首页 > 代码库 > ORACLE权限管理调研笔记
ORACLE权限管理调研笔记
在默认的方式下,任何非授权用户都不能在ORACLE执行任何操作,且默认情况下,只有SYSTEM和SYS能给其他用户授予权限。
ORACLE的用户权限分为系统权限(SYSTEMPRIVILEGE)和对象权限(OBJECTPRIVILEGE)。
* 系统权限控制了对数据字典的修改。
* 对象权限控制了对数据的修改。
1 系统权限
系统权限通常是针对修改表数据字典、修改数据库实例的情况进行控制。例如创建用户、创建表空间、控制会话等。
1.1 语法支持
其中权限部分可以有两种选择,分别是:
· 权限:system_privilete和ALL PRIVILEGE
· 角色:role
对于(被授权人)grantee_clause处,也有两种选择:
· 用户:user和PUBLIC
· 角色:role
所以对于系统权限来说,语法实现上主要可以有四种情况:
1. 权限 –> 用户
GRANT privileges[,privilege…] TO username [WITH ADMIN OPTION];
分配权限(PRIVILEGE)给用户(USERNAME)。如果权限是ALL PRIVILEGES,在USER_SYS_PRIVS会显示多行,每个权限一行,另外,username可以是PUBLIC。
对应的系统视图为:DBA_SYS_PRIVS,USER_SYS_PRIVS。
SQL> grant create any table to test2; 授权成功。
SQL> select * from sysauth$ where sequence# >= 1273 GRANTEE# PRIVILEGE# SEQUENCE# OPTION$ ---------- ---------- ---------- ---------- 88 92 1273 1 89 -41 1291 SQL> select * from system_privilege_map where privilege=-41;
PRIVILEGE NAME PROPERTY ---------- ---------------------------------------- ---------- -41 CREATE ANY TABLE 0 |
2. 权限 –> 角色
GRANT privilege[,privilege…]TO role [WITH ADMIN OPTION];
分配系统权限(PRIVILEGE)给一个角色(ROLE)。
对应的系统视图:ROLE_SYS_PRIVS。
SQL> create role role1; 角色已创建。
SQL> grant create any table to role1 with admin option; 授权成功。
SQL> select name, option$,grantee# from sysauth$,system_privilege_map where priv ilege = privilege# and sequence# >= 1274;
NAME OPTION$ GRANTEE# ---------------------------------------- ---------- ---------- CREATE ANY TABLE 1 94
|
3. 角色 -> 角色
GRANT role TO role [WITH ADMIN OPTION];
给一个角色(ROLE)授予另一个角色的权限。
对应的系统视图:ROLE_ROLE_PRIVS。
SQL> create role role1; 角色已创建。
SQL> create role role2; 角色已创建。
SQL> grant role1 to role2 with admin option; 授权成功。
SQL> select * from role_role_privs where role=‘ROLE2‘;
ROLE GRANTED_ROLE ADM ------------------------------ ------------------------------ --- ROLE2 ROLE1 YES
|
4. 角色 –> 用户
GRANT role TO username[WITH ADMINOPTION];
分配角色(ROLE)给用户(USERNAME),username可以是public。
对应的系统视图为:USER_ROLE_PRIVS。
SQL> create user test1 identified by 123456; 用户已创建。
SQL> grant role1 to test1 with admin option; 授权成功。
SQL> select * from dba_role_privs where grantee=‘TEST1‘;
GRANTEE GRANTED_ROLE ADM DEF ------------------------------ ------------------------------ --- --- TEST1 ROLE1 YES YES |
1.2 ANY
ANY:系统权限使用ANY关键字来给数据库下的所有对象赋予权限,使用ANY关键字赋予权限后,对象的访问权限不仅限于自身所在的SCHEMA,可以跨SCHEMA进行操作。
ANY: System privileges thatuse the ANY
keywordenable you to set privileges for an entire category of objects in the database. The behavior of an object created byusers with the ANY
privilegeis not restricted to the schema in which it was created.
