【文章內(nèi)容簡(jiǎn)介】 EATE SESSION系統(tǒng)權(quán)限授予所有用戶(hù)： ? SQLGRANT CREATE SESSION TO PUBLIC； ? 這里的 PUBLIC實(shí)際上是 Oracle自動(dòng)創(chuàng)建的用戶(hù)組，每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都會(huì)自動(dòng)成為 PUBLIC組中的成員。利用 PUBLIC用戶(hù)組可以方便地為數(shù)據(jù)庫(kù)中所有的用戶(hù)授予某些必需的對(duì)象權(quán)限和系統(tǒng)權(quán)限。默認(rèn)情況下，作為 PUBLIC組中的成員，用戶(hù)可以查詢(xún)所有以 USER_和 ALL開(kāi)頭的數(shù)據(jù)字典視圖。 ? 系統(tǒng)權(quán)限授權(quán)工作通常由 DBA完成，但是授權(quán)時(shí)可以帶有 WITHADMIN OPTION選項(xiàng)，使得被授予者可以進(jìn)一步將此權(quán)限授予其他用戶(hù)。圖 8— 3操作中，首先由 DBA用戶(hù)將 CREATE SESSION與 CREATE VIEW系統(tǒng)權(quán)限授予省級(jí)管理員用戶(hù) gly_hebei，再由省級(jí)管理員授予 2個(gè)地市級(jí)管理員 gly— sjz、 gly_bd． ? 圖 8— 3系統(tǒng)權(quán)限的傳遞 2．授予對(duì)象權(quán)限 ? 一個(gè)對(duì)象的擁有者具有該對(duì)象的所有權(quán)限，他可以將該對(duì)象上的權(quán)限授予數(shù)據(jù)庫(kù)的其他用戶(hù)。如果他允許被授予者可以再轉(zhuǎn)授此權(quán)限給另外的用戶(hù)，授權(quán)時(shí)需要帶有 WITH GRANT OPTION選項(xiàng)。 ? 例如， iwcuser將自己表 stud上的查詢(xún)權(quán)限授予用戶(hù)testuser： ? SQLGRANT SELECT ON stud TO testuser； ? jwcuser將自己表 stud上的插入數(shù)據(jù)權(quán)限、結(jié)構(gòu)更改權(quán)限授予用戶(hù) testuser： ? SQLGRANT INSERT， ALTER ON stud TO testusel； ? jwcuser將自己表 course上的所有權(quán)限授予用戶(hù)userl與 user2： ? SQLGRANT ALL ON course TO userl，user2； ? 將表 temp的列 coll和列 c012上的更新、插入權(quán)限授予用戶(hù) userl： ? SQLGRANT UPDATE(C011， C012)，INSERT(c011， C012)0N temp T0 userl； 再如，將包 DBMS— OUTPUT上的執(zhí)行權(quán)限授予用戶(hù) userl， userl還可以轉(zhuǎn)授此權(quán)限給其他用戶(hù)： ? SQLCONN／ AS SYSDBA ? SQLGRANT EXECUTE ON DBMS OUTPUT TO user WITH GRANT OPTION； 這里屬于對(duì)象權(quán)限的傳遞，用 WITH GRANT OPTION選項(xiàng)表示。 回收權(quán)限 回收權(quán)限的命令是 REVOKE，執(zhí)行回收權(quán)限操作的用戶(hù)同時(shí)必須具有授予相同權(quán)限的能力與 GRANT命令相類(lèi)似，回收權(quán)限時(shí)也會(huì)根據(jù)是系統(tǒng)權(quán)限還是對(duì)象權(quán)限，語(yǔ)法會(huì)有些不同。 1．系統(tǒng)權(quán)限 例如，將 CREATE TABLE系統(tǒng)權(quán)限從 testuser用戶(hù)收回： SQLREVOKE CREATE TABLE FROM testusef； 又如，將 CREATE、 JEw系統(tǒng)權(quán)限從省級(jí)管理員用戶(hù)gly_hebei中收回： ? SQLREVOKE CREATE VIEW FROM gly_hebei； ’ 在圖 8． 