Oracle数据库对user的相关访问控制实操

以下的文章主要是讲述Oracle数据库对user的相关访问控制的实际操作，以下文章介绍的是在introduction to Oracle 9i SQL student guide的第二卷中看见的，写完才发现之前有过相关、甚至更全面的介绍了。但还是发布吧。

1、控制user的访问

主要有以下几方面：

控制database的访问

控制database中特定的对象的访问

授予一定的访问Oracle 数据字典的权限

为database对象创建synonym

database的安全性可以被定义为两类：系统的安全和data的安全。前者包括在system 级别的database的访问与使用，如username和password、给user分配的磁盘空间以及user可执行的系统操作。后者包括对database对象的访问及操作的安全控制。

1）系统权限

主要有：CREATE USER, DROP USER, DROP ANY TABLE, BACKUP ANY TABLE, SELECT ANY TABLE, CREATE ANY TABLE

2）创建users

CREATE USER user IDENTIFIED BY password;

3）授予权限

GRANT privilege [, privilege …] TO user [, user| role, PUBLIC …];

对于应用开发者，一般至少会需要下面的权限：

CREATE SESSION, CREATE TABLE, CREATE SEQUENCE, CREATE VIEW, CREATE PROCEDURE

4）修改user的密码

ALTER USER user IDENTIFIED BY nowpassword;

5）对象权限

GRANT object_priv|ALL [(columns)] ON object TO {user | role | PUBLIC} [WITH GRANT OPTION];

其中，ALL表示所有对象权限

2、role

1）role是一组相关权限的集合，可以被一起授予user，从而简化授权和收回权限的操作。一个user可以被授予多个roles，一个role也可以被授予给多个user。

CREATE ROLE role;

随后，可以用grant语句给role授权。PUBLIC表示将对象权限授予所有users。

2）给role授予相应权限的操作和上面讲的给user授权是一致的。

3、获得权限上授予情况信息的视图

4、对象权限的收回

REVOKE {privilege [, privilege … ] | ALL} ON object FROM {user [, user … ] | role | PUBLIC} [CASCADE CONSTRAINTS];

其中，CASCADE CONSTRAINTS子句会收回所有通过REFERENCES方法创建的参照完整性约束的权限。在revoke之后，所有由with grant option进行授权的user的相应权限也会被收回。

5、database link（可以使本地user访问远程database）

database link是一个指针，定义了一个Oracle database server与另一个database server进行交互的方法。link 指针实际是一个数据字典表中的实体。为了访问link，必须连接包含该数据字典实体的本地database。

database link的最大的优点是它允许users访问其他user在远程database的objects。

具体创建实例：

CREATE PUBLIC DATABASE LINK hq.acme.com USING ’sales’;

其中，USING子句指明了远程database的service名称。database link创建之后，就可发起如下的访问：

SELECT FROM [email protected];