1.3 PUBLIC
PUBLIC:PUBLIC是一种系统内置的角色,对PUBLIC赋予的权限,系统内的所用用户都可以获得。
PUBLIC:You can grant privileges to the PUBLIC
role,which then makes the privileges available to every user in the Oracle database.
1.4 WITH ADMIN OPTION
系统权限使用WITH ADMIN OPTION来制定被授权用户是否可以把获取到的权限转授给他人。
当权限回收时,转授他人的权限不会回收,不存在级联回收的情况。
1.5 授权需要的权限
能够授予和回收系统权限的用户包含以下两类:
l 通过WITH ADMIN OPTION获得权限的用户。
l 有GRANT ANY PRIVILEGE权限的用户。
2 对象权限
对象权限主要应用在表、视图、序列这些对象上,目前OSCAR主要实现的是对象权限,其内容主要是把某个权限应用到对象上。
l 在ORACLE中对应的主要的系统视图是:ALL_TAB_PRIVS、DBA_TAB_PRIVS、USER_TAB_PRIVS和ROLE_TAB_PRIVS。
l 对于设置了列权限的情况,对应的系统视图为:ALL_COL_PRIVS、USER_COL_PRIVS。
2.1 语法支持
首先创建两个用户user1和user2,并且分别授予CREATE SESSION权限,对USER1授予CREATE TABLE系统权限。
这时,user2是不能访问user1创建的表:
SQL> select * from user1.test; select * from user1.test * 第 1 行出现错误: ORA-00942: 表或视图不存在 |
通过授予对象权限,可以实现授权:
SQL> grant select on user1.test to user2 with grant option; 授权成功。 SQL> select * from dba_tab_privs where grantee=‘USER2‘;
GRANTEE OWNER ------------------------------ ------------------------------ TABLE_NAME GRANTOR ------------------------------ ------------------------------ PRIVILEGE GRA HIE ---------------------------------------- --- --- USER2 USER1 TEST USER1 SELECT YES NO |
并且授权后,能访问grantor表:
SQL> select * from user1.test;
A ---------- 2 |
2.2 对象及权限
对象 | 权限 |
DIRECTORY | READ、WRITE、EXECUTE |
EDITION | USE |
INDEXTYPE | EXECUTE |
FLASHBACK DATA ARCHIVE | FLASHBACK ARCHIVE |
LIBRARY | EXECUTE |
MATERIALIZED VIEW | ON COMMIT REFRESH、QUERY REWRITE、SELECT |
MINING MODEL | ALTER 、SELECT |
OBJECT TYPE | DEBUG 、EXECUTE、UNDER |
OLAP | INSERT、ALTER、DELETE、SELECT、UPDATE |
OPERATOR | EXECUTE、DEBUG 、EXECUTE |
SCHEDULER | EXECUTE、ALTER |
SEQUENCE | ALTER 、SELECT |
SYNONYM | 和目标项权限相同 |
TABLE | ALTER 、DEBUG、DELETE 、INDEX 、INSERT 、REFERENCES、 SELECT 、UPDATE |
VIEW | DEBUG、DELETE 、INSERT 、MERGE VIEW、REFERENCES、SELECT 、UNDER、UPDATE |
|
|
按照ORACLE文档,去掉重复,对象权限主要包含如下18个权限:READ、WRITE、EXECUTE、USE、FLASHBACKARCHIVE、ON COMMITREFRESH、QUERY REWRITE、SELECT、ALTER 、DEBUG 、UNDER、INSERT、DELETE、UPDATE、INDEX 、REFERENCES 、UPDATE、MERGE VIEW。
在TABLE_PRIVILEGE_MAP中的对象权限会多于上述的数量,有26个,除了上述的权限外,还有AUDIT、COMMENT、GRANT、LOCK、RENAME、ENQUEUE、DEQUEUE、CREATE。
2.3 WITH GRANT OPTION
在ORACLE中,对象权限通过WITHGRANT OPTION来实现权限的转授,作用和WITHADMIN OPTION类似,但是在REVOKE权限时会发生级联撤销。这种权限通过基表中的单独一个属性来标识的,比如系统权限是通过sysauth$表中的OPTION#列来标识的。
ORACLE对系统权限的转授没有实现级联回收,也就是说用户A将权限转给用户B,用户B再将权限转给用户C,这时收回用户B的权限,而用户C的权限不会被收回。
ORACLE的对象权限的转授是可以实现级联回收的,即回收B用户的权限,C用户的权限也会被回收。要实现权限的级联回收,需要记录权限之间的分配关系,ORACLE由于是通过单独的表(objauth$)实现对象权限管理,表中的GRANTOR#列记录了权限的来源,所以可以通过GRANTOR#列将分配关系串联起来形成树的关系,在REVOKE权限时,通过广度优先遍历清除,即可以实现级联回收。
