oracle10 权限角色

管理权限和角色 
介绍

这一部分我们主要看看oracle中如何管理权限和角色，权限和角色的区别在那里。
  当刚刚建立用户时，用户没有任何权限，也不能执行任何操作,oracle数据库会自动创建一个方案，方案名和用户名一样，方案里面有数据对象（表、视图、触发器、存储过程），。如果要执行某种特定的数据库操作，则必须为其授予系统的权限；如果用户要访问其它方案（其他用户）的数据对象，则必须为其授予对象的权限。为了简化权限的管理，可以使用角色（一个角色里面可以包含对应的系统权限和对象权限）。这里我们会详细的介绍。看图： 

权限
 权限
权限是指执行特定类型sql命令或是访问其它方案对象的权利，包括系统权限和对象权限两种。 

系统权限
 系统权限介绍
  系统权限是指执行特定类型sql命令的权利。它用于控制用户可以执行的一个或是一组数据库操作。比如当用户具有create table权限时，可以在其方案中建表，当用户具有create any table权限时，可以在任何方案中建表。oracle提供了140多种系统权限。
常用的有：
create session 连接数据库（登录，seesion是会话的意思）        
create table    建表
create view   建视图            
create public synonym   建同义词
create procedure 建过程、函数、包  
create trigger 建触发器
create cluster 建簇 

 显示系统权限
oracle提供了100多种系统权限，而且oracle的版本越高，提供的系统权限就越多，我们可以查询数据字典视图system_privilege_map，可以显示所有系统权限。
select * from system_privilege_map order by name; 

授予系统权限
  一般情况，授予系统权限是由dba完成的，如果用其他用户来授予系统权限，则要求该用户必须具有grant any privilege的系统权限。在授予系统权限时，可以带有with admin option选项，这样，被授予权限的用户或是角色还可以将该系统权限(只能是别人授予他的，没有授予给他的不能继续传递)授予其它的用户或是角色。为了让大家快速理解，我们举例说明：
.创建两个用户ken，tom。初始阶段他们没有任何权限，如果登录就会给出错误的信息。
create user ken identfied by ;
 给用户ken授权
). grant create session, create table to ken with admin option;
). grant create view to ken;
 给用户tom授权
我们可以通过ken给tom授权，因为with admin option是加上的。当然也可以通过dba给tom授权，我们就用ken给tom授权：
. grant create session, create table to tom;
. grant create view to ken;  --ok吗？不ok 

回收系统权限
  一般情况下，回收系统权限是dba来完成的，如果其它的用户来回收系统权限，要求该用户必须具有相应系统权限及转授系统权限的选项（with admin option）。回收系统权限使用revoke来完成。
  当回收了系统权限后，用户就不能执行相应的操作了，但是请注意，系统权限级联收回的问题?[不是级联回收！]
system --------->ken ---------->tom
(create session)(create session)( create session)
用system执行如下操作：
revoke create session from ken;  --请思考tom还能登录吗？
答案：能，可以登录 

对象权限
  指访问其它方案对象（其他用户）的权利，用户可以直接访问自己方案的对象，但是如果要访问别的方案的对象，则必须具有对象的权限。
比如smith用户要访问scott.emp表（scott：方案，emp：表）
常用的有：
alter 修改
delete 删除 
select 查询
insert 添加
update 修改
index 索引 
references 引用
execute 执行
 显示对象权限：
  通过数据字段视图可以显示用户或是角色所具有的对象权限。视图为dba_tab_privs
SQL> conn system/manager;
SQL> select distinct privilege from dba_tab_privs;
SQL> select grantor, owner, table_name, privilege from dba_tab_privs where grantee = 'BLAKE'; 

.授予对象权限
在oracle9i前，授予对象权限是由对象的所有者来完成的，如果用其它的用户来操作，则需要用户具有相应的（with grant option）权限，从oracle9i开始，dba用户（sys，system）可以将任何对象上的对象权限授予其它用户。授予对象权限是用grant命令来完成的。
  对象权限可以授予用户，角色，和public。在授予权限时，如果带有with grant option选项，则可以将该权限转授给其它用户。但是要注意with grant option选项不能被授予角色。
.monkey用户要操作scott.emp表，则必须授予相应的对象权限
). 希望monkey可以查询scott.emp表的数据，怎样操作？
   grant select on emp to monkey;
). 希望monkey可以修改scott.emp的表数据，怎样操作？
   grant update on emp to monkey;
). 希望monkey可以删除scott.emp的表数据，怎样操作？
   grant delete on emp to monkey;
). 有没有更加简单的方法，一次把所有权限赋给monkey？
   grant all on emp to monkey; 

.能否对monkey访问权限更加精细控制。（授予列权限）
). 希望monkey只可以修改scott.emp的表的sal字段，怎样操作？
   grant update on emp(sal) to monkey
).希望monkey只可以查询scott.emp的表的ename，sal数据，怎样操作？
   grant select on emp(ename,sal) to monkey
...
.授予alter权限
如果black用户要修改scott.emp表的结构，则必须授予alter对象权限
SQL> conn scott/tiger
SQL> grant alter on emp to blake;
当然也可以用system，sys来完成这件事。
.授予execute权限
如果用户想要执行其它方案的包/过程/函数，则须有execute权限。
比如为了让ken可以执行包dbms_transaction，可以授予execute权限。
SQL> conn system/manager
SQL> grant execute on dbms_transaction to ken;
.授予index权限
如果想在别的方案的表上建立索引，则必须具有index对象权限。
如果为了让black可以在scott.emp表上建立索引，就给其index的对象权限
SQL> conn scott/tiger
SQL> grant index on scott.emp to blake;
.使用with grant option选项
该选项用于转授对象权限。但是该选项只能被授予用户，而不能授予角色
SQL> conn scott/tiger;
SQL> grant select on emp to blake with grant option;
SQL> conn black/shunping
SQL> grant select on scott.emp to jones; 

