop table 在用户模式中删除表
drop any table 在任何模式中删除表
create procedure 创建存储过程
execute any procedure 执行任何模式的存储过程
create user 创建用户
drop user 删除用户
create view 创建视图
...
--授予系统权限
grant privilege [, privilege...] to user [, user| role, public...] [with admin option];
选项:
public 所有用户都有的角色
with admin option 使用户同样具有分配权限的权利，可将此权限授予别人
...
授予系统权限
1、创建用户...
2、授权
...
例：
链接到会话,创建表
grant create session,create table to test01;
创建表并且可以授权其他用户
grant create session to test01 with admin option;
注：
1）如果使用WITH ADMIN OPTION为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限。
2）系统权限无级联，即A授予B权限，B授予C权限，如果A收回B的权限，C的权限不受影响；系统权限可以跨用户回收，即A可以直接收回C用户的权限。
...
--执行任意存储过程权限
grant execute any procedure to test01;
注： execute any procedure 不能和 create any procedure 授权统一普通用户
--授权所有用户dba
grant dba to public --不能做的哈。。
移除所有用户的dba权限
revoke dba from public --不能做的哈。
...
--使用系统权限
创建test用户，默认表空间test，授权创建会话、链接数据库权限
create user test identified by test default tablespace test;
grant create session,connect to test;
--使用表空间权限
grant unlimited tablespace to test; --授权可以使用默认表空间的权限
conn itpux/itpux --链接会话
create table itpuxt1 as select * from user_tables; --在默认表空间创建表
--显示系统权限
dba_sys_privs --针对所有用户被授予的系统权限
user_sys_privs --针对当前登陆用户被授予的系统权限
--查看所有系统权限:
select * from system_privilege_map;
--显示用户所具有的系统权限:
select * from dba_sys_privs;
--显示当前用户所具有的系统权限:
select * from user_sys_privs;
--显示当前会话所具有的系统权限:
select * from session_privs;
--在sys用户下查TEST用户的权限
select * from dba_sys_privs where grantee='TEST';
select * from dba_sys_privs where grantee in ('TEST','SYSTEM') ;
select * from dba_sys_privs where grantee in ('TEST','SYSTEM') order by grantee ;
...
收回系统权限
--赋予系统权限
grant create table to test;
--收回赋予的系统权限
revoke create table from test;
注意:对于使用with admin option 为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限

...

--对象权限

不同的对象具有不同的对象权限

对象的拥有者拥有所有权限

对象的拥有者可以向外分配权限

oracle一共有8种对象权限

--对象授权
grant object_priv|all [(columns)] on object to {user|role|public} [with grant option];
all:所有对象权限
public:授给所有的用户
with grant option:允许用户再次给其它用户授权
conn /as sysdba;
grant select on scott.emp to test; --授权test查找scott.emp表的权限
grant select on scott.emp to public; --授权所有用户查找scott.emp表的权限
grant update(sal,mgr) on scott.emp to test with grant option;
conn itpux/itpux
select * from scott.emp;
update scott.emp set sal=sal+100;
授予系统权限与授予对象权限的语法差异:
授予对象权限时需要指定关键字on，从而能够确定权限所应用的对象, 对于表和视图可以指定特定的列来授权。
...
--查询权限分配情况
-- 数据字典视图
role_sys_privs
role_tab_privs
user_tab_privs_made
user_tab_privs_recd
user_col_privs_made
user_col_privs_recd
user_sys_privs
user_tab_privs
user_role_privs
...
--查询已授予的对象权限(即某个用户对哪些表对哪些用户开放了对象权限)
sql> conn scott/scott
sql> select * from user_tab_privs_made; --下面是scott用户开放的对象权限
--查询列上开放的对象权限
sql> select * from user_col_privs_made;
--查询已接受的对象特权(即某个用户被授予了哪些表上的哪些对象特权)
sql> select * from user_tab_privs_recd;
--查询用户已接受列的对象权限
sql> select * from user_col_privs_recd;
...
收回对象权限
--使用revoke 语句收回权限
使用with grant option 子句所分配的权限同样被收回
revoke {privilege [, privilege...]|all} --on object --from {user[, user...]|role|public} -- [cascade constraints];--收回权限
...
cascade constraints
为处理引用完整性时需要
对于要回收查询/修改列的权限，可以直接怼表级进行回收，不需要到具体列。
SQL> conn /as sysdba;
Connected.
SQL> revoke select on scott.emp from test;
Revoke succeeded.
SQL> revoke update(sal,mgr) on scott.emp from test;
revoke update(sal,mgr) on scott.emp from test
* ERROR at line 1:
ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column
SQL> revoke update on scott.emp from test;
Revoke succeeded.

...

--其它

检查dba权限的用户

select * from dba_role_privs where granted_role='dba';

--查看用户具有的系统权限:

select * from session_privs;

...

总结

使用create user语句创建用户，alter user语句修改用户，其语法大致相同 drop user username [cascade] 会删除用户所拥有的所有对象及数据。

系统权限允许用户在数据库中执行特定的操作，如执行ddl语句。

with admin option 使得该用户具有将自身获得的权限授予其它用户的功能。 但收回系统权限时，不会从其它帐户级联取消曾被授予的相同权限。

对象权限允许用户对数据库对象执行特定的操作，如执行dml语句。

with grant option 使得该用户具有将自身获得的对象权限授予其它用户的功能 但收回对象权限时，会从其它帐户级联取消曾被授予的相同权限。

系统权限与对象权限授予时的语法差异为对象权限使用了on object_name 子句。

public 为所有的用户

all:对象权限中的所有对象权限

...

PS：

--将某函数的执行权限赋个用户

grant execute on SYS.function1 to USER1;

--收回执行权限：

revoke execute on SYS.function1 from USER1;

在USER1用户下执行函数：

select SYS.function1('xxxxx') from dual;

--将一个用户的权限赋给另一个用户

GRANT use1 TO user2;

...

对于系统权限由sys来做
对于对象权限由 谁拥有谁授权
...
--系统权限：
grant create session to test;
grant create table to test;
grant unlimited tablespace to test;
revoke create session from test;
revoke create table from test;
revoke unlimited tablespase from test;
grant create session to public;  //表示把创建表的权限赋予所有人
select * from user_sys_privs;  //返回当前用户的所有系统权限
--对象权限
grant select on mytab to test;
grant all on mytab to test;
revoke select on mytab from test;
revoke all on mytab from test;
select * from user_tab_privs;  //返回当前用户所有的对象权限
--对象权限可以控制到列
grant update(name) on mytab to test;
grant insert(id) on mytab to test;
select * from user_col_privs;
...
注意、：查询和删除不能控制到列
需要有commit的 insert update insert
...
--权限的传递
--系统权限的传递：
grant alter table to A with admin option;
那么A可以通过把该权限传递给B，如果想B也可以传递下去那么可以也带上with admin option
grant alter table to B;
--对象权限的传递:
grant select on mytab to A with grant option;
那么A可以把在表mytab的select权限赋予给B，如果B想也能传递该select权限也可以带上with grant option
grant select on mytab to B;