Oracle用户角色权限管理

（一）什么叫用户（user）：

A user is a name defined in the database that can connect to and access objects.

用户是用连接数据库和访问数据库对象的。（用户是用来连接数据库访问数据库）。

（二）什么叫模式(schema)：

A schema is a collection of database objects (used by a user.).

Schema objects are the logical structures that directly refer to the database’s data.

模式是数据库对象的集合。模式对象是数据库数据的逻辑结构。

（把数据库对象用模式分开成不同的逻辑结构）。

（三）用户（user）与模式(schema)的区别：

Schemas and users help database administrators manage database security.

用户是用来连接数据库对象。而模式用是用创建管理对象的。模式跟用户在Oracle 是一对一的关系。

（ 不过db2却不同，db2 一个用户可以对应多个模式，db2 用户是系统，他首先必须获得系统用户才能成为数据库用户，也就是数据库用户就是系统用户，只有模式才是数据库类似用户。有兴趣可以去研究。这里就不跑题了，这也是db2特有的）。

从定义中我们可以看出schema为数据库对象的集合，为了区分各个集合，我们需要给这个集合起个名字，这些名字就是我们在企业管理器的方案下看到的许多 类似用户名的节点，这些类似用户名的节点其实就是一个schema，schema里面包含了各种对象如tables, views, sequences, stored procedures, synonyms, indexes, clusters, and database links。一个用户一般对应一个schema,该用户的schema名等于用户名，并作为该用户缺省schema。这也就是我们在企业管理器的方案下看 到schema名都为数据库用户名的原因。Oracle数据库中不能新创建一个schema，要想创建一个schema，只能通过创建一个用户的方法解决 (Oracle中虽然有create schema语句，但是它并不是用来创建一个schema的)，在创建一个用户的同时为这个用户创建一个与用户名同名的schem并作为该用户的缺省 shcema。即schema的个数同user的个数相同，而且schema名字同user名字一一 对应并且相同，所有我们可以称schema为user的别名，虽然这样说并不准确，但是更容易理解一些。一个用户有一个缺省的schema，其 schema名就等于用户名，当然一个用户还可以使用其他的schema。如果我们访问一个表时，没有指明该表属于哪一个schema中的，系统就会自动 给我们在表上加上缺省的sheman名。比如我们在访问数据库时，访问scott用户下的emp表，通过select * from emp; 其实，这sql语句的完整写法为select * from scott.emp。在数据库中一个对象的完整名称为schema.object，而不属user.object。类似如果我们在创建对象时不指定该对象 的schema，在该对象的schema为用户的缺省schema。这就像一个用户有一个缺省的表空间，但是该用户还可以使用其他的表空间，如果我们在创 建对象时不指定表空间，则对象存储在缺省表空间中，要想让对象存储在其他表空间中，我们需要在创建对象时指定该对象的表空间。

总结：对oracle 来说，用户就是模式。模式就是用户。（以上全是废话）。

（四）权限。一个用户权限由系统权限。和用户对象权限组成。

1．系统权限：

系统权限包括：（由于太多，为了文章的篇幅所以只把查询语句提供。你提供具体的系统全部权限了）

SQL> select distinct PRIVILEGE from dba_sys_privs order by PRIVILEGE;

与系统权限相关的视图：

dba_sys_privs(所有系统权限)

user_sys_privs.（用户拥有的系统权限）。

用户对象权限：

一个模式创建的对象，或者其他模式赋予的并授予了管理劝降（adm）的对象。如：

grant select,insert ,update ,delete on table_name to schema_name.这样就授予了一个用户对象权限。

与用户权限相关的视图。

user_tab_privs;(这世界上最恶心的试图，初一看还以为就只针对表的用户权限，不然其实他包括过程，包体，函数，试图等对象所有对象的用户权限，真想把oracle 命名的那仁兄给阉了，浪费我宝贵的时间)。

如：SQL> select * from USER_TAB_PRIVS where GRANTOR='TESTDB' AND PRIVILEGE='EXECUTE';

系统权限与用户对象权限的区别：

系统权限是广义的。是相对整个对象的。而用户对象权限他只针对单个或者，一些对象。

系统权限例子：

grant create table to user.

用户对象权限例子：

grant select on table_name to schema_name;

与用户对象权限相关的试图：

角色：

角色就是一些权限的集合：

为了方便管理，我们把某些常用的权限组织成一个集合。赋予角色。然后把角色赋予用户。提高管理的效率。例如创建一个数据库某个模式，某几个用户下的的只读用户，可读可插入用户，等等。在实质生产中还是有很大的意义。

1．创建角色，不指定密码：

create role testrole；

2．创建角色，指定密码：

create role testrole identified by tanfufa;

3．修改角色：

alter role testrole identified by luqiaoling;

给角色授予权限。

Grant select on t1 to testrole;

Grant select on t2 to testrole;

Grant select on t3 to testrole;

把角色赋予用户：（特别说明，授予角色不是实时的。如下：）

grant testrole to testdb;

起用角色：给用户赋予角色，角色并不会立即起作用。

1．角色不能立即起作用。必须下次断开此次连接，下次连接才能起作用。

2.或者执行命令：有密码的角色set role testrole   identified by tanfufa 立即生效；

3．无密码的角色：set role testrole；或set   role all except rolename_withpassword.

把角色赋予角色,角色嵌套。

create role testrole1;

grant select on t1 to testrole1;

create role testrole2;

grant testrole1 to testrole2;

grant r2 to testdb;

角色管理：

与角色有关系的视图：

所有角色:

select * from dba_roles;

当前用户scott有哪些角色:

select * from session_roles;

建立角色模板：只举一个例子。大家去触类旁通。

只读用户角色的建立的脚本：

1．授予某模式下对象读权限给角色。

SET PAGESIZE 0

SET FEEDBACK OFF

SET VERIFY OFF

SPOOL s.sql

SELECT 'GRANT SELECT ON "' || u.object_name || '" TO &1;'

FROM user_objects u

WHERE   u.object_type IN ('TABLE','VIEW','SEQUENCE')

AND NOT EXISTS (SELECT '1'

               FROM all_tab_privs a

               WHERE   a.grantee = UPPER('&1')

               AND a.privilege   = 'SELECT'

               AND a.table_name = u.object_name);

SPOOL OFF

-- Comment out following line to prevent immediate run @s.sql

SET PAGESIZE 14

SET FEEDBACK ON

SET VERIFY ON

2．为模式权限对象创建同意词。

SET PAGESIZE 0

SET FEEDBACK OFF

SET VERIFY OFF

SPOOL temp.sql

SELECT 'CREATE SYNONYM "' || a.table_name || '" FOR "' || a.owner || '"."' || a.table_name || '";'

FROM all_tables a

WHERE   NOT EXISTS (SELECT '1'

               FROM user_synonyms u

               WHERE   u.synonym_name = a.table_name

               AND u.table_owner   = UPPER('&1'))

AND a.owner = UPPER('&1');

SPOOL OFF

-- Comment out following line to prevent immediate run

@temp.sql

SET PAGESIZE 14

SET FEEDBACK ON

SET VERIFY ON