http://blog.****.net/weiwenhp/article/details/8093661
我们发现我们现在的生活中到处是涉及到密码,你要记各种各样的密码.比如银行卡,邮件,QQ,微博,游戏,各种网站会员.
使用数据库自然也不例外,得先整个用户名和密码才能登进去使用里面的数据啊.虽然也有啥windows验证不用你输密码了,但那实际上也是需要你登陆windwos的用户名和密码.
Oracle权限管理
创建用户
create user arwenidentifiedby abc; --创建了用户名为arwen密码为abc的用户
如果你要改密码就是
alter userarwenidentifiedby abc123;--把密码改为abc123
shcema与表空间
当然做上面的操作你一般要用个权限较多的用户去做.一般刚开始都是用sys或system用户去创建一些新用户.创立一个新用户的时候同时默认创建一个schema,相当于在表空间中给你分一块空间给你.shcema相当于是一块空间.但由于用户与schema是一一对应而且完全绑定在一起不分开所以也能把它们完全等同.上面创建用户时没指定表空间,系统会处理这种情况.当发现某用户创立时没指定表空间会提供一个默认的表空间,一般是system表空间.但你也可以通过如下语句修改
alter databasedefaulttablespaceusers;
这样一改后前面创建的用户arwen的默认分配的表空间就是users了.当然你还可以创建时显式指定arwen的表空间
create user arwenidentifiedby abc123defaulttablespacesystem;
或者创建完了之后显式更改表空间
alter user arwendefaulttablespace myspace;
等上面的用户建好之后你一看发现竟然登不了.这很不符合常理吧.以前还真没碰到过创建用户成功后竟然不能登陆的.我们一般都是能直接登进去,最多是第一次登的时候被强制要求先改下密码.于是你刚开始会想会不会是新创建的用户被locked住了.像装好Oracle后会默认有一些用户比如scott,是被lock住的.你可以这样解锁
alter user scott accountunlock;
你如果要锁住scott的话自然就是alter user scott accountlock;
但此时的新建用户不是属于这种情况,还是属于没权限.仅仅是连接连接数据库也要需要单独的一个权限.(sql server中是没有这种权限的,创建了用户就直接能连数据库的.等会再讨论为啥oracle要单独整个这权限出来)
赋予系统权限
要连接数据库得有create session的权限.Oracle中每一个连接就叫作一个session(会话).用如下语句赋予权限
grant createsessiontoarwen;
但你这时虽然能登陆了,但登进去发现里面啥都没有,你也啥都不能做,查找不了其他用户的表或自己创建表.当然还有些不存在啥保密的信息你还是能看,比如
select *from v$version; --查看版本信息
那如果要做其他啥事咋整啊,得继续要被赋予权限啊.所以在oracle中差不多没有啥操作是理所当然就能去做的.必须得有一个个的权限了才能去做.Oracle中的权限划分的非常细.虽然这样挺麻烦的,但极大的保证了安全性.
赋予权限一般有两种方式
1.通过grant语句把一个个细分的权限赋予某个用户,就像上面那样用.
很显然如果要赋予用户上百个权限,而同时要创建上百个用户,你一个个的敲得敲得你手发软,于是就有另外一种方法
2.先创建一个角色,然后把各种权限赋予这个角色.然后你创建用户的时候可以把这个角色赋予他.这样新用户就拥有了所有角色的权限.
实际上这有点像面向对象中的继承,子类继承了父类就继承了父类的财产了啊.角色像父类,用户像子类.
创建角色
create role father;
grant create table to father;
grant father to arwen;
上面先创建一个角色father,然后赋予角色建表权限,然后把角色赋给用户arwen.此时arwen也具有了建表权限.我们知道面向对象中父类还能再继承父类.那这里角色还能被赋予角色,比如oracle中默认有角色resource
grant resource to father;
赋予对象权限(object privileges)
大部分时候我们指的权限是系统权限,一般是泛指,范围较广.比如具有建表,查询表的权限啊.而对象权限是从较细的范围讲.比如让你具有对某一个对象(具体的某一个表或视图等的操作权限).
比如有表tmp.则grant select on tmp to arwen.表示arwen具有了访问表tmp的权限,但没权限访问其他任何表.
赋予权限的权限
联级赋予系统权限(with admin option)
看了这么多赋予权限的方式你可能会问难道赋予权限都得sys这样的超级用户去做嘛.那多累啊.自然不是啊.你还可以让其他用户也有赋予别人的权限.举例
先通过sys用户, grant create table to arwen with admin option;--加上with admin option这个修饰就表示arwen也可以把建表的权限接着赋予其他用户了.这是一种具有传递性的赋权方式.而且假如arwen通过grant create table to weiwen赋予用户weiwen建表权限后,如果啥时arwen自己的建表权限被回收了.weiwen的建表权限还在
联级赋予对象权限(with grant option)
另外还有grant select on emp to arwen with grant option; --也跟上面一样表示arwen也可以把查表tmp的权限再接着赋予其他用户
arwen通过grant select on emp to weiwen with grant option; --与系统权限不同,如果arwen的权限被回收后,weiwen的查表权限也没了.
如果weiwen又通过grant select on emp to test ; --赋权给test.当arwen或weiwen任意一个被取消权限了它也被取消.就像一个继承层次一样.前面的权限被取消了后面的也没了.
回收权限
我们知道赋予了权限肯定还能回收,
很简单,赋予权限是grant ... to ...
回收就是revoke ... from ...
例如revoke create table from arwen;
为什么会有create session权限
关于这个权限很有争议.因为没有这个权限其实也是可以的,而且这权限很容易误导人.比如创建了用户竟然还不能登陆有点不全常理.在sql server中也没有这样的权限.那在oracle中它到底有什么作用呢?
我觉得create session有个蛮重要的作用就是起lock的作用.比如说我们在某些情况想lock住一个用户.像发现用户账号有异常或此用户因某员工离职先暂时lock住.你回收了create session权限就不能连接了,跟lock住的作用完全一样.而且你可以同时回收create session权限和lock住.双保险啊.
另外如果想锁住用户时,你又没lock它的权限时你就只能回收create session了.