在OSCAR是通过一个单独的ACL_GRANTABLE权限来实现的转授的功能,选用该实现方式应该是受到了存储模式的制约。
3 数据字典
Oracle中关于权限的系统视图。
3.1 系统权限映射
SYSTEM_PRIVILEGE_MAP:记录系统权限标识和权限名称的映射关系。
PRIVILEGE | NUMBER | 权限标识 |
NAME | VARCHAR2(40) | 权限名,负数 |
PROPERTY | NUMBER | ??? |
该表的详细信息如下:
create table SYSTEM_PRIVILEGE_MAP sharing=object ( PRIVILEGE number not null, NAME varchar2(40) not null, PROPERTY number not null /* 0x01 = do not export this privilege */ /* using sql statements */ ) / comment on table SYSTEM_PRIVILEGE_MAP is ‘Description table for privilege type codes. Maps privilege type numbers to type names‘ / comment on column SYSTEM_PRIVILEGE_MAP.PRIVILEGE is ‘Numeric privilege type code‘ / comment on column SYSTEM_PRIVILEGE_MAP.NAME is ‘Name of the type of privilege‘ / comment on column SYSTEM_PRIVILEGE_MAP.PROPERTY is ‘Property flag of privilege like not export this privilege, etc‘ / insert into SYSTEM_PRIVILEGE_MAP values (-3, ‘ALTER SYSTEM‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-4, ‘AUDIT SYSTEM‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-5, ‘CREATE SESSION‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-6, ‘ALTER SESSION‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-7, ‘RESTRICTED SESSION‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-10, ‘CREATE TABLESPACE‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-11, ‘ALTER TABLESPACE‘, 0); insert into SYSTEM_PRIVILEGE_MAP values (-12, ‘MANAGE TABLESPACE‘, 0); …… create unique index I_SYSTEM_PRIVILEGE_MAP on SYSTEM_PRIVILEGE_MAP (PRIVILEGE, NAME) / create public synonym SYSTEM_PRIVILEGE_MAP for SYSTEM_PRIVILEGE_MAP / grant select on SYSTEM_PRIVILEGE_MAP to public with grant option /
|
3.2 对象权限映射
TABLE_PRIVILEGE_MAP:记录对象权限和权限名的映射关系。
PRIVILEGE | NUMBER | 权限标识 |
NAME | VARCHAR2(40) | 权限名 |
该表的详细信息如下:
create table TABLE_PRIVILEGE_MAP sharing=object ( PRIVILEGE number not null, NAME varchar2(40) not null) / comment on table TABLE_PRIVILEGE_MAP is ‘Description table for privilege (auditing option) type codes. Maps privilege (auditing option) type numbers to type names‘ / comment on column TABLE_PRIVILEGE_MAP.PRIVILEGE is ‘Numeric privilege (auditing option) type code‘ / comment on column TABLE_PRIVILEGE_MAP.NAME is ‘Name of the type of privilege (auditing option)‘ / insert into TABLE_PRIVILEGE_MAP values (0, ‘ALTER‘); insert into TABLE_PRIVILEGE_MAP values (1, ‘AUDIT‘); insert into TABLE_PRIVILEGE_MAP