Oracle角色管理

角色就是相關許可權的命令集合，使用角色的主要目的就是為了簡化許可權的管理。
1. 串連資料庫
2. 在scott.emp表上select，insert，update。
如果採用直接授權操作，則需要進行12次授權。
因為要進行12次授權操作，所以比較麻煩喔！怎麼辦？
如果我們採用角色就可以簡化：
首先將creat session，select on scott.emp，insert on scott.emp， update on scott.emp授予角色，然後將該角色授予a，b，c使用者，這樣就可以三次授權搞定。
角色分為預定義和自訂角色兩類：
1. 預定義角色
    預定義角色是指oracle所提供的角色，每種角色都用於執行一些特定的管理工作，下面我們介紹常用的預定義角connect,resource,dba
(1). connect角色
      connect角色具有一般應用開發人員需要的大部分許可權，當建立了一個使用者後，多數情況下，只要給使用者授予connect和resource角色就夠了，那麼connect角色具有哪些系統許可權呢？
alter session
create cluster
create  database link
create session
create table
create view
create sequence
(2). resource角色
      resource角色具有應用開發人員所需要的其它許可權，比如建立預存程序，觸發器等。這裡需要注意的是resource角色隱含了unlimited tablespace系統許可權。
resource角色包含以下系統許可權：
create cluster
create indextype
create table
create sequence
create type
create procedure
create trigger
(3). dba角色
      dba角色具有所有的系統許可權，及with admin option選項，預設的dba使用者為sys和system，它們可以將任何系統許可權授予其他使用者。但是要注意的是dba角色不具備sysdba和sysoper的特權（啟動和關閉資料庫）。
2.  自訂角色
     顧名思義就是自己定義的角色，根據自己的需要來定義。一般是dba來建立，如果用別的使用者來建立，則需要具有create role的系統許可權。在建立角色時可以指定驗證方式（不驗證，資料庫驗證等）。
(1). 建立角色（不驗證）
      如果角色是公用的角色，可以採用不驗證的方式建立角色。
      create role 角色名稱 not identified;
(2). 建立角色（資料庫驗證）
      採用這樣的方式時，角色名稱、口令存放在資料庫中。當啟用該角色時，必須提供口令。在建立這種角色時，需要為其提供口令。
      create role 角色名稱 identified by 密碼;
3.  角色授權
     當建立角色時，角色沒有任何許可權，為了使得角色完成特定任務，必須為其授予相應的系統許可權和對象許可權。
(1). 給角色授權
      給角色授予許可權和給使用者授權沒有太多區別，但是要注意，系統許可權的unlimited tablespace和對象許可權的with grant option選項是不能授予角色的。
      conn system/manager;
      grant create session to 角色名稱 with admin option
      conn scott/tiger@myoral;
      grant select on scott.emp to 角色名稱;
      grant insert, update, delete on scott.emp to 角色名稱;
      通過上面的步驟，就給角色授權了。
(2). 分配角色給某個使用者
      一般分配角色是由dba來完成的，如果要以其它使用者身份分配角色，則要求使用者必須具有grant any role的系統許可權。
      conn system/manager;
      grant 角色名稱 to blake with admin option;
      因為我給了with admin option選項，所以，blake可以把system分配給它的角色指派給別的使用者。
4.  刪除角色
     使用drop role，一般是dba來執行，如果其它使用者則要求該使用者具有drop any role系統許可權。
     conn system/manager;
     drop role 角色名稱;
     問題：如果角色被刪除，那麼被授予角色的使用者是否還具有之前角色裡的許可權？
     答案：不具有了
5.  顯示角色資訊
(1). 顯示所有角色
       select * from dba_roles;
(2). 顯示角色具有的系統許可權
      select privilege, admin_option from role_sys_privs where role='角色名稱';
(3). 顯示角色具有的對象許可權
      通過查詢資料字典視圖dba_tab_privs可以查看角色具有的對象許可權或是列的許可權。
(4). 顯示使用者具有的角色，及預設角色
      當以使用者的身份串連到資料庫時，oracle會自動的啟用預設的角色，通過查詢資料字典視圖dba_role_privs可以顯示某個使用者具有的所有角色及當前預設的角色。
      select granted_role, default_role from dba_role_privs where grantee = '使用者名稱';