Oracle使用者、許可權、角色管理

 Oracle 資料庫使用者管理 Oracle 使用權限設定

一、許可權分類：

系統許可權：系統規定使用者使用資料庫的許可權。（系統許可權是對使用者而言)。 實體許可權：某種許可權使用者對其它使用者的表或視圖的存取許可權。（是針對錶或視圖而言的）。

二、系統許可權管理：

1、系統許可權分類：

DBA: 擁有全部特權，是系統最高許可權，只有DBA才可以建立資料庫結構。 RESOURCE:擁有Resource許可權的使用者只可以建立實體，不可以建立資料庫結構。 CONNECT:擁有Connect許可權的使用者只可以登入Oracle，不可以建立實體，不可以建立資料庫結構。 對於普通使用者：授予connect, resource許可權。

對於DBA系統管理使用者：授予connect，resource, dba許可權。

2、系統許可權授權命令：

[系統許可權只能由DBA使用者授出：sys, system(最開始只能是這兩個使用者)]

授權命令：SQL> grant connect, resource, dba to 使用者名稱1 [,使用者名稱2]...; [普通使用者通過授權可以具有與system相同的使用者權限，但永遠不能達到與sys使用者相同的許可權，system使用者的許可權也可以被回收。] 例：
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50; 查詢使用者擁有哪裡許可權：
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs; 刪除使用者：SQL> drop user 使用者名稱 cascade; //加上cascade則將使用者連同其建立的東西全部刪除

3、系統許可權傳遞：

增加WITH ADMIN OPTION選項，則得到的許可權可以傳遞。 SQL> grant connect, resorce to user50 with admin option; //可以傳遞所獲許可權。

4、系統許可權回收：系統許可權只能由DBA使用者回收

命令：SQL> Revoke connect, resource from user50; 系統許可權無級聯，即A授予B許可權，B授予C許可權，如果A收回B的許可權，C的許可權不受影響；系統許可權可以跨使用者回收，即A可以直接收回C使用者的許可權。 三、實體許可權管理

1、實體許可權分類：select, update, insert, alter, index, delete, all //all包括所有許可權

execute //執行預存程序許可權 user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02; user02:
SQL> select * from user01.product; // 此時user02查user_tables，不包括user01.product這個表，但如果查all_tables則可以查到，因為他可以訪問。

3. 將表的操作許可權授予全體使用者：
SQL> grant all on product to public; // public表示是所有的使用者，這裡的all許可權不包括drop。 [實體許可權資料字典]:
SQL> select owner, table_name from all_tables; // 使用者可以查詢的表
SQL> select table_name from user_tables; // 使用者建立的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; // 獲權可以存取的表（被授權的）
SQL> select grantee, owner, table_name, privilege from user_tab_privs; // 授出許可權的表(授出的許可權)

4. DBA使用者可以操作全體使用者的任意基表(無需授權，包括刪除)：
DBA使用者：
SQL> Create table stud02.product(
id number(10),
name varchar2(20));
SQL> drop table stud02.emp; SQL> create table stud02.employee
as
select * from scott.emp;

5. 實體許可權傳遞(with grant option)：
user01: SQL> grant select, update on product to user02 with grant option; // user02得到許可權，並可以傳遞。

6. 實體許可權回收：
user01:
SQL>Revoke select, update on product from user02; //傳遞的許可權將全部丟失。

一、建立使用者的Profile檔案
SQL> create profile student limit // student為資源檔名
FAILED_LOGIN_ATTEMPTS 3 //指定鎖定使用者的登入失敗次數
PASSWORD_LOCK_TIME 5 //指定使用者被鎖定天數
PASSWORD_LIFE_TIME 30 //指定口令可用天數

二、建立使用者
SQL> Create User username
Identified by password
Default Tablespace tablespace
Temporary Tablespace tablespace
Profile profile
Quota integer/unlimited on tablespace; 例:
SQL> Create user acc01
identified by acc01 // 如果密碼是數字，請用雙引號括起來
default tablespace account
temporary tablespace temp
profile default
quota 50m on account;
SQL> grant connect, resource to acc01; [*] 查詢使用者預設資料表空間、暫存資料表空間
SQL> select username, default_tablespace, temporary_tablespace from dba_users; [*]

查詢系統資源檔名：
SQL> select * from dba_profiles;

資源檔類似表，一旦建立就會儲存在資料庫中。
SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users; SQL> create profile common limit
failed_login_attempts 5
idle_time 5;
SQL> Alter user acc01 profile common;

三、修改使用者：
SQL> Alter User 使用者名稱
Identified 口令
Default Tablespace tablespace
Temporary Tablespace tablespace
Profile profile
Quota integer/unlimited on tablespace;

1、修改口令字：
SQL>Alter user acc01 identified by "12345";

2、修改使用者預設資料表空間：
SQL> Alter user acc01 default tablespace users;

3、修改使用者暫存資料表空間
SQL> Alter user acc01 temporary tablespace temp_data;

4、強制使用者修改口令字：
SQL> Alter user acc01 password expire;

5、將使用者加鎖
SQL> Alter user acc01 account lock; // 加鎖
SQL> Alter user acc01 account unlock; // 解鎖

四、刪除使用者
SQL>drop user 使用者名稱; //使用者沒有建任何實體
SQL> drop user 使用者名稱 CASCADE; // 將使用者及其所建實體全部刪除 *1. 當前正串連的使用者不得刪除。

五、監視使用者：

1、查詢使用者會話資訊：
SQL> select username, sid, serial#, machine from v$session;

2、刪除使用者會話資訊：
SQL> Alter system kill session 'sid, serial#';

3、查詢使用者SQL語句：
SQL> select user_name, sql_text from v$open_cursor; SQL> ALTER SESSION SET
NLS_LANGUAGE= 'SIMPLIFIED CHINESE'
NLS_TERRITORY= 'CHINA'
NLS_CURRENCY= 'RMB'
NLS_ISO_CURRENCY= 'CHINA'
NLS_NUMERIC_CHARACTERS= '.,'
NLS_CALENDAR= 'GREGORIAN'
NLS_DATE_FORMAT= 'yyyy-mm-dd dy'
NLS_DATE_LANGUAGE= 'SIMPLIFIED CHINESE'
NLS_SORT= 'BINARY'
TIME_ZONE= '+08:00'
NLS_DUAL_CURRENCY = 'RMB'
NLS_TIME_FORMAT = 'HH.MI.SSXFF AM'
NLS_TIMESTAMP_FORMAT = 'DD-MON-RR HH.MI.SSXFF AM'
NLS_TIME_TZ_FORMAT = 'HH.MI.SSXFF AM TZH:TZM'
NLS_TIMESTAMP_TZ_FORMAT = 'DD-MON-RR HH.MI.SSXFF AM TZH:TZM'

一、Oracle 許可權管理
SQL> grant connect, resource, dba to acc01; SQL> revoke connect, resource from acc01; 二、Oracle 角色管理 SQL> Create Role <role_name>
Identified by password/ Not Identified;
SQL> Alter Role <role_name> ... SQL> Grant <privs> to <role_name>; SQL> Grant <role_name> to <user_name> SQL> Set Role <role_name>
All Except <role_name2> / None