Oracle数据库（权限、用户、角色、基本知识介绍）-数据库

捐助

Oracle数据库（权限、用户、角色、基本知识介绍）

8552 次浏览

2018-7-6

编辑推荐:

本文来自于csdn，介绍了数据库常见分类，关系型数据库概念，Oracle 数据库基本知识介绍，Oracle数据库权限。

关于用户与模式:

用户：对数据库的访问，需要以适当用户身份通过验证，并具有相关权限来完成一系列动作.SYS用户，缺省始终创建，且未被锁定，拥有数据字典及其关联的所有对象.SYSTEM用户，缺省始终创建，且未被锁定，可以访问数据库内的所有对象

模式(schema)：是某个用户拥有所有对象的集合。具有创建对象权限并创建了对象的用户称为拥有某个模式

注意：创建数据库对象(视图,表等)的任一用户都拥有一个以该用户名称开头的模式，且被视为模式用户

一、数据库基本知识

小型数据库：没有安全性
Access
中型数据库：有一定的安全性
SQL Server
MySQL
大型数据库：安全性最高
Oracle：性能高，市场需求量大
DB2
SYSBASE

（关系型）数据库相关概念

数据库 Database DB 存储数据的仓库
数据库管理系统 Database Management System DBMS
用于管理数据库的软件
负责数据的检索、存储、安全、一致性控制等
对已有的数据进行处理，得到新的有用的数据
关系型数据库
E.F.Codde 关于关系模型的论文
建立在关系模型基础上的数据库
拥有一组有描述的表格，这些表格的作用是装载数据
表格
行：一条记录，一个实体，具体存在的事物（Java 中的一个对象）
列：字段、属性，用于描述事物的某一个方面（Java中对象的属性）
实体集：所有实体的集合
关系：实体间的关系

SQL（Structured Query Language）

结构化查询语言
是一种语言
是一种规范 ANSI SQL-82 SQL-86 SQL-92 SQL-99
所有主流数据库都遵守
关系：有方向
1：1 一对一
对于实体集A中的每个实体，在实体集B中最多只有一个实体与之对应;反之，亦然。
1：n 一对多：外键总设在多方
对于实体集A中的每个实体，在实体集B中可以有多个实体与之对应。
n：n 多对多：分解成两个一对多，添加一个中间表
对于实体集A中的每个实体，在实体集B中可以有多个实体与之对应;反之，亦然。
数据库设计：逻辑模型
E-R图（Entity-Relation图）

三大范式（规范）：

1.一张表必须要有一个主键，最好选择与业务无关的逻辑主键;
逻辑主键，业务主键
2.外键引用主键
逻辑外键
3.不要出现冗余字段
实际开发中，有时候并不遵守，一定要冗余，以保证数据的正确性，提高查询效率，空间换时间;

关于Oracle数据库简单介绍

1970 Oracle5
最新 Oracle12c
9i 10g 小支持最新的SQL规范SQL-99
安装要求：
内存：100M+ 正常运行所需最小内存（3G+ 电脑不卡）
硬盘：1.5+G

Oracle数据库相关概念

数据库：存储数据的仓库，主要指存放数据的文件，包括数据文件、控制文件、数据库日志文件
数据名：用于唯一的标识数据库
实例：一系列为当前数据库提供服务的内存和后台进程，内存与服务进程的集合称为一个实例
实例名/SID/服务名：用于唯一的标识一个实例
实例名与数据库名可以不一致

Oracle服务

OracleService+SID，数据库启动的基础服务
OracleOraDb10g_home1TNSListner，为客户端提供监听服务，提供连接服务
OracleOraDb10g_home1iSQL*Plus，让客户端可以通过浏览器来对数据库进行操作

数据库的启动和关闭

登录用户必须是管理员用户
启动：startup open
关闭：shutdown immediate
Oracle客户端工具
SQL*Plus
三种启动方式
第一种、开始 → 程序 → Oracle → 应用开发工具 → SQL*Plus
第二种、命令行窗口 → sqlplus
第三种、浏览器 → http://ip:5561/isqlplus
第四种、本方法前提是Oracle文件放在能在linux终端找到的位置，利用linux命令运行Oracle客户端，一般情况下都不会运用此方式来打开Oracle客户端，建议使用第一种、第二种启动方式。
SqlDeveloper（linux系统上修改文件的读取权限）
终端 → cd sqldevelper → chmod 777 *.sh
→ . /sqldeveloper.sh | bash sqldeveloper.sh | sh sqldeveloper.sh

