Oracle数据库（权限、用户、角色、基本知识介绍）

本文主要是介绍Oracle数据库（权限、用户、角色、基本知识介绍），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

Oracle数据库推荐以引用博客：

http://blog.csdn.net/leshami/article/details/5611738
http://www.cnblogs.com/jimeper/p/3394635.html
http://blog.csdn.net/bob007/article/details/5871126

本编文章内容分布：（1）介绍数据库常见分类（2）关系型数据库概念（3）Oracle数据库基本知识介绍（4）Oracle数据库权限介绍，其中权限的内容涉及范围较大，权限在本文中和用户、角色练习较为紧密，角色是权限的集合，属于Oracle对象，创建用户需要权限，而新创建的用户要赋予权限，并且还可以给对象赋予权限。等等这些基本操作都离不开权限，所以在本文中主要学习权限！用户！角色！

关于用户与模式:

用户：对数据库的访问，需要以适当用户身份通过验证，并具有相关权限来完成一系列动作.SYS用户，缺省始终创建，且未被锁定，拥有数据字典及其关联的所有对象.SYSTEM用户，缺省始终创建，且未被锁定，可以访问数据库内的所有对象

模式(schema)：是某个用户拥有所有对象的集合。具有创建对象权限并创建了对象的用户称为拥有某个模式
注意：创建数据库对象(视图,表等)的任一用户都拥有一个以该用户名称开头的模式，且被视为模式用户

一、数据库基本知识

小型数据库：没有安全性Access中型数据库：有一定的安全性SQL ServerMySQL    大型数据库：安全性最高 Oracle：性能高，市场需求量大DB2SYSBASE

（关系型）数据库相关概念

       数据库 Database DB 存储数据的仓库数据库管理系统 Database Management System DBMS用于管理数据库的软件负责数据的检索、存储、安全、一致性控制等对已有的数据进行处理，得到新的有用的数据关系型数据库E.F.Codde 关于关系模型的论文建立在关系模型基础上的数据库拥有一组有描述的表格，这些表格的作用是装载数据表格行：一条记录，一个实体，具体存在的事物（Java 中的一个对象）列：字段、属性，用于描述事物的某一个方面（Java中对象的属性）实体集：所有实体的集合关系：实体间的关系

SQL（Structured Query Language）

       结构化查询语言是一种语言是一种规范 ANSI SQL-82 SQL-86 SQL-92 SQL-99所有主流数据库都遵守关系：有方向1：1 一对一对于实体集A中的每个实体，在实体集B中最多只有一个实体与之对应;反之，亦然。1：n 一对多：外键总设在多方对于实体集A中的每个实体，在实体集B中可以有多个实体与之对应。n：n 多对多：分解成两个一对多，添加一个中间表对于实体集A中的每个实体，在实体集B中可以有多个实体与之对应;反之，亦然。数据库设计：逻辑模型E-R图（Entity-Relation图）

三大范式（规范）：

     1.一张表必须要有一个主键，最好选择与业务无关的逻辑主键;逻辑主键，业务主键2.外键引用主键逻辑外键3.不要出现冗余字段实际开发中，有时候并不遵守，一定要冗余，以保证数据的正确性，提高查询效率，空间换时间;

关于Oracle数据库简单介绍

       1970 Oracle5最新  Oracle12c9i 10g 小 支持最新的SQL规范SQL-99安装要求：内存：100M+ 正常运行所需最小内存 （3G+ 电脑不卡）硬盘：1.5+G

Oracle数据库相关概念

       数据库：存储数据的仓库，主要指存放数据的文件，包括数据文件、控制文件、数据库日志文件数据名：用于唯一的标识数据库实例：一系列为当前数据库提供服务的内存和后台进程，内存与服务进程的集合称为一个实例实例名/SID/服务名：用于唯一的标识一个实例实例名与数据库名可以不一致

Oracle服务

       OracleService+SID，数据库启动的基础服务OracleOraDb10g_home1TNSListner，为客户端提供监听服务，提供连接服务OracleOraDb10g_home1iSQL*Plus，让客户端可以通过浏览器来对数据库进行操作

