Oracle角色詳解

一、概述

角色就是相關權限的命令集合，使用角色的主要目的就是爲了簡化權限的管理。假定有用戶a，b，c爲了讓他們都擁有權限

1、連接數據庫

2、在scott.emp表上select，insert，update

如果採用直接授權操作，則需要進行12次授權。

如果採用角色就可以簡化

首先將create session，select on scott.emp，insert on scott.emp，update on scott.emp授予角色，然後將該角色授予a，b，c用戶，這樣就可以三次授權搞定。角色分爲預定義角色和自定義角色兩類。

 

二、預定義角色

預定義角色是指Oracle所提供的角色，每種角色都用於執行一些特定的管理任務，下面我們介紹常用的預定義角色connect，resource，dba。

1、connect角色

connect角色具有一般應用開發人員需要的大部分權限，當建立了一個用戶後，多數情況下，只要給用戶授予connect和resource角色就夠了，那麼connect角色具有以下系統權限：

alter session

create cluster

create database link

create session

create view

create sequence

 

2、resource角色

resource角色具有應用開發人員所需要的其他權限，比如建立存儲過程、觸發器等。這裏需要注意的是resource角色隱含了unlimited tablespace系統權限。

resource角色包含以下系統權限：

create cluster

create indextype

create table

create sequence

create type

create procedure

create trigger

 

3、dba角色

dba角色具有所有的系統權限，及with admin option選項，默認的dba用戶爲sys和system他們可以將任何系統權限授予其他用戶。但是要注意的是dba角色不具備sysdba和sysoper的特權（啓動和關閉數據庫）。

 

三、自定義角色

顧名思義就是自己定義的角色，根據自己的需要來定義，一般是DBA來建立，如果用的別的用戶來建立，則需要具有create role的系統權限，在建立角色時可以指定驗證方式（不驗證，數據庫驗證等）。

1、建立角色（不驗證）

如果角色是公用的角色，可以採用不驗證的方式建立角色

sql>create role 角色名 not identified;

 

2、建立角色（數據庫驗證）

採用這樣的方式時，角色名、口令存放在數據庫中，當激活該角色時，必須提供口令。在建立這種角色時，需要爲其提供口令。

create role 角色名 identified by tiger;

 

3、角色授權

當建立角色時，角色沒有任何權限，爲了使得角色完成特定任務，必須爲其授予相應的系統權限和對象權限。

給角色授權

給角色授予權限和給用戶授權沒有太多的區別，但是要注意，系統權限的unlimited tablespace對對象權限with grant option選項是不能授予角色的。

sql>conn system/manager;

sql>grant create session to 角色名 with admin option;

sql>conn scott/tiger;

sql> grant select on scott.emp to 角色名;

sql>grant insert,update,delete on scott.emp to 角色名;

通過上面的步驟，就給角色授權了。

 

4、分配角色給某個用戶

一般分配角色是由dba來完成的，如果要以其他用戶身份分配角色，則要求用戶必須具有grant any role的系統權限。

sql>grant 角色名 to blake with admin option;

因爲我給了with admin option選項，所以，blake可以把system分配給它的角色分配給別的用戶。

 

5、刪除角色

使用drop role，一般是dba來執行的，如用其他用戶則要求該用戶具有drop any role系統權限。

sql>drop role 角色名;

 

6、顯示角色信息

（1）顯示所有角色

sql>select * from dba_roles;

 

（2）顯示角色具有的系統權限

sql>select privilege,admin_option from role_sys_privs where role='角色名';

 

（3）顯示角色具有的對象權限

通過查詢數據字典視圖dba_tab_privs可以查看角色具有的對象權限或是列的權限。

 

（4）顯示用戶具有的角色及默認角色

當以用戶的身份連接到數據庫時，Oracle會自動的激活默認的角色，通過查詢數據字典視圖dba_role_privs可以顯示某個用戶具有的所有角色及當前默認的橘色。

sql>select granted_role,default_role from dba_role_privs where grantee='用戶名';

轉自：http://www.cnblogs.com/BeautyOfCode/archive/2010/09/28/1837239.html