oracle中查看用户权限.docx

1、oracle中查看用户权限oracle中查看用户权限1.查看所有用户： select * from dba_users; select * from all_users; select * from user_users;2.查看用户或角色系统权限(直接赋值给用户或角色的系统权限)： select * from dba_sys_privs; select * from user_sys_privs;3.查看角色(只能查看登陆用户拥有的角色)所包含的权限sqlselect * from role_sys_privs;4.查看用户对象权限： select * from dba_tab_privs;

2、 select * from all_tab_privs; select * from user_tab_privs;5.查看所有角色： select * from dba_roles;6.查看用户或角色所拥有的角色： select * from dba_role_privs; select * from user_role_privs;7.查看哪些用户有sysdba或sysoper系统权限(查询时需要相应权限)select * from V$PWFILE_USERS注意：1、以下语句可以查看Oracle提供的系统权限select name from sys.system_privilege_

3、map2、查看一个用户的所有系统权限(包含角色的系统权限)Sql代码 1. selectprivilegefromdba_sys_privswheregrantee=DATAUSER2. union3. selectprivilegefromdba_sys_privswheregranteein(selectgranted_rolefromdba_role_privswheregrantee=DATAUSER);select privilege from dba_sys_privs where grantee=DATAUSERunionselect privilege from dba_sys

4、_privs where grantee in (select granted_role from dba_role_privs where grantee=DATAUSER ); -=-Oracle 用户、对象权限、系统权限-=一、用户与模式 用户：对数据库的访问，需要以适当用户身份通过验证，并具有相关权限来完成一系列动作 SYS用户，缺省始终创建，且未被锁定，拥有数据字典及其关联的所有对象 SYSTEM用户，缺省始终创建，且未被锁定，可以访问数据库内的所有对象 模式(schema)：是某个用户拥有所有对象的集合。具有创建对象权限并创建了对象的用户称为拥有某个模式 注意：创建数据库对象(视图

5、,表等)的任一用户都拥有一个以该用户名称开头的模式，且被视为模式用户二、创建及修改用户 条件：需要具有创建用户的权限，如sys,system,sysdba,dba role等 语法： CREATE USER user IDENTIFIED BY password | EXTERNALLY | GLOBALLY AS external name DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE tablespace_name QUOTA n K|M | UNLIMITED ON tablespace_name QUOTA n k|M

6、| UNLIMITED ON tablespace_name . PASSWORD EXPIRE ACCOUNT LOCK | UNLOCK PROFILE profile_name | DEFAULT eg: CREATE USER robinson IDENTIFIED BY tiger; -省略了DEFAULT TABLESPACE和TEMPORARY TABLESPACE 时，则由database_properties中对应的参数确定 SQL SELECT property_name,property_value FROM database_properties WHERE prope

7、rty_name LIKE DEFAULT%; PROPERTY_NAME PROPERTY_VALUE - - DEFAULT_TEMP_TABLESPACE TEMP DEFAULT_PERMANENT_TABLESPACE USERS DEFAULT_TBS_TYPE SMALLFILE 更多关于表空间的请参考：Oracle 表空间与数据文件 1.修改用户 修改用户的语法同创建用户，仅仅讲关键字create替换为alter，alter user可以修改除用户名之外的任一属性 ALTER USER robinson ACCOUNT LOCK; 2.修改密码 DBA 可以创建用户和修改密码

8、用户本人可以使用ALTER USER 语句修改密码 SQL ALTER robinson IDENTIFIED BY newpassword; 3.删除用户： DROP USER username CASCADE CASECADE 连同用户创建的对象一并删除，如果该用户创建了对象，要加CASCADE删除，否则删除不掉 另外，不能删除当前正在与ORACLE服务器相连的用户。 4.改变用户在表空间上的配额： ALTER USER username QUOTA 0 ON system; ALTER USER scott QUOTA UNLIMITED ON USERS; ALTER USER dog

9、 QUOTA 30M ON system; 5.查看用户表空间配额（dba_ts_quotas)： SQL SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 Max MB 2 FROM dba_ts_quotas WHERE USERNAME=SCOTT; USERNAME TABLESPACE_NAME Max MB - - SCOTT SYSTEM 30 6.查看特定对象下用户所拥有的对象 使用dba_objects视图 SQL SELECT owner,object_name, object_type FROM dba_objects

