oracle角色管理

dong5300

　　oracle角色管理
　　一、概述
　　角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理。假定有用户a，b，c为了让他们都拥有权限
　　1、连接数据库
　　2、在scott.emp表上select，insert，update
　　如果采用直接授权操作，则需要进行12次授权。
　　如果采用角色就可以简化
　　首先将create session，select on scott.emp，insert on scott.emp，update on scott.emp授予角色，然后将该角色授予a，b，c用户，这样就可以三次授权搞定。角色分为预定义角色和自定义角色两类。
　　二、预定义角色
　　预定义角色是指Oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面我们介绍常用的预定义角色connect，resource，dba。
　　1、connect角色
　　connect角色具有一般应用开发人员需要的大部分权限，当建立了一个用户后，多数情况下，只要给用户授予connect和resource角色就够了，那么connect角色具有以下系统权限：
　　alter session
　　create cluster
　　create database link
　　create session
　　create view
　　create sequence
　　2、resource角色
　　resource角色具有应用开发人员所需要的其他权限，比如建立存储过程、触发器等。这里需要注意的是resource角色隐含了unlimited tablespace系统权限。
　　resource角色包含以下系统权限：
　　create cluster
　　create indextype
　　create table
　　create sequence
　　create type
　　create procedure
　　create trigger
　　3、dba角色
　　dba角色具有所有的系统权限，及with admin option选项，默认的dba用户为sys和system他们可以将任何系统权限授予其他用户。但是要注意的是dba角色不具备sysdba和sysoper的特权（启动和关闭数据库）。
　　三、自定义角色
　　顾名思义就是自己定义的角色，根据自己的需要来定义，一般是DBA来建立，如果用的别的用户来建立，则需要具有create role的系统权限，在建立角色时可以指定验证方式（不验证，数据库验证等）。
　　1、建立角色（不验证）
　　如果角色是公用的角色，可以采用不验证的方式建立角色

　　sql>create role 角色名 not>　　2、建立角色（数据库验证）
　　采用这样的方式时，角色名、口令存放在数据库中，当激活该角色时，必须提供口令。在建立这种角色时，需要为其提供口令。

　　create role 角色名>　　3、角色授权
　　当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。
　　给角色授权
　　给角色授予权限和给用户授权没有太多的区别，但是要注意，系统权限的unlimited tablespace对对象权限with grant option选项是不能授予角色的。
　　sql>conn system/manager;
　　sql>grant create session to 角色名 with admin option;
　　sql>conn scott/tiger;
　　sql> grant select on scott.emp to 角色名;
　　sql>grant insert,update,delete on scott.emp to 角色名;
　　通过上面的步骤，就给角色授权了。
　　4、分配角色给某个用户
　　一般分配角色是由dba来完成的，如果要以其他用户身份分配角色，则要求用户必须具有grant any role的系统权限。
　　sql>grant 角色名 to blake with admin option;
　　因为我给了with admin option选项，所以，blake可以把system分配给它的角色分配给别的用户。
　　5、删除角色
　　使用drop role，一般是dba来执行的，如用其他用户则要求该用户具有drop any role系统权限。
　　sql>drop role 角色名;
　　6、显示角色信息
　　（1）显示所有角色
　　sql>select * from dba_roles;
　　（2）显示角色具有的系统权限
　　sql>select privilege,admin_option from role_sys_privs where role='角色名';
　　（3）显示角色具有的对象权限
　　通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。
　　（4）显示用户具有的角色及默认角色
　　当以用户的身份连接到数据库时，Oracle会自动的激活默认的角色，通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色及当前默认的橘色。
　　sql>select granted_role,default_role from dba_role_privs where grantee='用户名';