数据库的启动和关闭

   登录用户必须是管理员用户启动：startup open关闭：shutdown immediateOracle客户端工具SQL*Plus三种启动方式第一种、开始 → 程序 → Oracle → 应用开发工具 → SQL*Plus第二种、命令行窗口 → sqlplus 第三种、浏览器 → http://ip:5561/isqlplus第四种、本方法前提是Oracle文件放在能在linux终端找到的位置，利用linux命令运行Oracle客户端，一般情况下都不会运用此方式来打开Oracle客户端，建议使用第一种、第二种启动方式。SqlDeveloper（linux系统上修改文件的读取权限）终端 → cd sqldevelper → chmod 777 *.sh  → ./sqldeveloper.sh | bash sqldeveloper.sh | sh sqldeveloper.sh

二、监听器

监听客户端连接请求,位于服务端的、独立运行的一个后台进程,一旦建立服务器与客户端的连接，之后客户端与服务的通信不再通过它

命令行窗口 → sqlplus：启动一个SQL*Plus客户端工具
或 → sqlplus username/password [as sysdba]
或 → sqlplus /nolog：打开SQL*Plus,但不登录
→ conn username/password@192.168.7.58:1521/orcl
→ disconnect 断开连接

spool 命令要写到的文件的路径；注意：当使用完毕后要使用spool off；

conn /as sysdba 操作系统验证

Oracle 登录验证：操作系统、数据库验证、密码文件

三、权限

Oracle在刚开始的入门知识方面和mysql在权限方面有着较大的不同，在Oracle中几乎所有的操作（创建用户、创建表、删除表等等一些增删改查在没有获得权限之前是不允许执行的）在没有获得权限之前都不能够执行，在mysql中则没有那么严格，所以有必要先了解一下Oracle中权限的分配。

在创建用户之前，可以登录系统管理员权限去创建一个用户（因为系统管理员有这个权限），下面是三种用户分类：

sys；   //系统管理员，拥有最高权限
system；//本地管理员，次高权限
scott； //普通用户，密码默认为tiger,默认未解锁

在登陆的时候，可以选择下面三种登录方式：

sqlplus / as sysdba；  //登陆sys帐户
sqlplus sys as sysdba；//同上
sqlplus scott/tiger；  //登陆普通用户scott

比如创建一个用户和给创建的用户分配权限代码示例：（下面创建用户是在系统管理员的身份下创建的，并且系统管理员本身也有这个权限，但是如果没有赋予普通用户创建用户的权限，那么普通用户创建用户这个操作就会失败。）

3.1、在Oracle中创建一个新用户

(用户名：zhangsan 密码：zhangsan， 默认登陆是在users表中，并分配10M的空间)

·先用超级管理员连上：sqlplus
·输入用户名及密码：scott/tiger
·连接成功后，使用：conn sys/sysdba as sysdba;登入超级管理员后，输入如下命令：
create user zhangsan identified by zhangsan default tablespace users quota 10M on users
分配权限给新用户zhangsan
grant create session, create table, create view to zhangsan

下面语句可以在sys系统管理员登录的情况下创建的

create user 用户名 identified by 密码;//在管理员帐户下，创建用户
alert user scott identified by tiger;//修改密码    

系统权限: 允许用户执行特定的数据库动作，如创建表、创建索引、连接实例等
对象权限: 允许用户操纵一些特定的对象，如读取视图，可更新某些列、执行存储过程等

3.2系统权限和对象权限:

（1）系统权限：

grant 权限列表，.. to username [with admin option 同时获得权限分配权];
revoke 权限列表，.. from usernam;    a.常见的系统权限CREATE SESSION                     创建会话CREATE SEQUENCE                    创建序列CREATE SYNONYM                     创建同名对象CREATE TABLE                       在用户模式中创建表CREATE ANY TABLE                   在任何模式中创建表DROP TABLE                         在用户模式中删除表DROP ANY TABLE                     在任何模式中删除表CREATE PROCEDURE                   创建存储过程EXECUTE ANY PROCEDURE              执行任何模式的存储过程CREATE USER                        创建用户DROP USER                          删除用户b.授予用户系统权限GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...][WITH ADMIN OPTION];PUBLIC     所有用户WITH ADMIN OPTION 使用户同样具有分配权限的权利，可将此权限授予别人c.使用系统权限--使用robinson具有创建会话、创建表SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示没有权限在users表空间创建对象CREATE TABLE tb1 AS SELECT * FROM USER_TABLESERROR at line 1:ORA-01950: no privileges on tablespace 'USERS'SQL> CONN sys as sysdba;  --使用sys帐户登陆并为robinson在users表空间指定配额后可以创建表tb1Enter password:Connected.SQL> ALTER USER robinson QUOTA 10M ON USERS;User altered.SQL> CONN robinson/lion;Connected.SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;Table created.d.查看系统权限dba_sys_privs  --针对所有用户被授予的系统权限user_sys_privs --针对当前登陆用户被授予的系统权限e.回收系统权限REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}--下面的示例中并没有回收掉原来由scott授予给robisnon EXECUTE ANY PROCEDURE 的权限SQL> REVOKE EXECUTE ANY PROCEDURE FROM scott;Revoke succeeded.SQL> select grantee,privilege,admin_option from dba_sys_privs2  where grantee in ('SCOTT','ROBINSON')  and privilege = 'EXECUTE ANY PROCEDURE'3  order by grantee;GRANTEE                        PRIVILEGE                                ADM------------------------------ ---------------------------------------- ---ROBINSON                       EXECUTE ANY PROCEDURE                    NO注意：对于使用with admin option 为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限

