Oracle角色权限之Default Role

Oracle角色权限之Default Role 


Oracle系统权限基础是建立在三个维度层面上,即系统权限(System Privilege)、对象权限(Object Privilege)和角色权限(Role Privilege)。系统权限定义了用户可以执行的某些行为操作;对象权限定义了用户在某个系统对象(如数据表、视图等)的操作权限;角色权限更像是一个容器对象,可以将一组系统权限、对象权限甚至其他角色权限容纳到其中。

三个维度权限在三个层面上构建了Oracle权限体系框架。传统应用系统的一种配置方式是在数据库层面建立用户,配置相关权限进行操作。这样的系统还可以在一些旧应用系统或者国外业务系统中看到。随着Web应用的广泛使用,Oracle权限体系需求的复杂性其实是在不断降低的。Web应用通常只需要连接一个Schema用户名即可,用户体系是在应用层面加以实现。

最近笔者遇到一个关于角色Role的问题,最后发现是一个Default Role这个经常被忽视的设置出现问题。本文主要系统介绍一下这个特点功能。

 

1、环境介绍

 

Oracle的权限体系在过去的版本中都在不断地发展丰富,笔者讨论基于Oracle 11g,具体版本号为11.2.0.4。

 

 

SQL> select * from v$version;

BANNER

--------------------------------------------------------------------------------

Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production

PL/SQL Release 11.2.0.4.0 - Production

CORE      11.2.0.4.0     Production

TNS for Linux: Version 11.2.0.4.0 - Production

NLSRTL Version 11.2.0.4.0 – Production

 

 

建立一个全新的用户。

 

 

SQL> create user test identified by test;

User created

 

 

2Default Role概论

 

和系统权限、对象权限相比,角色权限是比较特殊的一种权限类型。它更像是一种组合容器,可以将其他权限以组Group的方式进行组织。一般来说,角色权限Role Privilege最常用的场景是简化管理难度,实现标准化配置管理。另一个角色权限的特点是动态赋予。系统权限和对象权限一旦赋予,用户只要登录就直接获得。而角色权限在这个问题上是可以选择的。

首先我们进行默认设置,对用户test进行一系列角色赋予动作。

 

 

SQL> grant connect, resource to test;

Grant succeeded

 

SQL> grant sicspccgrole to test;

Grant succeeded

 

SQL> grant sicspctbcgrole to test;

Grant succeeded

 

SQL> grant sicspctrrole to test;

Grant succeeded

 

 

通过视图db_role_privs,可以查看到角色与授予关系。

 

 

 

SQL> select * from dba_role_privs where GRANTEE='TEST';

 

GRANTEE                        GRANTED_ROLE                   ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST                           RESOURCE                       NO           YES

TEST                           SICSPCCGROLE                   NO           YES

TEST                           SICSPCTBTRROLE                 NO           YES

TEST                           CONNECT                        NO           YES

TEST                           SICSPCTBCGROLE                 NO           YES

TEST                           SICSPCTRROLE                   NO           YES

 

6 rows selected

 

 

重点关注default_role列,对应test的几个权限,都被授予为default_role。换而言之,一个用户被赋予角色之后,直接就是默认角色即default role

 

3、相关权限变化

 

如果角色对象底层权限发生变化,已经授权对象有什么影响呢?

 

 

SQL> create role testrole ;

Role created

 

SQL> grant select on sics.cnu_environment to testrole;

Grant succeeded

 

SQL> grant testrole to test;

Grant succeeded

 

 

此时新角色testrole被授予为default role。

 

 

SQL> select * from dba_role_privs where GRANTEE='TEST';

 

GRANTEE                        GRANTED_ROLE                   ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST                           RESOURCE                       NO           YES

TEST                           SICSPCCGROLE                   NO           YES

TEST                           SICSPCTBTRROLE                 NO           YES

TEST                           TESTROLE                       NO           YES

TEST                           CONNECT                        NO           YES

TEST                           SICSPCTBCGROLE                 NO           YES

TEST                           SICSPCTRROLE                   NO           YES

 

7 rows selected

 

 

Testrole底层发生变化。

 

 

SQL> grant select on scott.emp to testrole;

Grant succeeded

 

 

角色授权关系没有变化。

 

 

SQL> select * from dba_role_privs where GRANTEE='TEST';

 

GRANTEE                        GRANTED_ROLE                   ADMIN_OPTION DEFAULT_ROLE

------------------------------ ------------------------------ ------------ ------------

TEST                           RESOURCE                       NO           YES

TEST                           SICSPCCGROLE                   NO           YES

TEST                           SICSPCTBTRROLE                 NO           YES

TEST                           TESTROLE                       NO           YES

TEST                           CONNECT                        NO           YES

TEST                           SICSPCTBCGROLE                 NO           YES

TEST                           SICSPCTRROLE                   NO           YES

 

7 rows selected

 

 

一些相关实验也证明,对于角色层面权限组的变化,不会影响到用户与角色的关系。

 

