oracle資料庫的許可權系統分為系統許可權與物件許可權。系統許可權( database system privilege )可以讓使用者執行特定的命令集。例如,create table許可權允許使用者建立表,grant any privilege 許可權允許使用者授予任何系統許可權。物件許可權( database object privilege )可以讓使用者能夠對各個物件進行某些操作。例如delete許可權允許使用者刪除表或檢視的行,select許可權允許使用者通過select從表、檢視、序列(sequences)或快照(snapshots)中查詢資訊。
每個oracle使用者都有一個名字和口令,並擁有一些由其建立的表、檢視和其他資源。oracle角色(role)就是一組許可權(privilege)(或者是每個使用者根據其狀態和條件所需的訪問型別)。使用者可以給角色授予或賦予指定的許可權,然後將角色賦給相應的使用者。一個使用者也可以直接給其他使用者授權。
一、建立使用者
oracle內部有兩個建好的使用者:system和sys。使用者可直接登入到system使用者以建立其他使用者,因為system具有建立別 的使用者的 許可權。 在安裝oracle時,使用者或系統管理員首先可以為自己建立一個使用者。
語法[建立使用者]: create user 使用者名稱 identified by 口令[即密碼];
例子: create user test identified by test;
語法[更改使用者]: alter user 使用者名稱 identified by 口令[改變的口令];
例子: alter user test identified by 123456;
二、刪除使用者
語法:drop user 使用者名稱;
例子:drop user test;
若使用者擁有物件,則不能直接刪除,否則將返回一個錯誤值。指定關鍵字cascade,可刪除使用者所有的物件,然後再刪除使用者。
語法: drop user 使用者名稱 cascade;
例子: drop user test cascade;
三、授權角色
oracle為相容以前版本,提供三種標準角色(role):connect/resource和dba.
(1)講解三種標準角色:
1》. connect role(連線角色)
--臨時使用者,特指不需要建表的使用者,通常只賦予他們connect role.
--connect是使用oracle簡單許可權,這種許可權只對其他使用者的表有訪問許可權,包括select/insert/update和delete等。
--擁有connect role 的使用者還能夠建立表、檢視、序列(sequence)、簇(cluster)、同義詞(synonym)、回話(session)和其他 資料的鏈(link)
2》. resource role(資源角色)
--更可靠和正式的資料庫使用者可以授予resource role。
--resource提供給使用者另外的許可權以建立他們自己的表、序列、過程(procedure)、觸發器(trigger)、索引(index)和簇(cluster)。
3》. dba role(資料庫管理員角色)
--dba role擁有所有的系統許可權
--包括無限制的空間限額和給其他使用者授予各種許可權的能力。system由dba使用者擁有
(2)授權命令
語法: grant connect, resource to 使用者名稱;
例子: grant connect, resource to test;
(3)撤銷許可權
語法: revoke connect, resource from 使用者名稱;
列子: revoke connect, resource from test;
四、建立/授權/刪除角色
除了前面講到的三種系統角色----connect、resource和dba,使用者還可以在oracle建立自己的role。使用者建立的role可以由表或系統許可權或兩者的組合構成。為了建立role,使用者必須具有create role系統許可權。
1》建立角色
語法: create role 角色名;
例子: create role testRole;
2》授權角色
語法: grant select on class to 角色名;
列子: grant select on class to testRole;
注:現在,擁有testRole角色的所有使用者都具有對class表的select查詢許可權
3》刪除角色
語法: drop role 角色名;
例子: drop role testRole;
注:與testRole角色相關的許可權將從資料庫全部刪除