经常谈到Oracle的权限,你究竟知道多少。

网友投稿 286 2022-11-05


经常谈到Oracle的权限,你究竟知道多少。

作者:三十而立

接着上面谈到的有关oracle的connect的权限,其实,我们可以发现,虽然我们经常谈及Oracle的权限,比如Connect,DBA,resource, sysdba, select any table, select_catelog_role这样一些权限,让我们眼花缭乱的,那么如何来区分这些种类繁多的privilege中不至于眼迷离呢,这个文章将会对你在这方面的了解起到帮助。

以上我们看到的这些权限,都是可以通过grant语句来进行权限赋予,同时也可以用过revoke来进行权限收回的操作的,但是,他们虽然都在grant里出现,但是有各自有着本质的不同。

oracle里的权限有两种权限,系统权限和对象权限,所谓系统权限,就是oracle里已经hardcode写死的权限,这些权限,我们是不能自己去扩展的,比如上面提到的select any table, create any table. create table等,这里的权限已经在oracle里全部规定好了,

我们可以通过查看system_privilege_map这个数据字典表来查看所以的oracle系统内置的权限。

SQL> select * from system_privilege_map;

PRIVILEGE NAME                                       PROPERTY

---------- ---------------------------------------- ----------

-3 ALTER SYSTEM                                      0

-4 AUDIT SYSTEM                                      0

-5 CREATE SESSION                                    0

-6 ALTER SESSION                                     0

-7 RESTRICTED SESSION                                0

这里就是所有的内置的系统权限了,其实如果有开发过权限系统的经验的话,对这里的这个概念,可以理解为function permission,也就是你可以进行哪些操作。

这里特别提到一个另外的知识点,有网游朋友问过我,create any table和create table有什么区别,create table只能老老实实的给自己的scheam创建表,而不能以create table otherschema.tablename这样的方式给其他的schema创建表。额外提到这点,有很多朋友这块还是模糊的。

oracle通过数据字典表dba_sys_privs这个表来记录user被赋予的系统权限,比如

我们现在执行

SQL>grant select any table to test1; -- 把select any table的权限赋予test1这个用户

Grant succeeded

SQL> select * from dba_sys_privs where grantee = 'TEST1';

GRANTEE                        PRIVILEGE                                ADMIN_OPTION

------------------------------ ---------------------------------------- ------------

TEST1                          SELECT ANY TABLE                         NO

这里就可以查询到这个记录了。 admin_option表示的是是否有把当前这个系统权限grant给其他用户的意思。yes 表示test1除了自己有这个权限,还可以把这个权限赋予其他用户。N就是没有grant的权限了。

我们可以用一下语句试试

SQL> grant select any table to test1 with admin option;

Grant succeeded

在来看看刚才的记录

GRANTEE                        PRIVILEGE                                ADMIN_OPTION

------------------------------ ---------------------------------------- ------------

TEST1                          SELECT ANY TABLE                         YES

现在test1就可以赋予select any table给别的用户了。

下面我们看看object permission,其实这里已经名字就可以区分开了,这里是针对于特定的对象的权限,上面的系统权限是限定了可以操作的功能,而object permission就更细化了,具体到了莫个对象你可以操作的功能的权限,

比如 A用户建立了一个TableA表,现在为了让B用户可以看到A这个对象,我们就可以把A.table的select权限 进行赋予。 这里的A.table上的select权限就是一个对象权限

除了select,还有update,delete,insert,alter,drop,index,references这样正对于对象的权限。

除了可以给表对象指定对象权限外,view,sequence,procedure,function,package,triggger,MV等这些oracle里的对象都可以进行对象的权限指定。

对于对象权限来说,由于对象权限完全是动态的,在对一个对象进行grant的时候,才能看到具体的对象权限,所以对象权限是不像system privilege那样有一个表来描述的,只有一个表来记录用户和这个用户对于的对象权限的关系表。这个表就是dba_tab_privs;

