oracle权限培训资料

1、1,用户,创建一个用户，先登录sys用户 SQLCONN /AS SYSDBA 新建 一个HP用户 SQLCREATE USER USER_NAME IDENTIFIED BY PWD; 更改用户的密码，使用alter语句 SQLALTER USER USER_NAME IDENTIFIED BY N_PWD; 删除用户 SQLDROP USER USER_NAME 例： CONN /AS SYSDBA CREATE USER HP IDENTIFIED BY HP; ALTER USER HP IDENTIFIED BY HP1; DROP USER HP,SQL Alter user HP

2、 account lock; / 加锁 SQL Alter user HP account unlock;/解锁,2,权 限,1.权限的分类 系统权限：系统规定用户使用数据库的权限。（系统权限是对用户而言)。 实体权限：某种权限用户对其它用户的表或视图的存取权限。（是针对对象而言的,DBA: 拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。 RESOURCE:拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。 CONNECT:拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据,3,对于普通用户：授予connect, resourc

3、e权限。 对于DBA管理用户：授予connect，resource, dba权限,新建用户必须得给session的权限。这是最基本的权限。以保证用户能够登陆数据库，否则这个用户有再多别的权限也是没有意义的,CONN /AS SYSDBA DROP USER HP CREATE USER IDENTIFIED BY HP; GRANT CREATE TABLE,CREATE VIEW TO HP; CONN HP/HP-是要报错的没有session的权限 CONN /AS SYSDBA SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=HP; GRANT CRE

4、ATE SESSION TO HP,4,例：创建用户给权限（最基本的权限是登陆数据库的权限，就是session会话权限） CONN /AS SYSDBA CREATE USER HP IDENTIFIED BY HP; GRANT CREATE SESSION TO HP; CONN HP/HP; CREATE TABLE I (ID INT); 检验一下，HP用户现在只有登陆数据库的权限，那么用hp创建表是不成功的，应为没有创建表的权限,给用户授权的语句是 SQLGRANT 权限 TO USER,现在可以查询一下自己拥有什么权限 SQLSELECT * FROM SESSION_PRIVS,

5、当给用户create table权限但是提示表空间无权限的时候就运行,alter user aGuotu quota 1000M on HP; alter user hp quota unlimited on users; grant unlimited tablespace to HP；给HP一个所有的表空间的权限,5,权限下还有一个public，public是数据库中所有用户的一个总称，也算是集合吧。统一的给用户某种权限或者多种权限。使用户默认的拥有某种权限或者多种权限。 例： CONN /AS SYSDBA GRANT CREATE SESSION TO PUBLIC; CREATE U

6、SER HP IDENTIFIED BY HP; CONN HP/HP 现在创建的用户就不用在给session权限了，因为public已经给所有的用户包括新建的用户都有session的权限,with admin option和with grant option with admin option 是系统权限授权，比如创建表，创建视图等等。 with grant option 是对象权限授权，比如插入，更新和删除（delete）没有drop的去权限,删除用户： DROP USER USER_NAME,删除一个用户 DROP USER USER_NAME CASCADE(后加cascade会删除根

7、表所有有关联的对象) 删除角色：DROP ROLE ROLE_NAME; 撤销系统权限：REVOKE 权限 FROM USER _NAME; 撤销对象权限：REVOKE 权限 ON 对象 TO USER_NAME; 例如：我们刚才给了所有的用户session的权限，现在就来撤销掉session的权限 CONN /AS SYSDBA REVOKE CREATE SESSION FROM PUBLIC; DROP USER HP; CREATE USER HP IDENTIFIED BY HP; CONN HP/HP,6,WITH ADMIN OPTION的用户，就是允许用户可以把自己的权限分配给