10、 WHERE owner= SCOTT; 三、ORACLE权限： 系统权限: 允许用户执行特定的数据库动作，如创建表、创建索引、连接实例等 对象权限: 允许用户操纵一些特定的对象，如读取视图，可更新某些列、执行存储过程等 1.系统权限 超过一百多种有效的权限（SELECT * FROM SYSTEM_PRIVILEGE_MAP查） 数据库管理员具有高级权限以完成管理任务，例如: 创建新用户 删除用户 删除表 备份表 a.常用的系统权限： CREATE SESSION 创建会话 CREATE SEQUENCE 创建序列 CREATE SYNONYM 创建同名对象 CREATE TABLE 在用户

11、模式中创建表 CREATE ANY TABLE 在任何模式中创建表 DROP TABLE 在用户模式中删除表 DROP ANY TABLE 在任何模式中删除表 CREATE PROCEDURE 创建存储过程 EXECUTE ANY PROCEDURE 执行任何模式的存储过程 CREATE USER 创建用户 DROP USER 删除用户 CREATE VIEW 创建视图 b.授予用户系统权限 GRANT privilege , privilege. TO user , user| role, PUBLIC. WITH ADMIN OPTION; PUBLIC 所有用户 WITH ADMIN O

12、PTION 使用户同样具有分配权限的权利，可将此权限授予别人 SQL GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott; SQL GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION; SQL CONN scott; -scott具有WITH ADMIN OPTION，故可以将EXECUTE ANY PROCEDURE授予robinson Enter password: Connected. SQL GRANT EXECUTE ANY PROCEDURE TO robinson;

13、 Grant succeeded. SQL GRANT EXECUTE ANY PROCEDURE TO PUBLIC; -将EXECUTE ANY PROCEDURE授予所有用户 Grant succeeded. SQL CONN system/redhat; -使用system为robinson授予CREATE TABLE、CREATE SESSION权限 Connected. SQL GRANT CREATE TABLE,CREATE SESSION TO robinson; Grant succeeded. c.使用系统权限 -使用robinson具有创建会话、创建表 SQL CREA

14、TE TABLE tb1 AS SELECT * FROM USER_TABLES; -下面提示没有权限在users表空间创建对象 CREATE TABLE tb1 AS SELECT * FROM USER_TABLES * ERROR at line 1: ORA-01950: no privileges on tablespace USERS SQL CONN sys as sysdba; -使用sys帐户登陆并为robinson在users表空间指定配额后可以创建表tb1 Enter password: Connected. SQL ALTER USER robinson QUOTA

15、10M ON USERS; User altered. SQL CONN robinson/lion; Connected. SQL CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; Table created. d.查看系统权限 dba_sys_privs -针对所有用户被授予的系统权限 user_sys_privs -针对当前登陆用户被授予的系统权限 SQL SELECT grantee,privilege,admin_option FROM dba_sys_privs 2 WHERE grantee IN (SCOTT,ROBINSON) 3

16、ORDER BY grantee; GRANTEE PRIVILEGE ADM - - - ROBINSON CREATE SESSION NO ROBINSON CREATE TABLE NO ROBINSON EXECUTE ANY PROCEDURE NO SCOTT CREATE PUBLIC SYNONYM NO SCOTT CREATE SESSION NO SCOTT CREATE SYNONYM NO SCOTT CREATE TABLE NO SCOTT CREATE USER NO SCOTT CREATE VIEW NO SCOTT EXECUTE ANY PROCEDU

17、RE YES SCOTT UNLIMITED TABLESPACE NO e.回收系统权限 REVOKE privilege | role FROM user_name | role_name | PUBLIC -下面的示例中并没有回收掉原来由scott授予给robisnon EXECUTE ANY PROCEDURE 的权限 SQL REVOKE EXECUTE ANY PROCEDURE FROM scott; Revoke succeeded. SQL select grantee,privilege,admin_option from dba_sys_privs 2 where gra

18、ntee in (SCOTT,ROBINSON) and privilege = EXECUTE ANY PROCEDURE 3 order by grantee; GRANTEE PRIVILEGE ADM - - - ROBINSON EXECUTE ANY PROCEDURE NO 注意：对于使用with admin option 为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有 用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限 2.对象权限 不同的对象具有不同的对象权限 对象的拥有者拥有所有权限 对象的拥有者可以向外分配权限 ORACLE一共有种对象权限 对象

