码迷,mamicode.com
首页 > 其他好文 > 详细

权限<九>

时间:2014-09-15 17:12:19      阅读:214      评论:0      收藏:0      [点我收藏+]

标签:io   使用   数据   问题   sp   on   c   ad   ef   

? 介绍

角色就是相关权限的命令集合,使用角色的主要目的就是为了简化权限的管理,假定有用户 a,b,c 为了让他们都拥有权限

1. 连接数据库

2. 在 scott.emp 表上 select,insert,update。

如果采用直接授权操作,则需要进行 12 次授权。

因为要进行 12 次授权操作,所以比较麻烦喔!怎么办?

如果我们采用角色就可以简化:

首先将 creat session,select on scott.emp,insert on scott.emp, update on scott.emp 授予角色,然后将该角色授

予 a,b,c 用户,这样就可以三次授权搞定。

角色分为预定义和自定义角色两类:

? 预定义角色

预定义角色是指 oracle 所提供的角色,每种角色都用于执行一些特定的管理任务,下面我们介绍常用的预定义角色 connect,

resource,dba

1.connect 角色

connect 角色具有一般应用开发人员需要的大部分权限,当建立了一个用户后,多数情况下,只要给用户授予 connect 和 resource

角色就够了,那么 connect 角色具有哪些系统权限呢?

alter session

create cluster

create   database link

create session

create table

create view

create sequence

2.resource 角色

resource 角色具有应用开发人员所需要的其它权限,比如建立存储过程,触发器等。这里需要注意的是 resource 角色隐含

了 unlimited tablespace 系统权限。

resource 角色包含以下系统权限:

create cluster

create indextype

create table

create sequence

create type

create procedure

create trigger

3.dba 角色 

Oracle  笔记

35

dba 角色具有所有的系统权限,及 with admin option 选项,默认的 dba 用户为 sys 和 system,它们可以将任何系统权限授予

其他用户。但是要注意的是 dba 角色不具备 sysdba 和 sysoper 的特权(启动和关闭数据库)。

? 自定义角色

顾名思义就是自己定义的角色,根据自己的需要来定义。一般是 dba 来建立,如果用别的用户来建立,则需要具有 create role

的系统权限。在建立角色时可以指定验证方式(不验证,数据库验证等)。

1.建立角色(不验证)

如果角色是公用的角色,可以采用不验证的方式建立角色。

create role 角色名 not identified;

2.建立角色(数据库验证)

采用这样的方式时,角色名、口令存放在数据库中。当激活该角色时,必须提供口令。在建立这种角色时,需要为其提供口

令。

create role 角色名 identified by 密码;

角色授权

当建立角色时,角色没有任何权限,为了使得角色完成特定任务,必须为其授予相应的系统权限和对象权限。

1.给角色授权

给角色授予权限和给用户授权没有太多区别,但是要注意,系统权限的 unlimited tablespace 和对象权限的 with grant

option 选项是不能授予角色的。

SQL> conn system/manager;

SQL> grant create session to 角色名 with admin option

SQL> conn scott/tiger@myoral;

SQL> grant select on scott.emp to 角色名;

SQL> grant insert, update, delete on scott.emp to 角色名;

通过上面的步骤,就给角色授权了。

2.分配角色给某个用户

一般分配角色是由 dba 来完成的,如果要以其它用户身份分配角色,则要求用户必须具有 grant any role 的系统权限。

SQL> conn system/manager;

SQL> grant 角色名 to blake with admin option;

因为我给了 with admin option 选项,所以,blake 可以把 system 分配给它的角色分配给别的用户。

? 删除角色

使用 drop role,一般是 dba 来执行,如果其它用户则要求该用户具有 drop any role 系统权限。

SQL> conn system/manager;

SQL> drop role 角色名;

问题:如果角色被删除,那么被授予角色的用户是否还具有之前角色里的权限?

答案:不具有了

? 显示角色信息

1.显示所有角色

SQL> select * from dba_roles;

2.显示角色具有的系统权限

SQL> select privilege, admin_option from role_sys_privs where role=‘角色名‘;

3.显示角色具有的对象权限

通过查询数据字典视图 dba_tab_privs 可以查看角色具有的对象权限或是列的权限。

4.显示用户具有的角色,及默认角色

当以用户的身份连接到数据库时,oracle 会自动的激活默认的角色,通过查询数据字典视图 dba_role_privs 可以显示某个

用户具有的所有角色及当前默认的角色 

SQL> select granted_role, default_role from dba_role_privs where grantee = ‘用户名’;

? 精细访问控制

精细访问控制是指用户可以使用函数,策略实现更加细微的安全访问控制。如果使用精细访问控制,则当在客户端发出 sql

语句(select,insert,update,delete)时,oracle 会自动在 sql 语句后追加谓词(where 子句),并执行新的 sql 语句,

通过这样的控制,可以使得不同的数据库用户在访问相同表时,返回不同的数据信息,如:

用户 scott       blake         jones

策略     emp_access

数据库表 emp

如上图所示,通过策略 emp_access,用户 scott,black,jones 在执行相同的 sql 语句时,可以返回不同的结果。例如:当执行 select ename from emp; 时,根据实际情况可以返回不同的结果。

权限<九>

标签:io   使用   数据   问题   sp   on   c   ad   ef   

原文地址:http://www.cnblogs.com/qianjin253738234/p/3973001.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!