 回收对象权限
  在oracle9i中，收回对象的权限可以由对象的所有者来完成，也可以用dba用户（sys，system）来完成。
  这里要说明的是：收回对象权限后，用户就不能执行相应的sql命令，但是要注意的是对象的权限是否会被级联收回？【级联回收】
如：scott------------->blake-------------->jones
   select on emp     select on emp       select on emp
SQL> conn scott/tiger@accp
SQL> revoke select on emp from blake
请大家思考，jones能否查询scott.emp表数据。
答案：查不了了（和系统权限不一样，刚好相反） 

十五：角色
角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理，假定有用户a，b，c为了让他们都拥有权限
. 连接数据库
. 在scott.emp表上select，insert，update。
如果采用直接授权操作，则需要进行12次授权。
因为要进行12次授权操作，所以比较麻烦喔！怎么办？ 

  如果我们采用角色就可以简化：
  首先将creat session，select on scott.emp，insert on scott.emp， update on scott.emp授予角色，然后将该角色授予a，b，c用户，这样就可以三次授权搞定。
  角色分为预定义和自定义角色两类：
 预定义角色
预定义角色是指oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面我们介绍常用的预定义角色connect，resource，dba
.connect角色
connect角色具有一般应用开发人员需要的大部分权限，当建立了一个用户后，多数情况下，只要给用户授予connect和resource角色就够了，那么connect角色具有哪些系统权限呢？
alter session 修改会话
create cluster 修改簇
create  database link 修改数据库链接
create session 连接数据库
create table 创建表
create view 创建视图
create sequence 创建序列

.resource角色
  resource角色具有应用开发人员所需要的其它权限，比如建立存储过程，触发器等。这里需要注意的是resource角色隐含了unlimited tablespace系统权限。
resource角色包含以下系统权限：
create cluster
create indextype
create table
create sequence
create type
create procedure
create trigger
.dba角色
dba角色具有所有的系统权限，及with admin option选项，默认的dba用户为sys和system，它们可以将任何系统权限授予其他用户。但是要注意的是dba角色不具备sysdba和sysoper的特权（启动和关闭数据库）。 

 自定义角色
顾名思义就是自己定义的角色，根据自己的需要来定义。一般是dba来建立，如果用别的用户来建立，则需要具有create role的系统权限。在建立角色时可以指定验证方式（不验证，数据库验证等）。
.建立角色（不验证）
如果角色是公用的角色，可以采用不验证的方式建立角色。
  create role 角色名 not identified;
.建立角色（数据库验证）
  采用这样的方式时，角色名、口令存放在数据库中。当激活该角色时，必须提供口令。在建立这种角色时，需要为其提供口令（以后修改角色的权限要提供口令）。
create role 角色名 identified by 密码; 

    角色授权
当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。
.给角色授权
  给角色授予权限和给用户授权没有太多区别，但是要注意，系统权限的unlimited tablespace和对象权限的with grant option选项是不能用在授予角色中的只能用于授予用户中。
SQL> conn system/manager;
SQL> grant create session to 角色名 with admin option（create session是连接数据库权限，是系统权限）
SQL> conn scott/tiger@myoral; （最好是谁的表就给这个角色授予相应的权限）
SQL> grant select on scott.emp to 角色名;
SQL> grant insert, update, delete on scott.emp to 角色名;
通过上面的步骤，就给角色授权了。
.分配角色给某个用户
  一般分配角色是由dba来完成的，如果要以其它用户身份分配角色，则要求用户必须具有grant any role的系统权限。
SQL> conn system/manager;
SQL> grant 角色名 to blake with admin option;
因为我给了with admin option选项，所以，blake可以把system分配给它的角色分配给别的用户（blake就可以连接数据库，并且可以查询scoot的emp表）。 

 删除角色
  使用drop role，一般是dba来执行，如果其它用户则要求该用户具有drop any role系统权限。
SQL> conn system/manager;
SQL> drop role 角色名;
问题：如果角色被删除，那么被授予角色的用户是否还具有之前角色里的权限？
答案：不具有了 

显示角色信息
.显示所有角色
SQL> select * from dba_roles;
.显示角色具有的系统权限
SQL> select privilege, admin_option from role_sys_privs where role='角色名';
.显示角色具有的对象权限
  通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。
.显示用户具有的角色，及默认角色
  当以用户的身份连接到数据库时，oracle会自动的激活默认的角色，通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色及当前默认的角色
SQL> select granted_role, default_role from dba_role_privs where grantee = ‘用户名’; 

 精细访问控制
  精细访问控制是指用户可以使用函数，策略实现更加细微的安全访问控制。如果使用精细访问控制，则当在客户端发出sql语句（select，insert，update，delete）时，oracle会自动在sql语句后追加谓词（where子句），并执行新的sql语句，通过这样的控制，可以使得不同的数据库用户在访问相同表时，返回不同的数据信息，如：
用户 scott    blake     jones
策略   emp_access
       数据库表 emp
如上图所示，通过策略emp_access，用户scott，black，jones在执行相同的sql语句时，可以返回不同的结果。例如：当执行select ename from emp; 时，根据实际情况可以返回不同的结果。