oracle 使用者管理

oracle 使用者 許可權 角色

[@more@]

建立一個使用者,使用者名稱hr，密碼hr，預設表空間hr。
create user hr identified by hr default tablespace hr account unlock;

刪除使用者hr
drop user hr cascade;

更改使用者的口令

alter user 使用者名稱 identified by 口令
alter user hr identified by hr123;

使用者解鎖
alter user hr account unlock;

建立一個使用者後，預設沒有任何許可權
一些常用權利
create/drop user 建立和刪除使用者
create session 連線資料庫
select any table 查詢任何使用者的表和檢視的權利
create any table 在任何模式下建立表
drop any table 在任何模式下刪除表
dba dba權利

檢視許可權列表
select * from session_privs;
select * from session_roles;

授權
grant create session to scott；

收回權利
revoke 權利 from 使用者
例子：revoke create session from scott;

建立角色給角色新增權利
create role 角色名
grant 權利 to 角色名
grant 角色名 to 使用者名稱

select * from role_sys_privs where role like '/ani%'
select * from dba_role_privs where granted_role like 'ani%'
注意connect 和 resource 角色的使用

with admin option VS with grant option
在賦予user 許可權或者role 時，常常會用到with admin option 和with grant option,
而在使用中，可能會很容易出現混淆的情況，現把他們的相同點和不同點總結如下：

相同點：
- 兩個都可以既可以賦予user 許可權時使用，也可以在賦予role 時用
GRANT CREATE SESSION TO emi WITH ADMIN OPTION;
GRANT CREATE SESSION TO role WITH ADMIN OPTION;
GRANT role1 to role2 WITH ADMIN OPTION;
GRANT select ON customers1 TO bob WITH GRANT OPTION;
GRANT select ON customers1 TO hr_manager(role) WITH GRANT OPTION;

- 兩個受賦予者，都可以把許可權或者role 再賦予other users
- 兩個option 都可以對DBA 和APP ADMIN 管理帶來方便性，但同時，都帶來不安全的因素

不同點：
- with admin option 只能在賦予 system privilege 的時使用
- with grant option 只能在賦予 object privilege 的時使用
- 撤消帶有admin option 的system privileges 時，連帶的許可權將保留
例如：
1. DBA 給了CREATE TABLE 系統許可權給JEFF WITH ADMIN OPTION
2. JEFF CREATES TABLE
3. JEFF grants the CREATE TABLE 系統許可權給EMI
4. EMI CREATES A table
5. DBA 撤消CREATE TABLE 系統許可權從JEFF
結果：
JEFF‘S TABLE 依然存在，但不能建立新的TABLE 了
EMI’S TABLE 依然存在，他還保留著CREATE TABLE 系統許可權。
- 撤消帶有grant option 的object privileges 時，連帶的許可權也將撤消
例如：
1. JEFF 給了SELECT object privileges 在EMP 上 WITH ADMIN OPTION
2. JEFF 給了SELECT 許可權在EMP 上 TO EMI
3. 後來，撤消JEFF的SELECT 許可權

結果：
EMI 的許可權也被撤消了