3所示的例子中， system用戶(hù)授予了gly_hebei用戶(hù) CREATE VIEW系統(tǒng)權(quán)限及 WITH ADMIN OPTION選項(xiàng)，并且 gly_hebei用戶(hù)又將 CREATE VIEW系統(tǒng)權(quán)限授予了 gly— sjz用戶(hù)，那么當(dāng)回收了 gly—hebei用戶(hù)的 CREATE VIEW系統(tǒng)權(quán)限之后， gly— sjz用戶(hù)的 CREATE VIEW系統(tǒng)權(quán)限不會(huì)被回收，即系統(tǒng)權(quán)限不會(huì)級(jí)聯(lián)收回。圖 8— 4示意性地給出了授權(quán)與回收過(guò)程。 2．對(duì)象權(quán)限 ? 收回對(duì)象權(quán)限也是通過(guò) REVOKE命令完成的。例如，jwcuser要收回另一用戶(hù) testuser對(duì)自己對(duì)象 stud表上的結(jié)構(gòu)更改權(quán)限，可以使用如下命令： ? SQLREVOKE ALTER ON stud FROM testuser； ? 但不像收回系統(tǒng)權(quán)限，收回對(duì)象權(quán)限時(shí)會(huì)被級(jí)聯(lián)收回。假如 DBA將表 test上的 UPDATE權(quán)限授給了gly_hebei，并且?guī)в?WITH GRANT OPTION選項(xiàng)，而后 gly— hebei又將此權(quán)限轉(zhuǎn)授給 gly— sjz，如圖 8— 5(a)所示。而當(dāng) DBA將表 test上的 UPDATE權(quán)限從 gly_hebei用戶(hù)收回時(shí)，同時(shí)也會(huì)收回 gly— sjz用戶(hù)在 test表上的 UPDATE權(quán)限，如圖 查看權(quán)限 ? ? DBA通過(guò)查詢(xún)數(shù)據(jù)字典 dba_sys_privs，可以了解指定用戶(hù)所具有的系統(tǒng)權(quán)限以及 WITH ADMIN OPTION選項(xiàng)，如下所示： SQLSELECT * FROM dba— sys_privs WHERE grantee=’TESTUSER’； ? 此例查詢(xún)的僅是用戶(hù) testuser所具有的系統(tǒng)權(quán)限情況， GRANTEE表示權(quán)限擁有者，VILEGE表示系統(tǒng)權(quán)限名， ADMIN—OPTION表示轉(zhuǎn)授系統(tǒng)權(quán)限選項(xiàng)，其中YES意指可以轉(zhuǎn)授，而 NO表示不能轉(zhuǎn)授。 有時(shí)用戶(hù)也需要了解自己擁有哪些權(quán)限，此時(shí)查詢(xún) user— sys— privs數(shù)據(jù)字典即可。 2．顯示用戶(hù)所具有的對(duì)象權(quán)限 ? 通過(guò)查詢(xún) dba_tab— privs、 user_tab_privs兩個(gè)數(shù)據(jù)字典視圖，可以獲得用戶(hù)在哪個(gè)對(duì)象有哪些對(duì)象權(quán)限信息。 ? 例如， DBA需要了解 testuser用戶(hù)所擁有權(quán)限的具體信息，比如在哪些表上有哪些權(quán)限，這些表屬于哪個(gè)用戶(hù)，被哪個(gè)用戶(hù)授予，這些權(quán)限能否轉(zhuǎn)授等信息，相應(yīng)的命 ? SQLSELECT tabie_name， privilege f owner r grantor|grantable ? FROM dba_tab_privs ? WHERE grantee： ’ TESTUSER’； ? 如果想了解更詳細(xì)的信息，例如，哪些列上具有 UPDATE權(quán)限或 SELECT權(quán)限，則可使用如圖86所示的命令，查詢(xún) dba_col_privs獲得。 ? 結(jié)果顯示： testuser用戶(hù)所擁有的 UPDATE權(quán)限是在 stud表的 SIlO列和 sname列上。似地，數(shù)據(jù)字典 user— col— privs供用戶(hù)查詢(xún)自己在哪個(gè)對(duì)象的哪個(gè)列上有怎樣的對(duì)象權(quán)限。 8． 3角色管理 角色就是一組權(quán)限的集合。角色可以被授予用戶(hù)或其他的角色，把角色分配給用戶(hù)，就是把角色所擁有的權(quán)限分配給了用戶(hù)。 ? 使用角色可以更容易地進(jìn)行權(quán)限管理，主要體現(xiàn)在如下三個(gè)方面。 ? (1)減少了授權(quán)工作：用戶(hù)可以先將權(quán)限授予一個(gè)角色，然后再將角色授予每一個(gè)用戶(hù)，而不是將一組相同的權(quán)限授予多個(gè)用戶(hù)。 ? (2)動(dòng)態(tài)權(quán)限管理：當(dāng)一組權(quán)限需要改變時(shí)，只需要更改