《oracle权限》PPT课件.ppt

用户用户创建一个用户，先登录sys用户SQLCONN/AS SYSDBA新建 一个HP用户SQLCREATE USER USER_NAME IDENTIFIED BY PWD;更改用户的密码，使用alter语句SQLALTER USER USER_NAME IDENTIFIED BY N_PWD;删除用户SQLDROP USER USER_NAME例：CONN/AS SYSDBA CREATE USER HP IDENTIFIED BY HP;ALTER USER HP IDENTIFIED BY HP1;DROP USER HP;SQL Alter user HP account lock;/加锁 SQL Alter user HP account unlock;/解锁权权 限限1.权限的分类系统权限：系统规定用户使用数据库的权限。（系统权限是对用户而言)。实体权限：某种权限用户对其它用户的表或视图的存取权限。（是针对对象而言的）。DBA:拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。RESOURCE:拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。CONNECT:拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据对于普通用户：授予connect,resource权限。对于DBA管理用户：授予connect，resource,dba权限。新建用户必须得给session的权限。这是最基本的权限。以保证用户能够登陆数据库，否则这个用户有再多别的权限也是没有意义的CONN/AS SYSDBADROP USER HPCREATE USER IDENTIFIED BY HP;GRANT CREATE TABLE,CREATE VIEW TO HP;CONN HP/HP-是要报错的没有session的权限CONN/AS SYSDBASELECT*FROM DBA_SYS_PRIVS WHERE GRANTEE=HP;GRANT CREATE SESSION TO HP;例：创建用户给权限（最基本的权限是登陆数据库的权限，就是session会话权限）CONN/AS SYSDBACREATE USER HP IDENTIFIED BY HP;GRANT CREATE SESSION TO HP;CONN HP/HP;CREATE TABLE I(ID INT);检验一下，HP用户现在只有登陆数据库的权限，那么用hp创建表是不成功的，应为没有创建表的权限给用户授权的语句是SQLGRANT 权限 TO USER现在可以查询一下自己拥有什么权限SQLSELECT*FROM SESSION_PRIVS当给用户create table权限但是提示表空间无权限的时候就运行alter user aGuotu quota 1000M on HP;alter user hp quota unlimited on users;grant unlimited tablespace to HP；给HP一个所有的表空间的权限权限下还有一个public，public是数据库中所有用户的一个总称，也算是集合吧。统一的给用户某种权限或者多种权限。使用户默认的拥有某种权限或者多种权限。例：CONN/AS SYSDBA GRANT CREATE SESSION TO PUBLIC;CREATE USER HP IDENTIFIED BY HP;CONN HP/HP现在创建的用户就不用在给session权限了，因为public已经给所有的用户包括新建的用户都有session的权限with admin option和with grant optionwith admin option 是系统权限授权，比如创建表，创建视图等等。with grant option 是对象权限授权，比如插入，更新和删除（delete）没有drop的去权限删除用户：DROP USER USER_NAME,删除一个用户DROP USER USER_NAME CASCADE(后加cascade会删除根表所有有关联的对象)删除角色：DROP ROLE ROLE_NAME;撤销系统权限：REVOKE 权限 FROM USER _NAME;撤销对象权限：REVOKE 权限 ON 对象 TO USER_NAME;例如：我们刚才给了所有的用户session的权限，现在就来撤销掉session的权限CONN/AS SYSDBAREVOKE CREATE SESSION FROM PUBLIC;DROP USER HP;CREATE USER HP IDENTIFIED BY HP;CONN HP/HPWITH ADMIN OPTION的用户，就是允许用户可以把自己的权限分配给自己创建的用户身上。如果创建用户的时候不加with admin option的话就会提示admin选项未授权给AA。