【文章內(nèi)容簡介】 的用戶既不能連接到數(shù)據(jù)庫，更談不上進(jìn)行查詢、建表等操作。要使該用戶能夠連接到 Oracle系統(tǒng)并能使用 Oracle的資源，如查詢表的數(shù)據(jù)，創(chuàng)建自己的表結(jié)構(gòu)等，必須由具有 DBA角色的用戶對(duì)該用戶進(jìn)行授權(quán)。 20 權(quán)限概述 權(quán)限是指執(zhí)行特定類型的 SQL語句或訪問另一個(gè)用戶的對(duì)象的權(quán)利，例如：連接到數(shù)據(jù)庫，創(chuàng)建表，查詢其他用戶的表，調(diào)用其他用戶的存儲(chǔ)過程等。 Oracle數(shù)據(jù)庫使用權(quán)限來控制用戶對(duì)數(shù)據(jù)的訪問和用戶所能執(zhí)行的操作。用戶在數(shù)據(jù)庫中可以執(zhí)行什么樣的操作，以及可以對(duì)哪些對(duì)象進(jìn)行操作，完全取決于該用戶所擁有的權(quán)限。 根據(jù)系統(tǒng)管理方式的不同，在 Oracle數(shù)據(jù)庫中將權(quán)限分為兩大類，系統(tǒng)權(quán)限和對(duì)象權(quán)限。 系統(tǒng)權(quán)限指數(shù)據(jù)庫級(jí)別執(zhí)行某些操作的權(quán)限，即用戶執(zhí)行某一特定的數(shù)據(jù)庫操作或某類數(shù)據(jù)庫操作等的權(quán)限，例如創(chuàng)建表空間，創(chuàng)建會(huì)話等。 21 對(duì)象權(quán)限是指對(duì)數(shù)據(jù)庫中的特定對(duì)象（例如表、視圖、序列、過程、函數(shù)或程序包）的訪問控制，以及用戶可以在這些數(shù)據(jù)庫對(duì)象上執(zhí)行哪些操作。例如插入表記錄，增加約束條件等。 無論系統(tǒng)權(quán)限還是對(duì)象權(quán)限，在 Oracle數(shù)據(jù)庫中，將權(quán)限授予用戶的方式有直接授權(quán)和間接授權(quán)兩種。所謂直接授權(quán)就是利用 GRANT命令直接為用戶授權(quán)，間接授權(quán)就是先將權(quán)限授予角色，再將角色授予用戶。另外，已經(jīng)獲得某種權(quán)限的用戶可以將他們的權(quán)限或其中一部分權(quán)限再授予其他用戶。 22 系統(tǒng)權(quán)限管理 在 Orcale 11g 中含有 200多種系統(tǒng)權(quán)限，每種系統(tǒng)權(quán)限都為用戶提供了執(zhí)行某一種或某一類數(shù)據(jù)庫操作的能力，可以將系統(tǒng)權(quán)限授予用戶和角色。由于系統(tǒng)權(quán)限可能影響到整個(gè)數(shù)據(jù)庫，所有授予系統(tǒng)權(quán)限給用戶時(shí)需要慎重。 1．授予系統(tǒng)權(quán)限 系統(tǒng)管理員給用戶授權(quán)時(shí)，應(yīng)該考慮到不同用戶的身份。例如數(shù)據(jù)庫管理員用戶應(yīng)該具有創(chuàng)建用戶、修改用戶權(quán)限、創(chuàng)建表空間以及可以對(duì)數(shù)據(jù)庫任何模式中的對(duì)象進(jìn)行管理的權(quán)限，而數(shù)據(jù)庫開發(fā)人員應(yīng)該具有在自己的方案中創(chuàng)建表、視圖、過程等的權(quán)限。另外一些普通用戶應(yīng)該只賦予 CREATE SESSION的權(quán)限。 23 授予系統(tǒng)權(quán)限的語法： GRANT {system_privilege | role} [， {system_privilege | role}]… TO {user | role | PUBLIC} [， { user | role | PUBLIC }]… [WITH ADMIN OPTION] 參數(shù)說明： l system_privilege：要授予的系統(tǒng)權(quán)限 l user：被授予權(quán)限的用戶 l role：被授予的角色名 l PUBLIC：將系統(tǒng)權(quán)限授予所有用戶 l WITH ADMIN OPTION：允許被授予者進(jìn)一步為其他用戶或角色授予權(quán)限或角色。