values (2, ‘COMMENT‘); insert into TABLE_PRIVILEGE_MAP values (3, ‘DELETE‘); insert into TABLE_PRIVILEGE_MAP values (4, ‘GRANT‘); insert into TABLE_PRIVILEGE_MAP values (5, ‘INDEX‘); insert into TABLE_PRIVILEGE_MAP values (6, ‘INSERT‘); insert into TABLE_PRIVILEGE_MAP values (7, ‘LOCK‘); insert into TABLE_PRIVILEGE_MAP values (8, ‘RENAME‘); insert into TABLE_PRIVILEGE_MAP values (9, ‘SELECT‘); insert into TABLE_PRIVILEGE_MAP values (10, ‘UPDATE‘); insert into TABLE_PRIVILEGE_MAP values (11, ‘REFERENCES‘); insert into TABLE_PRIVILEGE_MAP values (12, ‘EXECUTE‘); insert into TABLE_PRIVILEGE_MAP values (16, ‘CREATE‘); insert into TABLE_PRIVILEGE_MAP values (17, ‘READ‘); insert into TABLE_PRIVILEGE_MAP values (18, ‘WRITE‘); insert into TABLE_PRIVILEGE_MAP values (20, ‘ENQUEUE‘); insert into TABLE_PRIVILEGE_MAP values (21, ‘DEQUEUE‘); insert into TABLE_PRIVILEGE_MAP values (22, ‘UNDER‘); insert into TABLE_PRIVILEGE_MAP values (23, ‘ON COMMIT REFRESH‘); insert into TABLE_PRIVILEGE_MAP values (24, ‘QUERY REWRITE‘); insert into TABLE_PRIVILEGE_MAP values (26, ‘DEBUG‘); insert into TABLE_PRIVILEGE_MAP values (27, ‘FLASHBACK‘); insert into TABLE_PRIVILEGE_MAP values (28, ‘MERGE VIEW‘); insert into TABLE_PRIVILEGE_MAP values (29, ‘USE‘); insert into TABLE_PRIVILEGE_MAP values (30, ‘FLASHBACK ARCHIVE‘);
create unique index I_TABLE_PRIVILEGE_MAP on TABLE_PRIVILEGE_MAP (PRIVILEGE, NAME) / create public synonym TABLE_PRIVILEGE_MAP for TABLE_PRIVILEGE_MAP / grant select on TABLE_PRIVILEGE_MAP to public with grant option |
3.3 系统权限基表
SYSAUTH$:ORACLE数据库的系统权限基表,不只是系统权限,角色->角色的权限授予也存在这个系统表。
属性 | 类型 | 描述 |
GRANTEE# | NUMBER | 被授权的主用户 |
PRIVILEGE# | NUMBER | 权限 |
SEQUENCE# | NUMBER | 序号 |
OPTION# | NUMBER | 系统权限,ADMIN OPTION |
|
|
|
其中的SEQUENCE#列使用的是sys_grant序列,表定义和序列定义如下:
create sequence system_grant /* system grant sequence number */ start with 1 increment by 1 minvalue 1 nomaxvalue cache 20 order nocycle
create table sysauth$ /* system authorization table */ ( grantee# number not null, /* grantee number (user# or role#) */ privilege# number not null, /* role or privilege # */ sequence# number not null, /* unique grant sequence */ option$ number) /* null = none, 1 = admin option */ / create unique index i_sysauth1 on sysauth$(grantee#, privilege#) / |
3.4 系统权限的视图
DBA_SYS_PRIVS、USER_SYS_PRIVS:记录被授权的用户分配到的权限以及是否含有ADMIN OPTION。
属性 | 类型 | 描述 |
GRANTEE | VARCHAR2(30) | 被授权的主用户 |
PRIVILEGE | VARCHAR2(40) | 权限名 |
ADMIN_OPTION | VARCHAR3(3) | 是否有admin option,yes or no |
