【关键术语】

Privileges 权限

System privileges 系统权限

Object privileges 对象权限

Grant 授予

Revoke 撤消

2.1 Oracle 权限概述

2.1.1 权限的作用

权限（privilege）是指执行特定类型 SQL 命令或访问其他模式对象的权利。Oracle 使用 权限来控制用户对数据的访问以及用户所能执行的操作。通过对用户授予适当的权限，用户 能够在自己的模式或其它用户的模式中创建、删除或修改数据库对象，或者在数据库中执行 某些特定的操作。简言之，用户所具有的权限决定了他能够访问的数据和执行的操作。

权限可以通过以下两种方式授予用户：

• ? 直接将权限授予用户
• ? 首先将权限授予角色，然后再将角色授予用户

2.1.2 权限的分类

在 Oracle 中，权限一共可以分为两类：

? 系统权限

系统权限是在数据库级别执行某种操作，它用于控制用户可以执行的一个或一类数据库操作。

例如，创建表空间的权限就是一个系统权限。系统权限可由管理员授予，或者由可以显式授予管理权限的用户授予。共有一百多种不同的系统权限。很多系统权限都包含 ANY 子句。

? 对象权限

对象权限是针对某个特定的模式对象（如表、视图、序列、过程、函数或程序包）执行各种操作的权力。用户只能访问他们自己拥有的对象。对象权限可以由对象的所有者或管理员授予，也可以由显式授予了对象授予。

2.2 系统权限管理

2.2.1 系统权限分类

在 Oracle 中总共包含超过 100 种不同的系统权限，每种系统权限都为用户提供了执行 某一种或某一类型特定的数据库操作的能力。

系统权限可以分为三类：

• ? 针对系统级别或者数据库级别的操作，如 CREATE SESSION 系统权限允许用户连接到数据库，CREATE TABLESPACE 系统权限允许用户创建表空间。
• ? 允许用户在自己模式内的对象管理，如 CREATE TABLE 系统权限，允许用户在自己模式内创建表。
• ? 允许用户在任何模式内的对象管理，如 CREATE ANY TABLE 系统权限，允许用户在任何模式内创建表。

2.2.2 常用系统权限

表 1-1 列出了最常用的一些系统权限。

注意：

● 在系统权限中没有 CREATE INDEX 权限，因为 CREATE TABLE 权限中已经包含了CREATE INDEX 权限；

● 在 CREATE TABLE， CREATE PROCEDURE 和 CREATE CLUSTER 权限中已经包含了删除这些对象的权限；

● UNLIMITED TABLESPACE 系统权限不能授予角色；

● 要使用 truncate 命令删减其他模式的表，用户必须具有 DROP ANY TABLE 系统权限；

2.2.3 系统权限的授予和回收

1．系统权限授予

系统权限可以被授予用户、角色或 PUBLIC 公共用户组。PUBLIC 是一个在创建数据库时自动建立的用户组，如果将权限授予 PUBLIC 用户组，数据库的任何用户都将具有该权限。

使用 GRANT 语句可以授予系统权限，GRANT 命令由 DBA 来完成的。如果要以其他用户身份授予系统权限，那么要求用户必须具有 GRANT ANY PRIVILEGE 系统权限或用户在得到该权限时具有转授系统权限的选项 WITH ADMIN OPTION。

GRANT 语句的语法如下： 
GRANT {system_privilege } 
[, {system_privilege } ]... 
TO {user | role | PUBLIC} 
[, {user | role | PUBLIC} ]... 
[WITH ADMIN OPTION]

其中参数 WITH ADMIN OPTION 表示被授权的用户可以把该系统权限再授给其他用 户。

【实例 1-1】授予用户 aaron 具有创建表和视图的权限。

1）以管理员身份登录 
SOL>CONNECT / AS SYSDBA 
已连接。 
2）授予权限 
SOL>GRANT CREATE TABLE,CREATE VIEW to aaron; 
授权成功。 
3）使用权限创建表 
SOL>connect aaron／soccer 
已连接。 
SOL>create table t1(cola int, colb char(3)); 
表已创建。 
SOL>INSERT INTO t1 VALUES(1,’A’); 
已创建 1 行。 
SOL>COMMIT; 
提交完成。 

在将系统权限 CREATE TABLE 授予用户 aaron 之后，该用户就可以执行建表操作了。

【实例1-2】授予 aaron 用户创建存储过程的权限

1）以管理员身份登录 
SOL>CONNECT / AS SYSDBA 
已连接。 
2）授予权限 
SOL>GRANT CREATE PROCEDURE to aaron; 
授权成功。 

Oracle 中有两个特殊权限：SYSDBA 和 SYSOPER，具有该权限的用户能执行数据库维 护操作，例如启动和关闭 Oracle Server、建立数据库、备份和恢复等任务。

当将初始化参数 REMOTE_LOGIN_PASSWORDFILE 设置为 EXCLUSIVE 时，你还可 以将 SYSDBA 和 SYSOPER 特权授予其它用户，这样该用户就会在口令文件中出现，并能 进行启动和关闭实例等数据库维护操作。例如：