这里这个名字比较容易让人误会为只有table的对象权限,其实不然,这里其他类型的对象的对象权限也会记录进来

实验一下。还是刚才的test1用户。我现在把对象dbms_xplan的execute的权限给他。dbms_xplan这个有些朋友可能不熟悉,这是执行计划有关的一个对象,朋友们如果没有安装执行计划的包。可以用dbms_output对象做实验

SQL>grant execute on dbms_xplan to test1;

SQL>grant execute on dbms_output to test1;

SQL> select * from dba_tab_privs where grantee = 'TEST1';

GRANTEE                        OWNER                          TABLE_NAME                     GRANTOR                        PRIVILEGE                                GRANTABLE HIERARCHY

------------------------------ ------------------------------ ------------------------------ ------------------------------ ---------------------------------------- --------- ---------

TEST1                          SYS                            DBMS_XPLAN                     SYS                            EXECUTE                                  NO        NO

TEST1                          SYS                            DBMS_OUTPUT                    SYS                            EXECUTE

这里注意和fuanction 不同的,这里有一个GRANTABLE的字段,意味和上面admin option一样的作用

不过这里的sql不同了

SQL>grant execute on dbms_xplan to test1 with grant option;

这里是oracle里的权限了,

不过有的人可能会问道,咦,你是不是漏掉了,不是我们还可以

grant connect, resource, dba to username;吗,那她们都是什么权限呀。

在这里就要注意了,这里的connct resource dba都不是权限,而是一个role,角色,一个角色是1个或者多个系统权限或者对象权限的集合。 是便于我们管理用户赋权而演化而来的, 这里的create role和赋予role权限我们就不详谈了,朋友们可以自己查一查相关资料。role是我们可以动态建立的,建立的role可以用grant来赋予权限,或者把一个role赋予另一个role。

我们可以通过dba_roles这个表来查询系统里所有的role。

SQL> select * from dba_roles;

ROLE                           PASSWORD_REQUIRED

------------------------------ -----------------

CONNECT                        NO

RESOURCE                       NO

DBA                            NO

SELECT_CATALOG_ROLE            NO

EXECUTE_CATALOG_ROLE           NO

DELETE_CATALOG_ROLE            NO

我们可以把role的赋予一个用户

比如

SQL>grant select_catalog_role to test1;

我们可以通过dba_role_privs来查询相关用户的role的赋予,比如

SQL> select * from dba_role_privs where grantee = 'TEST1';

GRANTEE                        GRANTED_ROLE                   ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST1                          CONNECT                        NO           YES

TEST1                          RESOURCE                       NO           YES

TEST1                          PLUSTRACE                      NO           YES

TEST1                          SELECT_CATALOG_ROLE            NO           YES

这里有admin_option的选项和上面一样。

最后我们在来看看sysdba和sysoper,我们也可以在grant里指定这两个权限,但是他们并不是权限,也不能理解为角色,我这里个人把他们理解为身份,是登录数据库的一种身份,这样一说你是不是有影响了、我们总是有 sqlplus / as sysdab这样的使用,其实这里的sysdba是一种身份。

SQL>grant sysdba to test1;

SQL>grant sysoper to test1;

SQL> select * from V$pwfile_users where username = 'TEST1';

USERNAME                       SYSDBA SYSOPER

------------------------------ ------ -------

TEST1                          TRUE   TRUE

这里是通过动态视图V$pwfile_users来查的,和上面一些数据表不同,这个是一个动态视图,是从密码文件里读出来的。

以上就是个人对oracle的权限的总结。然后这里仅是一斑窥豹而已,oracle是个很系统的体系结构,我们只有从每个知识点深入进去,对每个知识点不纠其烦的仔细研究,才有可能能正真的认知到oracle的知识。这才是oracle的迷人之处。

如果没有那句“三十而立”,三十岁的男人正可以轻轻松松


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:程序员谈如何掌握计算机专业英语以及8个好习惯
下一篇:ems查询API(国际EMS查询)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~