（2）对象权限

grant 权限 on 对象名 to username[with grant option 同时获得权限分配权];

revoke 权限 on 对象名 from username;

不同的对象具有不同的对象权限,对象的拥有者拥有所有权限,对象的拥有者可以向外分配权限.关于授予系统权限与授予对象权限的语法差异：授予对象权限时需要指定关键字ON，从而能够确定权限所应用的对象.对于表和视图可以指定特定的列来授权。

对象授权示例

SQL> SHOW USER;
USER is "SCOTT"SQL> GRANT SELECT ON emp TO robinson;
Grant succeeded.SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;
Grant succeeded.--新创建一个用户john，使用robinson账户授予更新scott.emp(sal,mgr)的权限
SQL> CREATE USER john IDENTIFIED BY john;
User created.SQL> GRANT CREATE SESSION TO john;
Grant succeeded.SQL> CONN ROBINSON/LION
Connected.SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john;   --授予scott.emp(sal,mgr)的更新权限
Grant succeeded.SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT';  --成功更新
1 row updated.   --向数据库中所有用户分配权限
SQL> GRANT SELECT ON dept TO PUBLIC；Grant succeeded.c.查询权限分配情况数据字典视图                      描述ROLE_SYS_PRIVS            角色拥有的系统权限ROLE_TAB_PRIVS            角色拥有的对象权限USER_TAB_PRIVS_MADE      查询授出去的对象权限(通常是属主自己查）USER_TAB_PRIVS_RECD      用户拥有的对象权限USER_COL_PRIVS_MADE      用户分配出去的列的对象权限USER_COL_PRIVS_RECD      用户拥有的关于列的对象权限USER_SYS_PRIVS            用户拥有的系统权限USER_TAB_PRIVS            用户拥有的对象权限USER_ROLE_PRIVS       用户拥有的角色  --查询已授予的对象权限(即某个用户对哪些表对哪些用户开放了对象权限)SQL> SELECT * FROM user_tab_privs_made; --下面是scott用户开放的对象权限GRANTEE              TABLE_NAME               GRANTOR                   PRIVILEGE            GRA HIE-------------------- ------------------------ ------------------------- -------------------- --- ---PUBLIC               DEPT                     SCOTT                     SELECT               NO  NOROBINSON             EMP                      SCOTT                     SELECT               NO  NO  --查询列上开放的对象权限SQL> SELECT * FROM user_col_privs_made;GRANTEE              TABLE_NAME           COLUMN_NAME          GRANTOR        PRIVILEGE            GRA-------------------- -------------------- --------------------- -------------- -------------------- ---ROBINSON             EMP                  SAL                   SCOTT          UPDATE               YESJOHN                 EMP                  MGR                   ROBINSON       UPDATE               NOROBINSON             EMP                  MGR                   SCOTT          UPDATE               YESJOHN                 EMP                  SAL                   ROBINSON       UPDATE               NO--查询已接受的对象特权(即某个用户被授予了哪些表上的哪些对象特权)SQL> SELECT * FROM user_tab_privs_recd;OWNER                TABLE_NAME           GRANTOR                        PRIVILEGE            GRA HIE-------------------- -------------------- ------------------------------ -------------------- --- ---SCOTT                EMP                  SCOTT                          SELECT               NO  NO--查询用户已接受列的对象权限SQL> SELECT * FROM user_col_privs_recd;OWNER                TABLE_NAME         COLUMN_NAME      GRANTOR              PRIVILEGE            GRA-------------------- ------------------ ---------------- -------------------- -------------------- ---SCOTT                EMP                MGR              SCOTT                UPDATE               YESSCOTT                EMP                SAL              SCOTT                UPDATE               YESd.收回对象权限使用REVOKE 语句收回权限使用WITH GRANT OPTION 子句所分配的权限同样被收回REVOKE {privilege [, privilege...]|ALL}ON objectFROM   {user[, user...]|role|PUBLIC}[CASCADE CONSTRAINTS];CASCADE CONSTRAINTS 为处理引用完整性时需要--收回权限示例     SQL> conn scott/tiger;Connected.SQL> REVOKE SELECT ON emp FROM robinson;Revoke succeeded.SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此处的提示revoke的是整个表，而非列REVOKE UPDATE(sal,mgr) ON emp FROM robinson*ERROR at line 1:ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by columnSQL> REVOKE UPDATE ON emp FROM robinson;Revoke succeeded.--用户robinson的update 权限被revoke,曾级联赋予john的权限也被收回，--如下提示表、视图不存在，user_col_privs_recd中无记录SQL> CONN john/john;Connected.SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'*ERROR at line 1:ORA-00942: table or view does not existSQL> SELECT * FROM user_col_privs_recd;no rows selected注意：如果取消某个用户的对象权限，对于该用户使用with grant option授予其它用户相同权限来说，将级联删除这些用户权限e.其它检查DBA权限的用户  select * from dba_role_privs where granted_role='DBA'; 查看用户具有的系统权限：SELECT * FROM session_privs;