4Default Role设置副效应

 

Default Role是可以单独设置的,但是一定要注意,一旦使用Default Role显式设置,会有一些副效应出现。

 

 

SQL> alter user test default role connect;

User altered

 

 

使用default role方法设置用户test为connect,之后观察视图。

 

 

SQL> select * from dba_role_privs where GRANTEE='TEST';

 

GRANTEE    GRANTED_ROLE                   ADMIN_OPTION DEFAULT_ROLE

---------- ------------------------------ ------------ ------------

TEST      RESOURCE                       NO           NO

TEST      SICSPCCGROLE                   NO           NO

TEST      SICSPCTBTRROLE                 NO           NO

TEST      TESTROLE                       NO           NO

TEST      CONNECT                        NO           YES

TEST      SICSPCTBCGROLE                 NO           NO

TEST      SICSPCTRROLE                   NO           NO

 

7 rows selected

 

 

注意,除了设置默认角色的connect之后,其他test用户角色都成为非默认角色。也就是说:一旦进行显式设置,其他角色自动设置为非默认角色。

 

5Default Role效果

 

设置之后,我们登录test进行效果观察。

 

 

SQL> conn test/test@sicsdb_linux

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as test

 

SQL> select * from user_role_privs;

 

USERNAME                       GRANTED_ROLE                   ADMIN_OPTION DEFAULT_ROLE OS_GRANTED

------------------------------ ------------------------------ ------------ ------------ ------------

TEST                           CONNECT                        NO           YES          NO

TEST                           RESOURCE                       NO           NO           NO

TEST                           SICSPCCGROLE                   NO           NO           NO

TEST                           SICSPCTBCGROLE                 NO           NO           NO

TEST                           SICSPCTBTRROLE                 NO           NO           NO

TEST                           SICSPCTRROLE                   NO           NO           NO

TEST                           TESTROLE                       NO           NO           NO

 

7 rows selected

 

 

在session层面,权限如下:

 

 

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

 

 

登录之后,只有default role才能进行赋予,其他角色权限不能自动添加。

 

 

--典型resource权限

SQL> create table t (id number(10));

create table t (id number(10))

 

ORA-01031: 权限不足

 

 

显示设置角色权限:

 

 

SQL> set role resource;

Role set

 

SQL> create table t (id number(10));

Table created

 

SQL> select * from session_roles;

ROLE

------------------------------

RESOURCE

 

 

设置其他角色之后,原有权限不能使用。

 

 

SQL> select * from session_roles;

 

ROLE

------------------------------

TESTROLE

 

SQL> create table m (id number(10));

 

create table m (id number(10))

 

ORA-01031: 权限不足

 

 

使用set role all,可以将所有角色权限一并赋予。

 

 

SQL> set role all;

Role set

 

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

SICSPCCGROLE

SICSPCTRROLE

SICSPCTBCGROLE

SICSPCTBTRROLE

TESTROLE

 

7 rows selected

 

 

重新登录之后,依然是default role才能自动赋予。

 

 

SQL> conn test/test@sicsdb_linux

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as test

 

SQL> select * from session_roles;

 

ROLE

------------------------------

CONNECT

 

 

另外,使用set role all except xxx,可以将指定的role剔除。

 

 

SQL> set role all except resource;

Role set

 

SQL> select * from session_roles;

 

ROLE

------------------------------

CONNECT

SICSPCCGROLE

SICSPCTRROLE

SICSPCTBCGROLE

SICSPCTBTRROLE

TESTROLE

 

6 rows selected

 

 

6、结论

 

Oracle角色role权限是一种非常常用的授权机制,default role特性是我们经常忽视的一个问题知识点。


LHR@orclasm > alter user test default role all;

User altered.

SYS@orclasm > select * from dba_role_privs where GRANTEE='TEST';

GRANTEE                        GRANTED_ROLE                   ADM DEF
------------------------------ ------------------------------ --- ---
TEST                           RESOURCE                       NO  YES
TEST                           TESTROLE                       NO  YES
TEST                           CONNECT                        NO  YES

 

About Me


...............................................................................................................................

● 本文整理自网络

● 本文在itpub(http://blog.itpub.net/26736162)、博客园(http://www.cnblogs.com/lhrbest)和个人微信公众号(xiaomaimiaolhr)上有同步更新

● 本文itpub地址:http://blog.itpub.net/26736162/abstract/1/

● 本文博客园地址:http://www.cnblogs.com/lhrbest

● 本文pdf版及小麦苗云盘地址:http://blog.itpub.net/26736162/viewspace-1624453/

● 数据库笔试面试题库及解答:http://blog.itpub.net/26736162/viewspace-2134706/

● QQ群:230161599     微信群:私聊

● 联系我请加QQ好友(646634621),注明添加缘由

● 于 2017-06-02 09:00 ~ 2017-06-30 22:00 在魔都完成

● 文章内容来源于小麦苗的学习笔记,部分整理自网络,若有侵权或不当之处还请谅解

● 版权所有,欢迎分享本文,转载请保留出处

...............................................................................................................................