3.5 对象权限基表
OBJAUTH$:对象权限基表。
属性 | 类型 | 描述 |
OBJ# | NUMBER | 对象 |
GRANTOR# | NUMBER | 授权者 |
GRANTEE# | NUMBER | 被授权对象 |
PRIVILEGE# | NUMBER | 权限 |
SEQUENCE# | NUMBER | 序号 |
PARENT | NUMBER | ??? |
OPTION# | NUMBER | WITH GRANT OPTION |
COL# | NUMBER | 列权限 |
其中的SEQUENCE#列使用的是object_grant列,表定义和序列定义如下:
create sequence object_grant /* object grant sequence number */ start with 1 increment by 1 minvalue 1 nomaxvalue cache 20 order nocycle / create table objauth$ /* table authorization table */ ( obj# number not null, /* object number */ grantor# number not null, /* grantor user number */ grantee# number not null, /* grantee user number */ privilege# number not null, /* table privilege number */ sequence# number not null, /* unique grant sequence */ parent rowid, /* parent */ option$ number, /* null = no options */ /* 0x01 = grant option */ /* 0x02 = hierarchy option */ col# number) /* null = table level, column id if column grant */ / create unique index i_objauth1 on objauth$(obj#, grantor#, grantee#, privilege#, col#) / create index i_objauth2 on objauth$(grantee#, obj#, col#) |
3.6 对象权限视图
ALL_TAB_PRIVS、DBA_TAB_PRIVS、USER_TAB_PRIVS:记录对象权限中的对象、权限之间的对应关系。
ALL_TAB_PRIVS_MADE和ALL_TAB_PRIVS_RECD的属性也和下表类似。
属性 | 类型 | 描述 |
GRANTOR | VARCHAR2(30) | 授权者 |
GRANTEE | VARCHAR2(30) | 获得授权 |
TABLE_SCHEMA | VARCHAR2(30) | 对象所属schema |
TABLE_NAME | VARCHAR2(30) | 对象名 |
PRIVILEGE | VARCHAR2(40) | 权限名 |
GRANTABLE | VARCHAR2(3) | GRANT OPTION, YES OR NO |
HIERARCHY | VARCHAR2(3) |
|
|
|
|
ALL_COL_PRIVS、USER_COL_PRIVS:列与对象权限之间的对应关系。
ALL_COL_PRIVS_MADE和ALL_COL_PRIVS_RECD的属性也和下表类似。
属性 | 类型 | 描述 |
GRANTOR | VARCHAR2(30) | 授权者 |
GRANTEE | VARCHAR2(30) | 获得授权 |
TABLE_SCHEMA | VARCHAR2(30) | 对象所属schema |
TABLE_NAME | VARCHAR2(30) | 对象名 |
COLUMN_NAME | VARCHAR2(30) | 列名 |
PRIVILEGE | VARCHAR2(40) | 权限名 |
GRANTABLE | VARCHAR2(3) | GRANT OPTION, YES OR NO |
|
|
|
3.7 角色相关
USER_ROLE_PRIVS:记录了哪一个角色被授予给当前用户。
属性 | 类型 | 描述 |
USERNAME | VARCHAR2(30) | 用户 |
GRANTED_ROLE | VARCHAR2(30) | 角色 |
ADMIN_OPTION | VARCHAR2(3) | 系统权限,ADMIN OPTION |
DEFAULT_ROLE | VARCHAR2(3) |
|
OS_GRANTED | VARCHAR2(3) |
|
|
|
|
DBA_ROLE_PRIVS:记录了所有的ROLE->USER的映射关系。
属性 | 类型 | 描述 |
GRANTEE | VARCHAR2(30) | 用户或角色 |
GRANTED_ROLE | VARCHAR2(30) | 角色 |
ADMIN_OPTION | VARCHAR2(3) | 系统权限,ADMIN OPTION |
DEFAULT_ROLE | VARCHAR2(3) |
|
|
|
|
ROLE_ROLE_PRIVS:记录了角色之间的授予关系。
ROLE_SYS_PRIVS:记录了角色获得的系统权限。
ROLE_TAB_PRIVS:记录了角色获得的对象权限。
3.8 其他
SESSION_PRIVS:会话内当前用户的系统权限。
SESSION_ROLES:会话内当前用户的所有角色。
ORACLE权限管理调研笔记