【關(guān)鍵術(shù)語(yǔ)】

Privileges 權(quán)限

System privileges 系統(tǒng)權(quán)限

Object privileges 對(duì)象權(quán)限

Grant 授予

Revoke 撤消

2.1 Oracle 權(quán)限概述

2.1.1 權(quán)限的作用

權(quán)限(privilege)是指執(zhí)行特定類(lèi)型 SQL 命令或訪問(wèn)其他模式對(duì)象的權(quán)利。Oracle 使用 權(quán)限來(lái)控制用戶(hù)對(duì)數(shù)據(jù)的訪問(wèn)以及用戶(hù)所能執(zhí)行的操作。通過(guò)對(duì)用戶(hù)授予適當(dāng)?shù)臋?quán)限，用戶(hù) 能夠在自己的模式或其它用戶(hù)的模式中創(chuàng)建、刪除或修改數(shù)據(jù)庫(kù)對(duì)象，或者在數(shù)據(jù)庫(kù)中執(zhí)行 某些特定的操作。簡(jiǎn)言之，用戶(hù)所具有的權(quán)限決定了他能夠訪問(wèn)的數(shù)據(jù)和執(zhí)行的操作。

權(quán)限可以通過(guò)以下兩種方式授予用戶(hù)：

• ? 直接將權(quán)限授予用戶(hù)
• ? 首先將權(quán)限授予角色，然后再將角色授予用戶(hù)

2.1.2 權(quán)限的分類(lèi)

在 Oracle 中，權(quán)限一共可以分為兩類(lèi)：

? 系統(tǒng)權(quán)限

系統(tǒng)權(quán)限是在數(shù)據(jù)庫(kù)級(jí)別執(zhí)行某種操作，它用于控制用戶(hù)可以執(zhí)行的一個(gè)或一類(lèi)數(shù)據(jù)庫(kù)操作。

例如，創(chuàng)建表空間的權(quán)限就是一個(gè)系統(tǒng)權(quán)限。系統(tǒng)權(quán)限可由管理員授予，或者由可以顯式授予管理權(quán)限的用戶(hù)授予。共有一百多種不同的系統(tǒng)權(quán)限。很多系統(tǒng)權(quán)限都包含 ANY 子句。

? 對(duì)象權(quán)限

對(duì)象權(quán)限是針對(duì)某個(gè)特定的模式對(duì)象(如表、視圖、序列、過(guò)程、函數(shù)或程序包)執(zhí)行各種操作的權(quán)力。用戶(hù)只能訪問(wèn)他們自己擁有的對(duì)象。對(duì)象權(quán)限可以由對(duì)象的所有者或管理員授予，也可以由顯式授予了對(duì)象授予。

2.2 系統(tǒng)權(quán)限管理

2.2.1 系統(tǒng)權(quán)限分類(lèi)

在 Oracle 中總共包含超過(guò) 100 種不同的系統(tǒng)權(quán)限，每種系統(tǒng)權(quán)限都為用戶(hù)提供了執(zhí)行 某一種或某一類(lèi)型特定的數(shù)據(jù)庫(kù)操作的能力。

系統(tǒng)權(quán)限可以分為三類(lèi)：

• ? 針對(duì)系統(tǒng)級(jí)別或者數(shù)據(jù)庫(kù)級(jí)別的操作，如 CREATE SESSION 系統(tǒng)權(quán)限允許用戶(hù)連接到數(shù)據(jù)庫(kù)，CREATE TABLESPACE 系統(tǒng)權(quán)限允許用戶(hù)創(chuàng)建表空間。
• ? 允許用戶(hù)在自己模式內(nèi)的對(duì)象管理，如 CREATE TABLE 系統(tǒng)權(quán)限，允許用戶(hù)在自己模式內(nèi)創(chuàng)建表。
• ? 允許用戶(hù)在任何模式內(nèi)的對(duì)象管理，如 CREATE ANY TABLE 系統(tǒng)權(quán)限，允許用戶(hù)在任何模式內(nèi)創(chuàng)建表。

