oracle权限管理

一、系统的默认用户
Java代码
sys;//系统管理员，拥有最高权限     
system;//本地管理员，次高权限     
scott;//普通用户，密码默认为tiger,默认未解锁  

二、登陆
Java代码
sqlplus conn / as sysdba;//登陆sys帐户     
sqlplus sys as sysdba;//同上     
sqlplus scott/tiger;//登陆普通用户scott 

三、管理用户
Java代码
create user zhangsan;//在管理员帐户下，创建用户zhangsan     
alert user scott identified by tiger;//修改密码 

四，授予权限
1、默认的普通用户scott默认未解锁，不能进行那个使用，新建的用户也没有任何权限，必须授予权限
Java代码
/*管理员授权*/    
grant create session to zhangsan;//授予zhangsan用户创建session的权限，即登陆权限     
grant unlimited session to zhangsan;//授予zhangsan用户使用表空间的权限     
grant create table to zhangsan;//授予创建表的权限     
grant drop table to zhangsan;//授予删除表的权限     
grant insert table to zhangsan;//插入表的权限     
grant update table to zhangsan;//修改表的权限     
grant all to public;//这条比较重要，授予所有权限(all)给所有用户(public)   

2、oralce对权限管理比较严谨，普通用户之间也是默认不能互相访问的，需要互相授权
Java代码
/*oralce对权限管理比较严谨，普通用户之间也是默认不能互相访问的*/    
grant select on tablename to zhangsan;//授予zhangsan用户查看指定表的权限     
grant drop on tablename to zhangsan;//授予删除表的权限     
grant insert on tablename to zhangsan;//授予插入的权限     
grant update on tablename to zhangsan;//授予修改表的权限     
grant insert(id) on tablename to zhangsan;     
grant update(id) on tablename to zhangsan;//授予对指定表特定字段的插入和修改权限，注意，只能是insert和update     
grant alert all table to zhangsan;//授予zhangsan用户alert任意表的权限   

五、撤销权限
Java代码
基本语法同grant,关键字为revoke 

六、查看权限
Java代码
select * from user_sys_privs;//查看当前用户所有权限     
select * from user_tab_privs;//查看所用用户对表的权限   

七、操作表的用户的表
Java代码
/*需要在表名前加上用户名，如下*/    
select * from zh***san.tablename ;  

八、权限传递
即用户A将权限授予B，B可以将操作的权限再授予C，命令如下：
Java代码
grant alert table on tablename to zhangsan with admin option;//关键字 with admin option     
grant alert table on tablename to zhangsan with grant option;//关键字 with grant option效果和admin类似   

九、角色
角色即权限的集合，可以把一个角色授予给用户
Java代码
create role myrole;//创建角色     
grant create session to myrole;//将创建session的权限授予myrole     
grant myrole to zhangsan;//授予zhangsan用户myrole的角色      
drop role myrole;删除角色     
/*但是有些权限是不能授予给角色的，比如unlimited tablespace和any关键字*/  

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/JustForFly/archive/2009/10/16/4681707.aspx

对象权限：

1、对象权限赋予语法：
    GRANT object_privilege ON object_name TO username [ WITH GRANT OPTION ];
    注：使用WITH GRANT OPTION语句后，使用户可以将相同权限赋给其他用户，与系统权限相同。

2、对象权限撤销语法：
    REVOKE object_privilege ON object_name FROM username;
    注：当删除A用户的权限时，通过A赋予B的权限自动消失，与系统权限相反。

3、查看具体的对象权限：
    select * from dba_tab_privs where grantee= 'WANGXIAOQI' ;  
    select * fromTABLE_PRIVILEGESwhere GRANTEE='WANGXIAOQI'; 
    注1：两者均可以查看对象权限，只是展现形式不同。
    注2：表名为TABLE_PRIV，但 不光只有table，而是所有object的信息，包括function、procedure、package等。

4、object privilege 种类比较少，而且根据对象类型的不同而不同。

    在赋值时可以使用all代替该类型对象的所有权限类型，如：
    grant select , update , delete , insert on table_name to user_name;

    grant all on table_name to user_name;

    注：对于TABLE，all包括：ALTER、DELETE、INDEX、INSERT、SELECT、UPDATE、REFERENCES、ON COMMIT REFRESH、QUERY REWRITE、DEBUG、FLASHBACK

角色管理：

1、通过role来简化赋权操作，每个role含有若干项系统权限。role包括系统预定义和自定义两种。
    select * from dba_roles; --查询当前所有ROLE列表，包括自定义
    select * from dba_role_privs; --查询某用户的ROLE权限
    select * from ROLE_SYS_PRIVS; --查询当前用户的ROLE，及其所包含的系统权限

2、系统预定义角色：
    CONNECT:
        CREATE VIEW
        CREATE TABLE
        ALTER SESSION
        CREATE CLUSTER
        CREATE SESSION
        CREATE SYNONYM
        CREATE SEQUENCE
        CREATE DATABASE LINK
    RESOURCE：
        CREATE TYPE
        CREATE TABLE
        CREATE CLUSTER
        CREATE TRIGGER
        CREATE OPERATOR
        CREATE SEQUENCE
        CREATE INDEXTYPE
        CREATE PROCEDURE
    另外包括比较重要的ROLE如：DBA、EXP_FULL_DATABASE、IMP_FULL_DATABASE等。

3、自定义角色：
   
    创建ROLE：
    CREATE ROLE role_name
    [ NOT IDENTIFIED | IDENTIFIED BY password]
    注：IDENTIFIED 表示在修改该ROLE时是否需要提供密码 <修改，不包括赋权和取消权限>

    在创建 role 之后，使用 grant 和 revoke 手动设置 role 对应的权限
    再使用 grant 和 revoke 将 role 赋给 user
    注：可以将 role 赋给 role

4、启用和禁用ROLE：
    SET ROLE [role [identified by password] |,role [identified by password]...]
    | ALL [EXCEPT role[,role]...]
    | NONE ];
    注：ALL 表示启用改用户的所有角色，NONE表示禁用所有角色。

    例：
    禁用所有角色：setrolenone;
    启用所有角色：setroleall; --role不能有密码
    启用某个角色：setrole role_test identifiedby test; --有密码的话
    禁用某个角色：setroleallexcept role_test;
    注：setrole命令是覆盖性质的，即不能先启用一个，再启用另一个，必须一条命令中全部启动；

5、修改用户时设置角色：
    ALTER USER username
    [default role [role_name[,role_name,...]]
    | all [except role_name[,role_name,...]]
    | none ];

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/cosio/archive/2009/08/18/4459756.aspx