在Oracle权限之间存在传递性：即用户A将权限授予B，B可以将操作的权限再授予C，命令如下：grant alert table on tablename to zhangsan with admin option；//关键字 with admin option同时获得权限分配权grant alert table on tablename to zhangsan with grant option；//关键字 with grant option效果和admin类似即with admin option 允许当前用户A将权限赋予B。

3.3权限总结

1.使用create user语句创建用户，alter user语句修改用户，其语法大致相同drop user username [CASCADE] 会删除用户所拥有的所有对象及数据2.系统权限允许用户在数据库中执行特定的操作，如执行DDL语句。with admin option 使得该用户具有将自身获得的权限授予其它用户的功能但收回系统权限时，不会从其它帐户级联取消曾被授予的相同权限3.对象权限允许用户对数据库对象执行特定的操作，如执行DML语句。with grant option 使得该用户具有将自身获得的对象权限授予其它用户的功能但收回对象权限时，会从其它帐户级联取消曾被授予的相同权限4.系统权限与对象权限授予时的语法差异为对象权限使用了ON object_name 子句5. PUBLIC 为所有的用户6. ALL：对象权限中的所有对象权限

四、用户

MySQL，一个用户，多个数据库，每个数据库拥有各自的表，而Oracle一个数据库，多个用户，每个用户拥有各自的表（数据库对象）sys （系统管理员拥有最高权限） as sysdbasystem //本地管理员 次高权限scott； //普通用户，密码默认为tiger,默认未解锁创建用户：create user username identified by password [account lock | unlock][password expire 设置密码过期];解锁|加锁alter user username account unlock | lock;修改密码非管理员用户登录状态：password  → 旧口令 → 新口令 ：修改当前用户的密码管理员登录状态：password username → 新口令 ：修改指定用户的密码alter user username identified by newpassword;删除用户drop user username [cascade];cascade表示级联删除用户的所有对象，删用户时，一起删除该用户的对象删除当前正在连接的用户v$session 存放的是已经连接的用户的信息select sid，serial#，username from v$session where username = ‘’;alter system kill session 'sid，serial#';drop user username [cascade];查看当前的登录的用户show user;

关于用户常见操作代码（下面的代码都是可以运行的，在windows操作系统上大写小区分不敏感，所以大部分大写的关键命令单词都可以小写）：

1.修改用户修改用户的语法同创建用户，仅仅讲关键字create替换为alter，alter user可以修改除用户名之外的任一属性ALTER USER robinson ACCOUNT LOCK;2.修改密码DBA 可以创建用户和修改密码用户本人可以使用ALTER USER 语句修改密码SQL> ALTER user robinson  IDENTIFIED BY  newpassword;3.删除用户：DROP USER username [CASCADE]CASECADE 连同用户创建的对象一并删除，如果该用户创建了对象，要加CASCADE删除，否则删除不掉另外，不能删除当前正在与ORACLE服务器相连的用户。4.改变用户在表空间上的配额：ALTER USER username  QUOTA 0 ON system;ALTER USER scott QUOTA UNLIMITED ON USERS;ALTER USER dog QUOTA 30M ON system;5.查看用户表空间配额（dba_ts_quotas)：SQL> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 "Max MB"     2  FROM dba_ts_quotas WHERE USERNAME='SCOTT';USERNAME              TABLESPACE_NAME           Max MB------------------------------ --------------------------SCOTT                 SYSTEM                     306.查看特定对象下用户所拥有的对象使用dba_objects视图SQL> SELECT owner,object_name, object_type FROM dba_objects WHERE owner= 'SCOTT';