拿起手机使用微信客户端扫描下边的左边图片来关注小麦苗的微信公众号:xiaomaimiaolhr,扫描右边的二维码加入小麦苗的QQ群,学习最实用的数据库技术。
时间: 2024-10-25 18:26:28

Oracle角色权限之Default Role的相关文章

用 Flask 来写个轻博客 (25) — 使用 Flask-Principal 实现角色权限功能

目录 目录 前文列表 扩展阅读 Flask-Principal 使用 Flask-Principal 来实现角色权限功能 添加 Role Model 在 Manager shell 中手动的添加角色 初始化 Flask-Principal 和 Permission 实现权限载入信号逻辑 实现身份改变信号逻辑 实现只有文章作者才能编辑文章 实现效果 前文列表 用 Flask 来写个轻博客 (1) - 创建项目 用 Flask 来写个轻博客 (2) - Hello World! 用 Flask 来写

Oracle角色、权限、用户相关知识

Oracle内置角色connect与resource的权限  首先用一个命令赋予user用户connect角色和resource角色:  grant connect,resource to user;  运行成功后用户包括的权限:  CONNECT角色: --是授予最终用户的典型权利,最基本的  ALTER SESSION --修改会话  CREATE CLUSTER --建立聚簇  CREATE DATABASE LINK --建立数据库链接  CREATE SEQUENCE --建立序列 

Oracle的对象权限、角色权限、系统权限

Oracle的对象权限.角色权限.系统权限 一.用户与模式     用户:对数据库的访问,需要以适当用户身份通过验证,并具有相关权限来完成一系列动作        SYS用户,缺省始终创建,且未被锁定,拥有数据字典及其关联的所有对象        SYSTEM用户,缺省始终创建,且未被锁定,可以访问数据库内的所有对象     模式(schema):是某个用户拥有所有对象的集合.具有创建对象权限并创建了对象的用户称为拥有某个模式       注意:创建数据库对象(视图,表等)的任一用户都拥有一个以

Oracle角色及权限详解

一.Oracle内置角色connect与resource的权限 grant connect,resource to user; CONNECT角色: --是授予最终用户的典型权利,最基本的 ALTER SESSION --修改会话 CREATE CLUSTER --建立聚簇 CREATE DATABASE LINK --建立数据库链接 CREATE SEQUENCE --建立序列 CREATE SESSION --建立会话 CREATE SYNONYM --建立同义词 CREATE VIEW -

oracle用户权限、角色管理详解_oracle

Oracle 权限设置 一.权限分类: 系统权限:系统规定用户使用数据库的权限.(系统权限是对用户而言). 实体权限:某种权限用户对其它用户的表或视图的存取权限.(是针对表或视图而言的). 二.系统权限管理: 1.系统权限分类: DBA: 拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构. RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构. CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构.

用户+角色+权限

角色与用户权限的学习  1.说明 oracle用户:每个Oracle用户都有一个名字和口令,并拥有一些由其创建的表.视图和其他资源. Oracle角色(role)就是一组权限(privilege).                用户可以给角色授予或赋予指定的权限,然后将角色赋给相应的用户.一个用户也可以直接给其他用户授权. 数据库系统权限(Database System Privilege)允许用户执行特定的命令集.                例如,CREATE TABLE权限允许用户创建

Oracle 角色、配置文件

--================================ --Oracle 角色.配置文件 --================================   一.角色     1.角色            权限的集合,可以分配给一个用户或其他角色,但角色不能授予自己,也不能循环授予        角色的优点            可以先创建角色,向该角色赋予一系列权限,然后再将该角色授予多个用户或角色            增加或删除角色中的某一权限,被授予该角色的所有用户

【shiro】spring整合shiro,注解控制shiro用户/角色/权限And/OR,没有权限跳转到固定页面

这几天粗浅的把shiro整合到spring中,并且注解控制shiro用户/角色/权限And/OR 步骤: 1.首先maven搭建web项目 2.创建数据库 user/role/authority 其中,role->user是一对多,role->authority是多对多 shiros.sql内容: 1 /* 2 SQLyog Ultimate v11.24 (32 bit) 3 MySQL - 5.5.41 : Database - shiros 4 *********************

关于用户角色权限的一点想法(1)

标题    关于用户角色权限的一点想法(1)    biggie(原作) 关键字    关于用户角色权限的一点想法 前言: 权限往往是一个极其复杂的问题,但也可简单表述为这样的逻辑表达式:判断"Who对What(Which)进行How的操作"的逻辑表达式是否为真.针对不同的应用,需要根据项目的实际情况和具体架构,在维护性.灵活性.完整性等N多个方案之间比较权衡,选择符合的方案. 目标: 直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解,显得比较重要,系统不辞劳苦的实现了组