二、监听器

监听客户端连接请求,位于服务端的、独立运行的一个后台进程,一旦建立服务器与客户端的连接，之后客户端与服务的通信不再通过它

命令行窗口 → sqlplus：启动一个SQL*Plus客户端工具

或 → sqlplus username/password [as sysdba]

或 → sqlplus /nolog：打开SQL*Plus,但不登录

→ conn username/password@192.168.7.58:1521/orcl

→ disconnect 断开连接

spool 命令要写到的文件的路径；注意：当使用完毕后要使用spool off；

conn /as sysdba 操作系统验证

Oracle 登录验证：操作系统、数据库验证、密码文件

三、权限

Oracle在刚开始的入门知识方面和mysql在权限方面有着较大的不同，在Oracle中几乎所有的操作（创建用户、创建表、删除表等等一些增删改查在没有获得权限之前是不允许执行的）在没有获得权限之前都不能够执行，在mysql中则没有那么严格，所以有必要先了解一下Oracle中权限的分配。

在创建用户之前，可以登录系统管理员权限去创建一个用户（因为系统管理员有这个权限），下面是三种用户分类：

sys； //系统管理员，拥有最高权限
system；//本地管理员，次高权限
scott； //普通用户，密码默认为tiger,默认未解锁

在登陆的时候，可以选择下面三种登录方式：

sqlplus / as sysdba； //登陆sys帐户
sqlplus sys as sysdba；//同上
sqlplus scott/tiger； //登陆普通用户scott

比如创建一个用户和给创建的用户分配权限代码示例：（下面创建用户是在系统管理员的身份下创建的，并且系统管理员本身也有这个权限，但是如果没有赋予普通用户创建用户的权限，那么普通用户创建用户这个操作就会失败。）

3.1、在Oracle中创建一个新用户

(用户名：zhangsan 密码：zhangsan，默认登陆是在users表中，并分配10M的空间)

·先用超级管理员连上：sqlplus
·输入用户名及密码：scott/tiger
·连接成功后，使用：conn sys /sysdba as sysdba;登入超级管理员后，输入如下命令：
create user zhangsan identified by zhangsan default tablespace users quota 10M on users
分配权限给新用户zhangsan
grant create session, create table, create view to zhangsan

下面语句可以在sys系统管理员登录的情况下创建的

create user 用户名 identified by 密码; //在管理员帐户下，创建用户
alert user scott identified by tiger; //修改密码

系统权限: 允许用户执行特定的数据库动作，如创建表、创建索引、连接实例等

对象权限: 允许用户操纵一些特定的对象，如读取视图，可更新某些列、执行存储过程等

3.2系统权限和对象权限:

（1）系统权限：

grant 权限列表，.. to username [with admin option 同时获得权限分配权];
revoke 权限列表，.. from usernam;
a.常见的系统权限
CREATE SESSION 创建会话
CREATE SEQUENCE 创建序列
CREATE SYNONYM 创建同名对象
CREATE TABLE 在用户模式中创建表
CREATE ANY TABLE 在任何模式中创建表
DROP TABLE 在用户模式中删除表
DROP ANY TABLE 在任何模式中删除表
CREATE PROCEDURE 创建存储过程
EXECUTE ANY PROCEDURE 执行任何模式的存储过程
CREATE USER 创建用户
DROP USER 删除用户
b.授予用户系统权限
GRANT privilege [, privilege...] TO user [, user| role , PUBLIC ...]
[WITH ADMIN OPTION];
PUBLIC 所有用户
WITH ADMIN OPTION 使用户同样具有分配权限的权利，可将此权限授予别人
c.使用系统权限
--使用robinson具有创建会话、创建表
SQL > CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示没有权限在 users表空间创建对象
CREATE TABLE tb1 AS SELECT * FROM USER_ TABLES
ERROR at line 1:
ORA-01950: no privileges on tablespace 'USERS'
SQL > CONN sys as sysdba; --使用sys 帐户登陆并为robinson 在users 表空间指定配额后可以创建表tb1
Enter password:
Connected .
SQL > ALTER USER robinson QUOTA 10M ON USERS;
User altered.
SQL > CONN robinson /lion;
Connected.
SQL > CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;
Table created.
d.查看系统权限
dba_ sys_ privs --针对所有用户被授予的系统权限
user_ sys_ privs --针对当前登陆用户被授予的系统权限
e.回收系统权限
REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}
--下面的示例中并没有回收掉原来由scott授予给 robisnon EXECUTE ANY PROCEDURE 的权限
SQL > REVOKE EXECUTE ANY PROCEDURE FROM scott;
Revoke succeeded.
SQL > select grantee,privilege,admin_ option from dba_sys_privs
2 where grantee in ('SCOTT','ROBINSON') and privilege = 'EXECUTE ANY PROCEDURE'
3 order by grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON EXECUTE ANY PROCEDURE NO
注意：对于使用 with admin option 为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有
用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限

