今天同事问了一个问题:“创建用户分配的权限是:grant connect,resource to user;,可是建立view的时候失败了,错误是权限不够,后来我给这个用户分配了创建view的权限,然后创建view才干够成功。我有个疑问就是为什么用户在自己的空间没办法直接建立view,还得添加创建view的权限才干够?”
我们知道,创建一个新用户时,网上各种的帖子包含书籍中经经常使用到一个grant connect,resource to user;,这样才干用这个用户登录数据库,那么这条语句的真正作用是什么呢?
1、首先,grant XXX to user;,grant是授权的作用,这里的XXX能够是一个角色role,也能够是权限,比如grant role to user;,或grant insert on table to user;。
MOS中给出的标准SQL语句:
创建角色:
create role <role name> [IDENTIFIED BY <password>/USING <package>/EXTERNALLY/GLOBALLY ];
赋予角色权限:
grant <object/system
privilege> to <role name>;
从角色收回权限:
revoke <privilege> from <role name>;
将角色赋予还有一个角色或用户:
grant <role> to <username or role> ;
2、其次,connect和resource是两个系统内置的角色,和dba是并列的关系。
參考一些帖子的说法,权限能够分为两类:
系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。
实体权限:某种权限用户对其他用户的表或视图的存取权限。(是针对表或视图而言的)。
接下来看系统权限,
DBA:拥有所有特权,是系统最高权限,仅仅有DBA才干够创建数据库结构。
RESOURCE:拥有Resource权限的用户仅仅能够创建实体,不能够创建数据库结构。
CONNECT:拥有Connect权限的用户仅仅能够登录Oracle,不能够创建实体,不能够创建数据库结构。
对于普通用户:授予connect, resource权限。
对于DBA管理用户:授予connect,resource, dba权限。
且系统权限仅仅能由DBA用户授出:sys, system(最開始仅仅能是这两个用户)。普通用户通过授权能够具有与system同样的用户权限,
但永远不能达到与sys用户同样的权限,system用户的权限也能够被回收。
另外,对于WITH ADMIN OPTION级联授权的问题,
1)假设使用WITH ADMIN OPTION为某个用户授予系统权限,那么对于被这个用户授予同样权限的全部用户来说,取消该用户的
系统权限并不会级联取消这些用户的同样权限。
2)系统权限无级联,即A授予B权限,B授予C权限,假设A收回B的权限,C的权限不受影响;系统权限能够跨用户回收,即A能够
直接收回C用户的权限。
3、证明下为什么resource和connect的角色不能创建视图。
SQL> select role, count(*) from role_sys_privs group by role;
ROLE COUNT(*)
------------------------------ ----------
EXP_FULL_DATABASE 8
DBA 160
SCHEDULER_ADMIN 6
RESOURCE 8
IMP_FULL_DATABASE 68
CONNECT 1
能够看到RESOURCE和CONNECT具有的权限个数。
以下看看各自都有什么权限:
SQL> select grantee,privilege from dba_sys_privs where grantee='RESOURCE'
order by privilege;
GRANTEE PRIVILEGE
------------------------------ ----------------------------------------
RESOURCE CREATE CLUSTER
RESOURCE CREATE INDEXTYPE
RESOURCE CREATE OPERATOR
RESOURCE CREATE PROCEDURE
RESOURCE CREATE SEQUENCE
RESOURCE CREATE TABLE
RESOURCE CREATE TRIGGER
RESOURCE CREATE TYPE
8 rows selected.
SQL> select grantee,privilege from dba_sys_privs where grantee='CONNECT' order by privilege;
GRANTEE PRIVILEGE
------------------------------ ----------------------------------------
CONNECT CREATE SESSION
结果不言自明了,CREATE VIEW权限并不在这两个角色中,因此须要额外grant CREATE VIEW to user;,才干让这用户能够创建视图。往往实验是最好的老师,这次又证明了这点。