C:\>sqlplus ／nolog 
SOL>CONN ／ AS SYSDBA 
已连接。SOL>GRANT SYSDBA to aaron; 
授权成功。 
SOL>CONN aaron/soccer AS SYSDBA; 
已连接。 
SOL>SHUTDOWN 

需要注意，有特殊权限 SYSDBA 或 SYSOPER 的用户在登录时必须带有 AS SYSDBA或 AS SYSOPER 子句。用户使用 SYSOPER 可执行基本操作任务，但不能查看用户数据。

权限 SYSDBA 自动包含了 SYSOPER 的所有权限，另外还具有建立数据库以及执行不 完全恢复的权限，而 SYSOPER 则不能执行这两项操作。

表 1-2 给出了 SYSDBA 和 SYSOPER 的区别。

CREATE ANY DIRECTORY：使用 Oracle 数据库可以让开发人员在 PL/SQL 内调用

外部代码（例如 C 库）。作为一种安全措施，代码所在的操作系统目录必须链接到

一个虚拟 Oracle 目录对象。使用 CREATE ANY DIRECTORY 权限时，有可能会调用

不安全的代码对象。

用户使用 CREATE ANY DIRECTORY 权限可以在 Oracle 软件所有者能够访问的任何

目录中创建目录对象（具有读写访问权限）。这意味着用户可以访问那些目录中的外部过程。用户可以尝试直接读写任何数据库文件，如数据文件、重做日志和审计

日志。一定要确保在组织中采用了安全策略，以防止误用类似这种作用很强的权限。

2．系统权限回收

回收系统权限是使用 REVOKE 命令来完成的。在收回了用户所具有的系统权限之后，用户将不能执行该系统权限所对应的SQL命令。收回系统权限一般是由DBA用户来完成的，但如果要以其他用户身份收回系统权限，那么要求用户必须具有 GRANT ANY PRIVILEGE系统权限或转授系统权限的选项 WITH ADMIN OPTION。

撤销系统权限时不会产生级联影响，无论是否指定了 ADMIN OPTION。

【实例 1-3】回收用户 aaron 的创建表的权限。

1）以管理员身份登录 
SOL>CONNECT / AS SYSDBA 
已连接。 
2）回收权限 
SOL>REVOKE CREATE TABLE FROM aaron; 
撤销成功。 

当回收用户 aaron 的 CREATE TABLE 系统权限之后，该用户将不能创建表了。

2.2.4 系统权限的传递

在使用 GRANT 授权时可以带有 WITH ADMIN OPTION 参数，表明得到权限的用户可以把该权限再授给其它用户。

【实例 1-4】授予用户 aaron 有创建存储过程的权限，要求带 WITH ADMIN OPTION参数。

1）以管理员身份登录 
SOL>CONNECT / AS SYSDBA 
已连接。 
1）管理员授予系统权限，并允许传递 
SOL>GRANT CREATE PROCEDURE to aaron 
WITH ADMIN OPTION; 
授权成功。 
2）以 aaron 用户登录,授予用户 devp 创建存储过程的权限 
SOL>CONNECT aaron/soccer 
已连接。 
SOL>GRANT CREATE PROCEDURE to devp; 
授权成功。 
3）创建存储过程 
SOL>connect devp /development 
已连接。 
SOL> CREATE OR REPLACE PROCEDURE pp 
2 AS 
3 BEGIN 
4 DBMS_OUTPUT.PUT_LINE(‘成功了！’); 
5 END; 
6 / 
过程已创建 

因为 aaron 在得到创建存储过程的权限时带有了 WITH ADMIN OPTION 参数，所以它也可以把该权限授予其它用户。

这样用户 devp 也具有了创建存储过程的权限。例如：

大家需要注意，系统权限在回收时不会被级联回收。在前面的例子中，DBA 授予用户aaron 具有 CREATE PROCEDURE 系统权限，用户 aaron 又把 CREATE PROCEDURE 系统 权限授予了 devp 用户，图 P1-1 示意性地给出了授权过程。

当 DBA 收回 aaron 的 CREATE PROCEDURE 系统权限时，不会收回 devp 的系统权限，

因为系统权限不会被级联收回。如图 P1-2 所示。

【实例 1-5】回收用户 aaron 的创建存储过程的权限。

1）以管理员身份登录 
SOL>CONNECT / AS SYSDBA 
已连接。 
2）回收权限 
SOL>REVOKE CREATE PROCEDURE FROM aaron; 
撤销成功。 
3）创建存储过程 
SOL>connect devp/development 
已连接。 
SOL> CREATE OR REPLACE PROCEDURE pp 
AS 
BEGIN 
DBMS_OUTPUT.PUT_LINE(‘成功了！’);END; 
/ 
过程已创建 

当 DBA 收回了 aaron 的 CREATE PROCEDURE 系统权限后，用户 devp 仍然具有CREATE PROCEDURE 系统权限。

2.2.5 利用控制台管理系统权限

写在最后的话

感谢各位的支持与阅读，后续会继续推送相关知识和交流，欢迎交流、转发和关注，感谢！