（2）对象权限

grant 权限 on 对象名 to username[with grant option 同时获得权限分配权];

revoke 权限 on 对象名 from username;

不同的对象具有不同的对象权限,对象的拥有者拥有所有权限,对象的拥有者可以向外分配权限.关于授予系统权限与授予对象权限的语法差异：授予对象权限时需要指定关键字ON，从而能够确定权限所应用的对象.对于表和视图可以指定特定的列来授权。

对象授权示例

SQL> SHOW USER;
USER is "SCOTT"
SQL> GRANT SELECT ON emp TO robinson;
Grant succeeded.
SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;
Grant succeeded.
--新创建一个用户john，使用robinson账户授予更新scott.emp(sal,mgr)的权限
SQL> CREATE USER john IDENTIFIED BY john;
User created.
SQL> GRANT CREATE SESSION TO john;
Grant succeeded.
SQL> CONN ROBINSON/LION
Connected.
SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john; --授予scott.emp(sal,mgr)的更新权限
Grant succeeded.
SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT'; --成功更新
1 row updated.
--向数据库中所有用户分配权限
SQL> GRANT SELECT ON dept TO PUBLIC；
Grant succeeded.
c.查询权限分配情况
数据字典视图描述
ROLE_SYS_PRIVS 角色拥有的系统权限
ROLE_TAB_PRIVS 角色拥有的对象权限
USER_TAB_PRIVS_MADE 查询授出去的对象权限(通常是属主自己查）
USER_TAB_PRIVS_RECD 用户拥有的对象权限
USER_COL_PRIVS_MADE 用户分配出去的列的对象权限
USER_COL_PRIVS_RECD 用户拥有的关于列的对象权限
USER_SYS_PRIVS 用户拥有的系统权限
USER_TAB_PRIVS 用户拥有的对象权限
USER_ROLE_PRIVS 用户拥有的角色
-查询已授予的对象权限(即某个用户对哪些表对哪些用户开放了对象权限)
SQL> SELECT * FROM user_tab_privs_made; --下面是scott用户开放的对象权限
GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- ------------------------ ------------------------- -------------------- --- ---
PUBLIC DEPT SCOTT SELECT NO NO
ROBINSON EMP SCOTT SELECT NO NO
--查询列上开放的对象权限
SQL> SELECT * FROM user_col_privs_made;
GRANTEE TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- -------------------- --------------------- -------------- -------------------- ---
ROBINSON EMP SAL SCOTT UPDATE YES
JOHN EMP MGR ROBINSON UPDATE NO
ROBINSON EMP MGR SCOTT UPDATE YES
JOHN EMP SAL ROBINSON UPDATE NO
--查询已接受的对象特权(即某个用户被授予了哪些表上的哪些对象特权)
SQL> SELECT * FROM user_tab_privs_recd;
OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- -------------------- ------------------------------ -------------------- --- ---
SCOTT EMP SCOTT SELECT NO NO
--查询用户已接受列的对象权限
SQL> SELECT * FROM user_col_privs_recd;
OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- ------------------ ---------------- -------------------- -------------------- ---
SCOTT EMP MGR SCOTT UPDATE YES
SCOTT EMP SAL SCOTT UPDATE YES
d.收回对象权限
使用REVOKE 语句收回权限
使用WITH GRANT OPTION 子句所分配的权限同样被收回
REVOKE {privilege [, privilege...]|ALL}
ON object
FROM {user[, user...]|role|PUBLIC}
[CASCADE CONSTRAINTS];
CASCADE CONSTRAINTS 为处理引用完整性时需要
--收回权限示例
SQL> conn scott/tiger;
Connected.
SQL> REVOKE SELECT ON emp FROM robinson;
Revoke succeeded.
SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此处的提示revoke的是整个表，而非列
REVOKE UPDATE(sal,mgr) ON emp FROM robinson
*
ERROR at line 1:
ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column
SQL> REVOKE UPDATE ON emp FROM robinson;
Revoke succeeded.
--用户robinson的update 权限被revoke,曾级联赋予john的权限也被收回，
--如下提示表、视图不存在，user_col_privs_recd中无记录
SQL> CONN john/john;
Connected.
SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';
UPDATE scott.emp SET sal = sal - 100 WHERE ename = ' SCOTT '
*
ERROR at line 1:
ORA-00942: table or view does not exist
SQL> SELECT * FROM user_col_privs_recd;
no rows selected
注意：如果取消某个用户的对象权限，对于该用户使用with grant option授予其它用户相同权限来说，将级联删除这些用户权限
e.其它
检查DBA权限的用户
select * from dba_role_ privs where granted_ role = ' DBA ';
查看用户具有的系统权限：
SELECT * FROM session_ privs;