8、自己创建的用户身上。如果创建用户的时候不加with admin option的话就会提示admin选项未授权给AA。 CONN /AS SYSDBA DROP USER HP CASCADE; DROP USER TT CASCADE; DROP ROLE AA CASCADE; CREATE USER HP IDENTIFIED BY HP; CREATE ROLE AA; GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO AA; GRANT AA TO HP; CONN HP/HP CREATE USER TT IDENTIFIED BY T

9、T; GRANTE AA TO TT;就会报错,CONN /AS SYSDBA DROP USER HP CASCADE; DROP USER TT CASCADE; DROP ROLE AA CASCADE; CREATE USER HP IDENTIFIED BY HP; CREATE ROLE AA; GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO AA ; GRANT AA TO HP WITH ADMIN OPTION; CONN HP/HP CREATE USER TT IDENTIFIED BY TT; GRANT AA TO T

10、T,下面这个是with admin option,CONN /AS SYSDBA DROP USER HP; CONN TT/TT 此时AA角色的权限TT还是拥有着的，就是说用WITH ADMIN OPTION 的时候可以使用户一级一级的创建新的用户并且分配权限，但是在删除创建的第一用户的时候，别的用户则不受影响,如授予A系统权限create session with admin option,然后A又把create session权限授予B,但管理员收回A的create session权限时，B依然拥有create session的权限，但管理员可以显式收回B create session的

11、权限，即直接revoke create session from B,7,角 色,角色是一组权限的集合，将角色赋给一个用户，这个用户就拥有了这个角色中的所有权限,其中connect和resource就是系统权限的两个集合，也就是两个角色。都是最基本的。一般普通用户就给这两个角色的所有的权限就可以了,CONN /AS SYSDBA DROP USER HP; CREATE USER HP IDENTIFIED BY HP; GRANT CONNECT,RESOURCE TO HP; CONN HP/HP CREATE TABLE I(ID INT,CONNECT角色下默认只有session的权限

12、 select * from role_sys_privs where role=connect,8,根据自己的需求的创建角色，并且赋予用户 创建角色 create role ROLE_NAME; 给角色赋予权限 GRANT 权限 TO ROLE_NAME; 将角色赋予用户 GRANT ROLE_NAME TO USER_NAME CONN /AS SYSDBA DROP USER HP CASCADE; DROP ROLE AA; CREATE ROLE AA; CREATE USER HP IDENTIFIED BY HP; GRANT CREATE SESSION,CREATE TABL

13、E TO AA; GRANT AA TO HP; CONN HP/HP; 这样HP就有登陆数据库和创建表的权限了,创建带密码的角色以及使用,9,对 象,对象就是数据库中的表，索引，视图等等 对象的权限就是对某一个用户所拥有的对象进行alter，delete，update，select。等等的操作,CONN /AS SYSDBA DROP USER HP CASCADE; DROP USER TT CASCADE; DROP ROLE AA CASCADE; CREATE ROLE AA; GRANT CREATE SESSION,CREATE TABLE TO AA; CREATE USER

14、HP IDENTIFIED BY HP; CREATE USER TT IDENTIFIED BY TT; GRANT AA TO HP,TT ; -以上是创建用户并且授权 CONN HP/HP CREATE TABLE S (ID INT,NAME VARCHAR2(10); INSERT INTO S VALUES(1,花花); SELECT * FROM S; CONN TT/TT SELECT * FROM HP.S; -提示是没有表或者视图 CONN HP/HP GRANT SELECT,INSERT ON HP.S TO TT; CONN TT/TT INSERT INTO HP.S VALUES(2,大王); SELECT * FROM HP.S; 下面自己给update的权限，并且把大王改成花大王,语法是：CONN HP/HP GRANT 对象权限 ON 用户.表 TO 其他用户；可以由DBA来给对象权限，也可以由对象的所有者来给权限,10,with grant option给对象授权的 如果hp.s也想被tt下面的yy用户所查看的话，就得用到with grant option CONN HP/HP GRANT SELECT ON HP.S TO TT; SELECT * F