2.2.2 常用系統(tǒng)權(quán)限

表 1-1 列出了最常用的一些系統(tǒng)權(quán)限。

注意：

● 在系統(tǒng)權(quán)限中沒(méi)有 CREATE INDEX 權(quán)限，因?yàn)?CREATE TABLE 權(quán)限中已經(jīng)包含了CREATE INDEX 權(quán)限；

● 在 CREATE TABLE， CREATE PROCEDURE 和 CREATE CLUSTER 權(quán)限中已經(jīng)包含了刪除這些對(duì)象的權(quán)限；

● UNLIMITED TABLESPACE 系統(tǒng)權(quán)限不能授予角色；

● 要使用 truncate 命令刪減其他模式的表，用戶(hù)必須具有 DROP ANY TABLE 系統(tǒng)權(quán)限；

2.2.3 系統(tǒng)權(quán)限的授予和回收

1．系統(tǒng)權(quán)限授予

系統(tǒng)權(quán)限可以被授予用戶(hù)、角色或 PUBLIC 公共用戶(hù)組。PUBLIC 是一個(gè)在創(chuàng)建數(shù)據(jù)庫(kù)時(shí)自動(dòng)建立的用戶(hù)組，如果將權(quán)限授予 PUBLIC 用戶(hù)組，數(shù)據(jù)庫(kù)的任何用戶(hù)都將具有該權(quán)限。

使用 GRANT 語(yǔ)句可以授予系統(tǒng)權(quán)限，GRANT 命令由 DBA 來(lái)完成的。如果要以其他用戶(hù)身份授予系統(tǒng)權(quán)限，那么要求用戶(hù)必須具有 GRANT ANY PRIVILEGE 系統(tǒng)權(quán)限或用戶(hù)在得到該權(quán)限時(shí)具有轉(zhuǎn)授系統(tǒng)權(quán)限的選項(xiàng) WITH ADMIN OPTION。

GRANT 語(yǔ)句的語(yǔ)法如下： GRANT {system_privilege } [, {system_privilege } ]... TO {user | role | PUBLIC} [, {user | role | PUBLIC} ]... [WITH ADMIN OPTION]

其中參數(shù) WITH ADMIN OPTION 表示被授權(quán)的用戶(hù)可以把該系統(tǒng)權(quán)限再授給其他用 戶(hù)。

【實(shí)例 1-1】授予用戶(hù) aaron 具有創(chuàng)建表和視圖的權(quán)限。

1)以管理員身份登錄 SOL>CONNECT / AS SYSDBA 已連接。 2)授予權(quán)限 SOL>GRANT CREATE TABLE,CREATE VIEW to aaron; 授權(quán)成功。 3)使用權(quán)限創(chuàng)建表 SOL>connect aaron／soccer 已連接。 SOL>create table t1(cola int, colb char(3)); 表已創(chuàng)建。 SOL>INSERT INTO t1 VALUES(1,’A’); 已創(chuàng)建 1 行。 SOL>COMMIT; 提交完成。

在將系統(tǒng)權(quán)限 CREATE TABLE 授予用戶(hù) aaron 之后，該用戶(hù)就可以執(zhí)行建表操作了。

【實(shí)例1-2】授予 aaron 用戶(hù)創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限

1)以管理員身份登錄 SOL>CONNECT / AS SYSDBA 已連接。 2)授予權(quán)限 SOL>GRANT CREATE PROCEDURE to aaron; 授權(quán)成功。

Oracle 中有兩個(gè)特殊權(quán)限：SYSDBA 和 SYSOPER，具有該權(quán)限的用戶(hù)能執(zhí)行數(shù)據(jù)庫(kù)維 護(hù)操作，例如啟動(dòng)和關(guān)閉 Oracle Server、建立數(shù)據(jù)庫(kù)、備份和恢復(fù)等任務(wù)。