在Oracle权限之间存在传递性：
即用户A将权限授予B，B可以将操作的权限再授予C ，命令如下：
grant alert table on tablename to zhangsan with admin option；//关键字 with admin option同时获得权限分配权
grant alert table on tablename to zhangsan with grant option；//关键字 with grant option效果和admin类似
即with admin option 允许当前用户A将权限赋予B。

3.3权限总结

1.使用create user语句创建用户，alter user语句修改用户，其语法大致相同
drop user username [CASCADE] 会删除用户所拥有的所有对象及数据
2.系统权限允许用户在数据库中执行特定的操作，如执行DDL语句。
with admin option 使得该用户具有将自身获得的权限授予其它用户的功能
但收回系统权限时，不会从其它帐户级联取消曾被授予的相同权限
3.对象权限允许用户对数据库对象执行特定的操作，如执行DML 语句。
with grant option 使得该用户具有将自身获得的对象权限授予其它用户的功能
但收回对象权限时，会从其它帐户级联取消曾被授予的相同权限
4.系统权限与对象权限授予时的语法差异为对象权限使用了ON object_ name 子句
5. PUBLIC 为所有的用户
6. ALL：对象权限中的所有对象权限

四、用户

MySQL，一个用户，多个数据库，每个数据库拥有各自的表，而Oracle一个数据库，多个用户，每个用户拥有各自的表（数据库对象）
sys （系统管理员拥有最高权限） as sysdba
system //本地管理员次高权限
scott； //普通用户，密码默认为tiger,默认未解锁
创建用户：
create user username identified by password [account lock | unlock]
[password expire 设置密码过期];
解锁|加锁
alter user username account unlock | lock;
修改密码
非管理员用户登录状态：password → 旧口令 → 新口令：修改当前用户的密码
管理员登录状态：password username → 新口令：修改指定用户的密码
alter user username identified by newpassword;
删除用户
drop user username [cascade];
cascade表示级联删除用户的所有对象，删用户时，一起删除该用户的对象
删除当前正在连接的用户
v$session 存放的是已经连接的用户的信息
select sid，serial#，username from v$session where username = ‘’;
alter system kill session 'sid，serial#';
drop user username [cascade];
查看当前的登录的用户
show user;

关于用户常见操作代码（下面的代码都是可以运行的，在windows操作系统上大写小区分不敏感，所以大部分大写的关键命令单词都可以小写）：

1.修改用户
修改用户的语法同创建用户，仅仅讲关键字create 替换为alter，alter user可以修改除用户名之外的任一属性
ALTER USER robinson ACCOUNT LOCK;
2.修改密码
DBA 可以创建用户和修改密码
用户本人可以使用ALTER USER 语句修改密码
SQL > ALTER user robinson IDENTIFIED BY newpassword;
3.删除用户：
DROP USER username [CASCADE]
CASECADE 连同用户创建的对象一并删除，如果该用户创建了对象，要加CASCADE删除，否则删除不掉
另外，不能删除当前正在与ORACLE服务器相连的用户。
4.改变用户在表空间上的配额：
ALTER USER username QUOTA 0 ON system;
ALTER USER scott QUOTA UNLIMITED ON USERS;
ALTER USER dog QUOTA 30M ON system;
5.查看用户表空间配额（dba_ts_quotas)：
SQ L> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES /1024 / 1024 " Max MB"
2 FROM dba_ts_quotas WHERE USERNAME='SCOTT';
USERNAME TABLESPACE_NAME Max MB
------------------------------ --------------------------
SCOTT SYSTEM 30
6.查看特定对象下用户所拥有的对象
使用dba_objects视图
SQL> SELECT owner,object_ name, object_ type FROM dba_ objects WHERE owner= 'SCOTT';