五、角色与权限

角色基本内容如下：grant 角色 to username;revoke 角色 from username;    一个角色是多个权限的集合系统预定义角色connect 连接resource 访问资源权限，访问表、序列，不包括create session dba 拥有所有权限自定义角色create role 角色名grant 权限列表|角色列表 to 角色名

每个Oracle用户都有一个名字和口令,并拥有一些由其创建的表、视图和其他资源。Oracle角色（role）就是一组权限（privilege） (或者是每个用户根据其状态和条件所需的访问类型)。用户可以给角色授予或赋予指定的权限，然后将角色赋给相应的用户。一个用户也可以直接给其他用户授 权。

数据库系统权限（Database System Privilege）允许用户执行特定的命令集。例如，CREATE TABLE权限允许用户创建表，GRANT ANY PRIVILEGE 权限允许用户授予任何系统权限。

数据库对象权限（Database Object Privilege）使得用户能够对各个对象进行某些操作。例如DELETE权限允许用户删除表或视图的行，SELECT权限允许用户通过select从 表、视图、序列（sequences）或快照 （snapshots）中查询信息。

（1）、3种标准角色

Qracle为了兼容以前的版本，提供了三种标准的角色（role）：CONNECT、RESOURCE和DBA。

1. CONNECT Role(连接角色)临时用户，特别是那些不需要建表的用户，通常只赋予他们CONNECTrole。CONNECT是使用Oracle的简单权限，这种权限只有在对其他用户 的表有访问权时，包括select、insert、update和delete等，才会变得有意义。拥有CONNECT role的用户还能够创建表、视图、序列（sequence）、簇（cluster）、同义词（synonym ）、会话（session）和与其他数据库的链（link）。2. RESOURCE Role(资源角色)更可靠和正式的数据库用户可以授予RESOURCE role。RESOURCE提供给用户另外的权限以创建他们自己的表、序列、过程（procedure）、触发器（trigger）、索引（index）和簇（cluster）。3. DBA Role(数据库管理员角色)DBA role拥有所有的系统权限----包括无限制的空间限额和给其他用户授予各种权限的能力。SYSTEM由DBA用户拥有。下面介绍一些DBA经常使用的典型权限。A.grant（授权）命令下面对刚才创建的用户user01授权，命令如下：grant connect, resource to user01;B.revoke（撤消）权限已授予的权限可以撤消。例如撤消（1）中的授权，命令如下：revoke connect, resource from user01;一个具有DBA角色的用户可以撤消任何别的用户甚至别的DBA的CONNECT、RESOURCE 和DBA的其他权限。当然，这样是很危险的，因此，除非真正需要，DBA权限不应随便授予那些不是很重要的一般用户。撤消一个用户的所有权限，并不意味着从Oracle中删除了这个用户，也不会破坏用户创建的任何表；只是简单禁止其对这些表的访问。其他要访问这些表的用户可以象以前那样地访问这些表。

“`

（2）、创建角色

除了前面讲到的三种系统角色—-CONNECT、RESOURCE和DBA，用户还可以在Oracle创建自己的role。用户创建的role可以由 表或系统权限或两者的组合构成。为了创建role，用户必须具有CREATE ROLE系统权限。下面给出一个create role命令的实例：

create role STUDENT;这条命令创建了一个名为STUDENT的role。一旦创建了一个role，用户就可以给他授权。给role授权的grant命令的语法与对对用户的语法相同。在给role授权时，在grant命令的to子句中要使用role的名称，如下所示：grant select on CLASS to STUDENT;

现在，拥有STUDENT角色的所有用户都具有对CLASS表的select权限。

（3）、删除角色

   要删除角色，可以使用drop role命令，如下所示：drop role STUDENT;

这篇关于Oracle数据库（权限、用户、角色、基本知识介绍）的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---