oracle使用者許可權

本身的資料字典設計我個人覺得很合理, 因為DBA_xxx, ALL_xxx,USER_xxx 讓人一看大概就知道這個檢視是幹什麼用的. 本文簡要總結了一下與許可權,角色相關的檢視.

一. 概述

與許可權,角色相關的檢視大概有下面這些:

DBA_SYS_PRIVS: 查詢某個使用者所擁有的系統許可權

USER_SYS_PRIVS: 當前使用者所擁有的系統許可權

SESSION_PRIVS: 當前使用者所擁有的全部許可權

ROLE_SYS_PRIVS: 某個角色所擁有的系統許可權

注意: 要以SYS使用者登陸查詢這個檢視,否則返回空.

ROLE_ROLE_PRIVS: 當前角色被賦予的角色

SESSION_ROLES: 當前使用者被啟用的角色

USER_ROLE_PRIVS: 當前使用者被授予的角色

另外還有針對表的訪問許可權的檢視:

TABLE_PRIVILEGES

ALL_TAB_PRIVS

ROLE_TAB_PRIVS: 某個角色被賦予的相關表的許可權

...

二. Examples

1. 查詢當前使用者所擁有的許可權

Select * from session_privs;

2. 查詢某個使用者被賦予的系統許可權.

可以有多種方式

Select * from user_sys_privs;

或者: select * from DBA_SYS_PRIVS where grantee='XXX'

(需要當前使用者擁有DBA角色)

3. 查詢當前使用者被授予的角色:

1. Select * from SESSION_ROLES order by ROLE

說明: 這個查詢會返回當前使用者所被授予的全部角色, 其中包括

巢狀授權的角色. 例如將DBA角色授予了一個使用者,DBA角色

已經被授予的角色(例如 exp_full_database 和 imp_full_database)

也會被查詢出來

2. Select * from USER_ROLE_PRIVS

4. 查詢某一角色被賦予的系統許可權

Select Privilege from ROLE_SYS_PRIVS where ROLE=& Role

輸入 role='CONNECT'

輸出:
PRIVILEGE
--------------------
ALTER SESSION
CREATE CLUSTER
CREATE DATABASE LINK
CREATE SEQUENCE
CREATE SESSION
CREATE SYNONYM
CREATE TABLE
CREATE VIEW

5. 查詢當前角色被授予的角色

Select GRANTED_ROLE from ROLE_ROLE_PRIVS where ROLE=& ROLE

輸入 role= 'DBA'

輸出:

GRANTED_ROLE
----------------------
DELETE_CATALOG_ROLE
EXECUTE_CATALOG_ROLE
EXP_FULL_DATABASE
IMP_FULL_DATABASE
PLUSTRACE
SELECT_CATALOG_ROLE

說明: PLUSTRACE這個角色是用於執行AUTO TRACE的, 透過執行

$ORACLE_HOME/sqlplus/admin/plustrce.sql可以生成這個角色.