當(dāng)授權(quán)時(shí)帶有這個(gè)子句時(shí)，用戶才可以將獲得的系統(tǒng)權(quán)限再授予其他用戶，即系統(tǒng)權(quán)限的傳遞性。 24 【例 135】數(shù)據(jù)庫管理員授予 CREATE SESSION權(quán)限給用戶 atea。 SQLGRANT CREATE SESSION TO atea。 一般用戶被授予過高的權(quán)限可能會(huì)給 Oracle系統(tǒng)帶來安全隱患。作為 Oracle系統(tǒng)管理員，應(yīng)該會(huì)查詢當(dāng)前 Oracle系統(tǒng)中各個(gè)用戶的權(quán)限，并且能夠使用 REVOKE命令撤銷用戶的某些不必要的系統(tǒng)權(quán)限。 可以使用 REVOKE語句撤銷系統(tǒng)權(quán)限。 REVOKE { system_privilege | role } [， {system_privilege | role}]… FROM {user | role | PUBLIC} [， { user | role | PUBLIC }]… REVOKE語句中的參數(shù)和 GRANT語句中相同。 25 【例 136】收回用戶 atea的 CREATE SESSION權(quán)限 SQLREVOKE CREATE SESSION FROM atea。 需要說明的是，如果數(shù)據(jù)庫管理員使用了 GRANT語句給用戶 A授予系統(tǒng)權(quán)限時(shí)帶有 WITH ADMIN OPTION選項(xiàng)，則該用戶 A有權(quán)將系統(tǒng)權(quán)限再次授予其他的用戶 B。在這種情況下，如果數(shù)據(jù)庫管理員使用REVOKE命令撤銷 A用戶的系統(tǒng)權(quán)限時(shí)，用戶 B的系統(tǒng)授權(quán)仍然有效。 對(duì)象權(quán)限管理 對(duì)象權(quán)限是一種對(duì)于特定對(duì)象（表、視圖、序列、過程、函數(shù)或程序包等）執(zhí)行特定操作的一種權(quán)限。數(shù)據(jù)庫用戶擁有對(duì)自己的對(duì)象的所有對(duì)象權(quán)限，所以對(duì)象權(quán)限的管理實(shí)際上即是對(duì)象所有者對(duì)其他用戶操作該對(duì)象的權(quán)限管理。 26 1. 授予對(duì)象權(quán)限 授予對(duì)象權(quán)限的語法： GRANT {object_privilege [(column_list)] [， object_privilege [(column_list)]]… | ALL [PRIVILEGES]} ON [schema.] object TO {user | role | PUBLIC} [, { user | role | PUBLIC }]… [WITH GRANT OPTION] 其中參數(shù)說明如下： l object_privilege：表示要授予的對(duì)象權(quán)限； l column_list：指定表或視圖列； l ALL：將所有權(quán)限授予那些已被授予 WITH GRANT OPTION的對(duì)象； l ON object： object表示將要被授予權(quán)限的目標(biāo)對(duì)象； l Role：角色名； l User：被授予的用戶名； l WITH GRANT OPTION：表示被授予者可再將對(duì)象權(quán)限授予其他用戶。 27 【例 137】 將 SELECT、 INSERT、 DELETE授權(quán)給 atea用戶。 SQLGRANT SELECT, INSERT,DELETE ON emp TO atea。 2. 對(duì)象權(quán)限回收 要從用戶或者角色中撤銷對(duì)象權(quán)限，仍然要使用REVOKE命令來完成。要撤銷對(duì)象權(quán)限，撤銷者必須是將被撤銷的對(duì)象權(quán)限的原始授予者。撤銷對(duì)象權(quán)限的語法： REV