當(dāng)將初始化參數(shù) REMOTE_LOGIN_PASSWORDFILE 設(shè)置為 EXCLUSIVE 時(shí)，你還可 以將 SYSDBA 和 SYSOPER 特權(quán)授予其它用戶(hù)，這樣該用戶(hù)就會(huì)在口令文件中出現(xiàn)，并能 進(jìn)行啟動(dòng)和關(guān)閉實(shí)例等數(shù)據(jù)庫(kù)維護(hù)操作。例如：

C:>sqlplus ／nolog SOL>CONN ／ AS SYSDBA 已連接。SOL>GRANT SYSDBA to aaron; 授權(quán)成功。 SOL>CONN aaron/soccer AS SYSDBA; 已連接。 SOL>SHUTDOWN

需要注意，有特殊權(quán)限 SYSDBA 或 SYSOPER 的用戶(hù)在登錄時(shí)必須帶有 AS SYSDBA或 AS SYSOPER 子句。用戶(hù)使用 SYSOPER 可執(zhí)行基本操作任務(wù)，但不能查看用戶(hù)數(shù)據(jù)。

權(quán)限 SYSDBA 自動(dòng)包含了 SYSOPER 的所有權(quán)限，另外還具有建立數(shù)據(jù)庫(kù)以及執(zhí)行不 完全恢復(fù)的權(quán)限，而 SYSOPER 則不能執(zhí)行這兩項(xiàng)操作。

表 1-2 給出了 SYSDBA 和 SYSOPER 的區(qū)別。

CREATE ANY DIRECTORY：使用 Oracle 數(shù)據(jù)庫(kù)可以讓開(kāi)發(fā)人員在 PL/SQL 內(nèi)調(diào)用

外部代碼(例如 C 庫(kù))。作為一種安全措施，代碼所在的操作系統(tǒng)目錄必須鏈接到

一個(gè)虛擬 Oracle 目錄對(duì)象。使用 CREATE ANY DIRECTORY 權(quán)限時(shí)，有可能會(huì)調(diào)用

不安全的代碼對(duì)象。

用戶(hù)使用 CREATE ANY DIRECTORY 權(quán)限可以在 Oracle 軟件所有者能夠訪問(wèn)的任何

目錄中創(chuàng)建目錄對(duì)象(具有讀寫(xiě)訪問(wèn)權(quán)限)。這意味著用戶(hù)可以訪問(wèn)那些目錄中的外部過(guò)程。用戶(hù)可以嘗試直接讀寫(xiě)任何數(shù)據(jù)庫(kù)文件，如數(shù)據(jù)文件、重做日志和審計(jì)

日志。一定要確保在組織中采用了安全策略，以防止誤用類(lèi)似這種作用很強(qiáng)的權(quán)限。

2．系統(tǒng)權(quán)限回收

回收系統(tǒng)權(quán)限是使用 REVOKE 命令來(lái)完成的。在收回了用戶(hù)所具有的系統(tǒng)權(quán)限之后，用戶(hù)將不能執(zhí)行該系統(tǒng)權(quán)限所對(duì)應(yīng)的SQL命令。收回系統(tǒng)權(quán)限一般是由DBA用戶(hù)來(lái)完成的，但如果要以其他用戶(hù)身份收回系統(tǒng)權(quán)限，那么要求用戶(hù)必須具有 GRANT ANY PRIVILEGE系統(tǒng)權(quán)限或轉(zhuǎn)授系統(tǒng)權(quán)限的選項(xiàng) WITH ADMIN OPTION。

撤銷(xiāo)系統(tǒng)權(quán)限時(shí)不會(huì)產(chǎn)生級(jí)聯(lián)影響，無(wú)論是否指定了 ADMIN OPTION。

【實(shí)例 1-3】回收用戶(hù) aaron 的創(chuàng)建表的權(quán)限。

1)以管理員身份登錄 SOL>CONNECT / AS SYSDBA 已連接。 2)回收權(quán)限 SOL>REVOKE CREATE TABLE FROM aaron; 撤銷(xiāo)成功。