五、角色与权限

角色基本内容如下：
grant 角色 to username;
revoke 角色 from username;
一个角色是多个权限的集合
系统预定义角色
connect 连接
resource 访问资源权限，访问表、序列，不包括create session
dba 拥有所有权限
自定义角色
create role 角色名
grant 权限列表|角色列表 to 角色名

每个Oracle用户都有一个名字和口令,并拥有一些由其创建的表、视图和其他资源。Oracle角色（role）就是一组权限（privilege） (或者是每个用户根据其状态和条件所需的访问类型)。用户可以给角色授予或赋予指定的权限，然后将角色赋给相应的用户。一个用户也可以直接给其他用户授权。

数据库系统权限（Database System Privilege）允许用户执行特定的命令集。例如，CREATE TABLE权限允许用户创建表，GRANT ANY PRIVILEGE 权限允许用户授予任何系统权限。

数据库对象权限（Database Object Privilege）使得用户能够对各个对象进行某些操作。例如DELETE权限允许用户删除表或视图的行，SELECT权限允许用户通过select从表、视图、序列（sequences）或快照（snapshots）中查询信息。

（1）、3种标准角色

Qracle为了兼容以前的版本，提供了三种标准的角色（role）：CONNECT、RESOURCE 和DBA。

1. CONNECT Role(连接角色)
临时用户，特别是那些不需要建表的用户，通常只赋予他们CONNECTrole。CONNECT是使用Oracle的简单权限，这种权限只有在对其他用户的表有访问权时，包括select、insert、update和delete等，才会变得有意义。拥有CONNECT role的用户还能够创建表、视图、序列（sequence）、簇（cluster）、同义词（synonym ）、会话（session）和与其他数据库的链（link）。
2. RESOURCE Role(资源角色)
更可靠和正式的数据库用户可以授予RESOURCE role。RESOURCE提供给用户另外的权限以创建他们自己的表、序列、过程（procedure）、触发器（trigger）、索引（index）和簇（cluster）。
3. DBA Role(数据库管理员角色)
DBA role拥有所有的系统权限----包括无限制的空间限额和给其他用户授予各种权限的能力。SYSTEM由DBA用户拥有。下面介绍一些DBA经常使用的典型权限?br> A.grant（授权）命令
下面对刚才创建的用户user01授权，命令如下：
grant connect, resource to user01;
B.revoke（撤消）权限
已授予的权限可以撤消。例如撤消（1）中的授权，命令如下：
revoke connect, resource from user01;
一个具有DBA角色的用户可以撤消任何别的用户甚至别的DBA的CONNECT、RESOURCE 和DBA的其他权限。当然，这样是很危险的，因此，除非真正需要，DBA权限不应随便授予那些不是很重要的一般用户。
撤消一个用户的所有权限，并不意味着从Oracle中删除了这个用户，也不会破坏用户创建的任何表；只是简单禁止其对这些表的访问。其他要访问这些表的用户可以象以前那样地访问这些表。

（2）、创建角色

除了前面讲到的三种系统角色—-CONNECT、RESOURCE和DBA，用户还可以在Oracle创建自己的role。用户创建的role可以由表或系统权限或两者的组合构成。为了创建role，用户必须具有CREATE ROLE系统权限。下面给出一个create role命令的实例：

create role STUDENT;
这条命令创建了一个名为 STUDENT的 role。
一旦创建了一个role，用户就可以给他授权。给role授权的grant命令的语法与对对用户的语法相同。在给role授权时，在grant命令的to子句中要使用role的名称，如下所示：
grant select on CLASS to STUDENT;

现在，拥有STUDENT角色的所有用户都具有对CLASS表的select权限。

（3）、删除角色

要删除角色，可以使用 drop role命令，如下所示：
drop role STUDENT;

8552 次浏览