--========================
--author:_yeeXun
--date:12/31/2010 11:09:00 AM
--address:Jau 17-304
--========================
角色是相关权限的命令集合,使用角色的主要目的是为了简化权限的管理。
为了简化对权限的管理,oracle事先把一系列的权限集中在一起,打包给某个用户。
预定义角色
是指oracle所提供的角色,每种角色都用于执行一些特定的管理任务,下面是
connect,resource,dba角色;
1.connect角色
Connect角色具有一般应用开发人员需要的大部分权限,当建立一个用户后,大多数 情况下,只要给用户授予connect和resource角色就够了,那么connect角色具
有哪些权限呢?
Alter session --修改会话
Create cluster --建簇
Create database link --建数据库连接
Create session --建会话
Create table --建表
Create view --建视图
Create sequence --建序列
2.resource角色
Resource角色具有应用开发人员所需要的其他权限,比如建立存储过程。触发器等。
注意:resource角色隐含了unlimited tablespace系统权限
Resource角色包含了以下系统权限:
Create cluster --建簇
Create indextype --
Create table --建表
Create sequence --建序列
Create type --建类型
Create procedure --建存储过程
Create tigger --建触发器
3.dba角色
Dba角色具有所有的系统权限,以及with admin option选项,默认的dba用户为sys和system,他们可以将任何系统权限授予其他用户;
但是要注意:dba角色不具备sysdba和sysoper的特权(启动和关闭数据库)
自定义角色
顾名思义就是自己定义的角色,根据自己的需要来定义。一般是dba来建立,如果由别的用户建立,那么此用户需具有create role的系统权限。在建立角色时可以指定验证方式(不验证,数据库验证等)。
1.建立角色(不验证)
如果角色是公用的,可以采用不验证的方式建立角色。
Create role 角色名 not identified;
2.建立角色(数据库验证)
采用这样的方式时,角色名、口令存放在数据库中。当激活该角色时,必须提供口令。 在建立这种角色时,需要提供口令:
Create role 角色名 identified by 密码;
角色授权与分配
当建立角色时,角色没有任何权限,为了使角色完成特定的任务,必须为其授予相应的 系统权限和对象权限。
1.给角色授权
给角色授权和合用户授权没多大区别,但是要注意:系统权限的unlimited tablespace和对象权限的with grant option选项是不能授予角色的。
Sql> conn system/manager;
Sql> grant create session to 角色名 with admin option;
Sql> conn scott/tiger;
Sql> grant select on scott.emp to 角色名;
Sql> grant insert,update,delete on scott.emp to 角色名;
2.分配角色
一般分配角色由dba来完成,如果要以其他用户身份分配角色,则要求该用户必须具
有grant any role的系统权限。
Sql> conn system/manager;
Sql> grant 角色名 to 用户名 with admin option;
删除角色
受用drop role,一般是dba来执行的,如果其他用户则要求该用户具有drop any
role系统权限。
Sql> conn system/manager;
Sal> drop role 角色名;
角色一旦被删除,拥有此角色的用户则不能操作数据库。
显示角色的信息
1.显示所有的角色
Sql> select * from dba_roles;
2.显示角色具有的系统权限。
Sql> select privilege,admin_option from role_sys_privs where role='角色名';
3.显示角色具有的对象权限
通过数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。
4.显示用户具有的角色,以及默认角色
当以用户的身份连接到数据库时,oracle会自动的激活默认的角色,通过查询数据字
典视图dba_role_privs可以显示某个用户具有的所有角色以及当前默认角色
Sql> select granted_role,default_role from dba_role_privs where grantee='SCOTT';
精细访问控制
是指用户可以使用函数,策略实现更加细微的安全访问控制。如果使用精细访问控制, 则当在客户端发出sql语句(select,insert,update,delete)时,oracle会自
动在sql语句后追加谓词(where子句),并执行新的sql语句。通过这样的控制,可
以使得不同的数据库用户在访问相同表时,返回不同的数据信息。
--the end--