19、权限 表 视图 序列 过程 修改(alter) 删除(delete) 执行(execute) 索引(index) 插入(insert) 关联(references) 选择(select) 更新(update) a.对象授权 GRANT object_privALL (columns) ON object TO user|role|PUBLIC WITH GRANT OPTION; ALL：所有对象权限 PUBLIC：授给所有的用户 WITH GRANT OPTION：允许用户再次给其它用户授权 b.授予系统权限与授予对象权限的语法差异： 授予对象权限时需要指定关键字ON，从而能够确定权限所应用

20、的对象。对于表和视图可以指定特定的列来授权。 -对象授权示例 SQL SHOW USER; USER is SCOTT SQL GRANT SELECT ON emp TO robinson; Grant succeeded. SQL GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION; Grant succeeded. -新创建一个用户john，使用robinson账户授予更新scott.emp(sal,mgr)的权限 SQL CREATE USER john IDENTIFIED BY john; User created.

21、 SQL GRANT CREATE SESSION TO john; Grant succeeded. SQL CONN ROBINSON/LION Connected. SQL GRANT UPDATE(sal,mgr) ON scott.emp TO john; -授予scott.emp(sal,mgr)的更新权限 Grant succeeded. SQL UPDATE scott.emp SET sal = sal + 100 WHERE ename = SCOTT; -成功更新 1 row updated. -向数据库中所有用户分配权限 SQL GRANT SELECT ON dept

22、 TO PUBLIC; Grant succeeded. c.查询权限分配情况 数据字典视图 描述 ROLE_SYS_PRIVS 角色拥有的系统权限 ROLE_TAB_PRIVS 角色拥有的对象权限 USER_TAB_PRIVS_MADE 查询授出去的对象权限(通常是属主自己查） USER_TAB_PRIVS_RECD 用户拥有的对象权限 USER_COL_PRIVS_MADE 用户分配出去的列的对象权限 USER_COL_PRIVS_RECD 用户拥有的关于列的对象权限 USER_SYS_PRIVS 用户拥有的系统权限 USER_TAB_PRIVS 用户拥有的对象权限 USER_ROLE_P

23、RIVS 用户拥有的角色 -查询已授予的对象权限(即某个用户对哪些表对哪些用户开放了对象权限) SQL SELECT * FROM user_tab_privs_made; -下面是scott用户开放的对象权限 GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE - - - - - - PUBLIC DEPT SCOTT SELECT NO NO ROBINSON EMP SCOTT SELECT NO NO -查询列上开放的对象权限 SQL SELECT * FROM user_col_privs_made; GRANTEE TABLE_NAME COL

24、UMN_NAME GRANTOR PRIVILEGE GRA - - - - - - ROBINSON EMP SAL SCOTT UPDATE YES JOHN EMP MGR ROBINSON UPDATE NO ROBINSON EMP MGR SCOTT UPDATE YES JOHN EMP SAL ROBINSON UPDATE NO -查询已接受的对象特权(即某个用户被授予了哪些表上的哪些对象特权) SQL SELECT * FROM user_tab_privs_recd; OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE - - - - -

25、 - SCOTT EMP SCOTT SELECT NO NO -查询用户已接受列的对象权限 SQL SELECT * FROM user_col_privs_recd; OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA - - - - - - SCOTT EMP MGR SCOTT UPDATE YES SCOTT EMP SAL SCOTT UPDATE YES d.收回对象权限 使用REVOKE 语句收回权限 使用WITH GRANT OPTION 子句所分配的权限同样被收回 REVOKE privilege , privilege.|

26、ALL ON object FROM user, user.|role|PUBLIC CASCADE CONSTRAINTS; CASCADE CONSTRAINTS 为处理引用完整性时需要 -收回权限示例 SQL conn scott/tiger; Connected. SQL REVOKE SELECT ON emp FROM robinson; Revoke succeeded. SQL REVOKE UPDATE(sal,mgr) ON emp FROM robinson; -注意此处的提示revoke的是整个表，而非列 REVOKE UPDATE(sal,mgr) ON emp FROM robinson * ERROR at line 1: ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column SQL REVOKE UPDATE ON emp FROM robinson;