CONN/AS SYSDBADROP USER HP CASCADE;DROP USER TT CASCADE;DROP ROLE AA CASCADE;CREATE USER HP IDENTIFIED BY HP;CREATE ROLE AA;GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO AA;GRANT AA TO HP;CONN HP/HPCREATE USER TT IDENTIFIED BY TT;GRANTE AA TO TT;就会报错CONN/AS SYSDBADROP USER HP CASCADE;DROP USER TT CASCADE;DROP ROLE AA CASCADE;CREATE USER HP IDENTIFIED BY HP;CREATE ROLE AA;GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO AA;GRANT AA TO HP WITH ADMIN OPTION;CONN HP/HPCREATE USER TT IDENTIFIED BY TT;GRANT AA TO TT；下面这个是with admin optionCONN/AS SYSDBA DROP USER HP;CONN TT/TT此时AA角色的权限TT还是拥有着的，就是说用WITH ADMIN OPTION 的时候可以使用户一级一级的创建新的用户并且分配权限，但是在删除创建的第一用户的时候，别的用户则不受影响如授予A系统权限create session with admin option,然后A又把create session权限授予B,但管理员收回A的create session权限时，B依然拥有create session的权限，但管理员可以显式收回B create session的权限，即直接revoke create session from B.角角 色色角色是一组权限的集合，将角色赋给一个用户，这个用户就拥有了这个角色中的所有权限。其中connect和resource就是系统权限的两个集合，也就是两个角色。都是最基本的。一般普通用户就给这两个角色的所有的权限就可以了。CONN/AS SYSDBA DROP USER HP;CREATE USER HP IDENTIFIED BY HP;GRANT CONNECT,RESOURCE TO HP;CONN HP/HPCREATE TABLE I(ID INT);CONNECT角色下默认只有session的权限select*from role_sys_privs where role=connect;根据自己的需求的创建角色，并且赋予用户创建角色create role ROLE_NAME;给角色赋予权限GRANT 权限 TO ROLE_NAME;将角色赋予用户GRANT ROLE_NAME TO USER_NAMECONN/AS SYSDBADROP USER HP CASCADE;DROP ROLE AA;CREATE ROLE AA;CREATE USER HP IDENTIFIED BY HP;GRANT CREATE SESSION,CREATE TABLE TO AA;GRANT AA TO HP;CONN HP/HP;这样HP就有登陆数据库和创建表的权限了。创建带密码的角色以及使用对对 象象对象就是数据库中的表，索引，视图等等对象的权限就是对某一个用户所拥有的对象进行alter，delete，update，select。等等的操作。CONN/AS SYSDBADROP USER HP CASCADE;DROP USER TT CASCADE;DROP ROLE AA CASCADE;CREATE ROLE AA;GRANT CREATE SESSION,CREATE TABLE TO AA;CREATE USER HP IDENTIFIED BY HP;CREATE USER TT IDENTIFIED BY TT;GRANT AA TO HP,TT;-以上是创建用户并且授权CONN HP/HPCREATE TABLE S(ID INT,NAME VARCHAR2(10);INSERT INTO S VALUES(1,花花);SELECT*FROM S;CONN TT/TTSELECT*FROM HP.S;-提示是没有表或者视图CONN HP/HPGRANT SELECT,INSERT ON HP.S TO TT;CONN TT/TTINSERT INTO HP.S VALUES(2,大王);SELECT*FROM HP.S;下面自己给update的权限，并且把大王改成花大王语法是：CONN HP/HPGRANT 对象权限 ON 用户.表 TO 其他用户；可以由DBA来给对象权限，也可以由对象的所有者来给权限。with grant option给对象授权的如果hp.s也想被tt下面的yy用户所查看的话，就得用到with grant optionCONN HP/HPGRANT SELECT ON HP.S TO TT;SELECT*FROM HP.S;CONN/AS SYSDBA DROP USER YY;GRANT CREATE USER TO TT;CONN TT/TTCREATE USER YY IDENTIFIED BY YY;SELECT*FROM HP.S;CONN HP/HPGRANT SELECT ON HP.S TO TT;A用户把此权限授予B，但管理员收回A的权限时，B的权限也会失效，但管理员不可以直接收回B的SELECT ON TABLE 权限。