Oracle使用者、許可權、角色管理

本文轉自：http://dusong.blog.51cto.com/158065/139284  Oracle 使用權限設定
一、許可權分類：
系統許可權：系統規定使用者使用資料庫的許可權。（系統許可權是對使用者而言)。實體許可權：某種許可權使用者對其它使用者的表或視圖的存取許可權。（是針對錶或視圖而言的）。  二、系統許可權管理：
1、系統許可權分類：
         DBA: 擁有全部特權，是系統最高許可權，只有DBA才可以建立資料庫結構。         RESOURCE:擁有Resource許可權的使用者只可以建立實體，不可以建立資料庫結構。         CONNECT:擁有Connect許可權的使用者只可以登入Oracle，不可以建立實體，不可以建立資料庫結構。         對於普通使用者：授予connect, resource許可權。
         對於DBA系統管理使用者：授予connect，resource, dba許可權。 2、系統許可權授權命令：
        [系統許可權只能由DBA使用者授出：sys, system(最開始只能是這兩個使用者)]
        授權命令：SQL> grant connect, resource, dba to 使用者名稱1 [,使用者名稱2]...;        [普通使用者通過授權可以具有與system相同的使用者權限，但永遠不能達到與sys使用者相同的許可權，system使用者的許可權也可以被回收。]例：

SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;

查詢使用者擁有哪裡許可權：

SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs;

刪除使用者：SQL> drop user 使用者名稱 cascade;  //加上cascade則將使用者連同其建立的東西全部刪除 3、系統許可權傳遞：
         增加WITH ADMIN OPTION選項，則得到的許可權可以傳遞。         SQL> grant connect, resorce to user50 with admin option;  //可以傳遞所獲許可權。 4、系統許可權回收：系統許可權只能由DBA使用者回收
        命令：SQL> Revoke connect, resource from user50;        系統許可權無級聯，即A授予B許可權，B授予C許可權，如果A收回B的許可權，C的許可權不受影響；系統許可權可以跨使用者回收，即A可以直接收回C使用者的許可權。  三、實體許可權管理
1、實體許可權分類：select, update, insert, alter, index, delete, all  //all包括所有許可權

execute  //執行預存程序許可權
user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;
user02:
SQL> select * from user01.product;

// 此時user02查user_tables，不包括user01.product這個表，但如果查all_tables則可以查到，因為他可以訪問。3. 將表的操作許可權授予全體使用者：
SQL> grant all on product to public;  // public表示是所有的使用者，這裡的all許可權不包括drop。[實體許可權資料字典]:

SQL> select owner, table_name from all_tables; // 使用者可以查詢的表
SQL> select table_name from user_tables;  // 使用者建立的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 獲權可以存取的表（被授權的）
SQL> select grantee, owner, table_name, privilege from user_tab_privs;   // 授出許可權的表(授出的許可權)

  4. DBA使用者可以操作全體使用者的任意基表(無需授權，包括刪除)：
DBA使用者：

SQL> Create table stud02.product(
 id number(10),
 name varchar2(20));
SQL> drop table stud02.emp;
SQL> create table stud02.employee
 as
 select * from scott.emp;

 
5. 實體許可權傳遞(with grant option)：user01:
SQL> grant select, update on product to user02 with grant option; // user02得到許可權，並可以傳遞。

回收：

user01:
SQL>Revoke select, update on product from user02;  //傳遞的許可權將全部丟失。

一、建立使用者的Profile檔案SQL> create profile student limit  // student為資源檔名
 FAILED_LOGIN_ATTEMPTS  3  //指定鎖定使用者的登入失敗次數
 PASSWORD_LOCK_TIME 5  //指定使用者被鎖定天數
 PASSWORD_LIFE_TIME 30  //指定口令可用天數
 

 

 

二、建立使用者

SQL> Create User username Identified by password
    Default Tablespace tablespace
    Temporary Tablespace tablespace
    Profile profile
    Quota integer/unlimited on tablespace;

例:

SQL> Create user acc01
 identified by acc01   // 如果密碼是數字，請用雙引號括起來
 default tablespace account
 temporary tablespace temp
 profile default
 quota 50m on account;
SQL> grant connect, resource to acc01;

 [*] 查詢使用者預設資料表空間、暫存資料表空間
SQL> select username, default_tablespace, temporary_tablespace from dba_users; [*] 查詢系統資源檔名：
SQL> select * from dba_profiles;

資源檔類似表，一旦建立就會儲存在資料庫中。

SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;
SQL> create profile common limit
 failed_login_attempts 5
 idle_time 5;
SQL> Alter user acc01 profile common;

 

 

三、修改使用者

SQL> Alter User 使用者名稱
 Identified 口令
 Default Tablespace tablespace
 Temporary Tablespace tablespace
 Profile profile
 Quota integer/unlimited on tablespace;

 
1、修改口令字：

SQL>Alter user acc01 identified by "12345";

 2、修改使用者預設資料表空間：

SQL> Alter user acc01 default tablespace users;

 3、修改使用者暫存資料表空間

SQL> Alter user acc01 temporary tablespace temp_data;

 4、強制使用者修改口令字：SQL> Alter user acc01 password expire;

 

5、將使用者加鎖SQL> Alter user acc01 account lock;  // 加鎖
SQL> Alter user acc01 account unlock;  // 解鎖

 

 

四、刪除使用者

SQL>drop user 使用者名稱;  //使用者沒有建任何實體
SQL> drop user 使用者名稱 CASCADE;  // 將使用者及其所建實體全部刪除