當(dāng)回收用戶(hù) aaron 的 CREATE TABLE 系統(tǒng)權(quán)限之后，該用戶(hù)將不能創(chuàng)建表了。

2.2.4 系統(tǒng)權(quán)限的傳遞

在使用 GRANT 授權(quán)時(shí)可以帶有 WITH ADMIN OPTION 參數(shù)，表明得到權(quán)限的用戶(hù)可以把該權(quán)限再授給其它用戶(hù)。

【實(shí)例 1-4】授予用戶(hù) aaron 有創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限，要求帶 WITH ADMIN OPTION參數(shù)。

1)以管理員身份登錄 SOL>CONNECT / AS SYSDBA 已連接。 1)管理員授予系統(tǒng)權(quán)限，并允許傳遞 SOL>GRANT CREATE PROCEDURE to aaron WITH ADMIN OPTION; 授權(quán)成功。 2)以 aaron 用戶(hù)登錄,授予用戶(hù) devp 創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限 SOL>CONNECT aaron/soccer 已連接。 SOL>GRANT CREATE PROCEDURE to devp; 授權(quán)成功。 3)創(chuàng)建存儲(chǔ)過(guò)程 SOL>connect devp /development 已連接。 SOL> CREATE OR REPLACE PROCEDURE pp 2 AS 3 BEGIN 4 DBMS_OUTPUT.PUT_LINE(‘成功了！’); 5 END; 6 / 過(guò)程已創(chuàng)建

因?yàn)?aaron 在得到創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限時(shí)帶有了 WITH ADMIN OPTION 參數(shù)，所以它也可以把該權(quán)限授予其它用戶(hù)。

這樣用戶(hù) devp 也具有了創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限。例如：

大家需要注意，系統(tǒng)權(quán)限在回收時(shí)不會(huì)被級(jí)聯(lián)回收。在前面的例子中，DBA 授予用戶(hù)aaron 具有 CREATE PROCEDURE 系統(tǒng)權(quán)限，用戶(hù) aaron 又把 CREATE PROCEDURE 系統(tǒng) 權(quán)限授予了 devp 用戶(hù)，圖 P1-1 示意性地給出了授權(quán)過(guò)程。

P1-1

當(dāng) DBA 收回 aaron 的 CREATE PROCEDURE 系統(tǒng)權(quán)限時(shí)，不會(huì)收回 devp 的系統(tǒng)權(quán)限，

因?yàn)橄到y(tǒng)權(quán)限不會(huì)被級(jí)聯(lián)收回。如圖 P1-2 所示。

【實(shí)例 1-5】回收用戶(hù) aaron 的創(chuàng)建存儲(chǔ)過(guò)程的權(quán)限。

1)以管理員身份登錄 SOL>CONNECT / AS SYSDBA 已連接。 2)回收權(quán)限 SOL>REVOKE CREATE PROCEDURE FROM aaron; 撤銷(xiāo)成功。 3)創(chuàng)建存儲(chǔ)過(guò)程 SOL>connect devp/development 已連接。 SOL> CREATE OR REPLACE PROCEDURE pp AS BEGIN DBMS_OUTPUT.PUT_LINE(‘成功了！’);END; / 過(guò)程已創(chuàng)建

當(dāng) DBA 收回了 aaron 的 CREATE PROCEDURE 系統(tǒng)權(quán)限后，用戶(hù) devp 仍然具有CREATE PROCEDURE 系統(tǒng)權(quán)限。

2.2.5 利用控制臺(tái)管理系統(tǒng)權(quán)限

---

寫(xiě)在最后的話(huà)

感謝各位的支持與閱讀，后續(xù)會(huì)繼續(xù)推送相關(guān)知識(shí)和交流，歡迎交流、轉(zhuǎn)發(fā)和關(guān)注，感謝！

總結(jié)

以上是生活随笔為你收集整理的activexobject对象不能创建_Oracle数据库用户管理之系统权限和对象权限的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。