数据库的用户和权限的管理是DBA日常运维工作中的重要组成部分,不同数据库的用户权限体系及管理方式也会有差别,本文将对ORACLE的用户权限体系和常用操作进行一个总结。
一、用户管理
ORACLE中创建用户语句和mysql一样,不同的是mysql可以在用户后面加ip以实现ip层面的访问控制。在ORACLE中,创建用户即创建同名schema。记得初学ORACLE时就搞不懂schema的概念,后来理解了其实schema就是指数据库对象的集合,包括表、视图、存储过程等等,在ORACLE中这个集合是集合到用户下,而在MySQL中这个集合是集合到数据库下,所以在MySQL中database即schema。另外在SQLServer和PG中,在实例下的数据库下面还有一层schema的概念,这就和ORACLE、MySQL都不一样,可以说在对数据库对象管理的层次上面又多了一层。在ORACLE中可以通过conn user/password命令切换不同的用户,在删除用户时需要加上cascade:drop user user_name [cascade],这样才可以级联删除该用户下面的数据库对象。
二、系统权限
ORACLE的用户权限可以分为系统权限、对象权限以及角色权限。其中系统权限是指执行特定类型SQL命令的权限,它用于控制用户可以执行的一个或一组数据库操作,常用的系统权限包括create session,create table等,新创建的用户至少要授予create session才可以连接数据库。
系统权限中对数据对象加上any,比如create any table,表示可以在任意用户中进行操作。通过查询视图dba_sys_privs可以获取用户的系统权限,其中select any table权限是指可以访问其他用户所有的表,但是仍然无法查询dba_数据字典视图,这个需要select any dictionary权限。
三、对象权限
对象权限就是指针对数据库对象的权限,比如对表的增删改查权限。在ORACLE中,对象的拥有者拥有对象的所有权限,比如用户创建了一个对象,该用户拥有这个对象的所有权限,并且对象的拥有者可以向外分配权限。通过数据字典视图dba_tab_privs可以查询用户拥有的对象权限。
四、角色权限
角色可以理解为一些权限的集合,角色的作用是用来简化权限的管理。我们可以创建一个角色,再将一些系统权限或对象权限一并赋予给这些创建的角色,再把这个角色赋予给用户,此时该用户就拥有这个角色下的所有权限。在ORACLE中,使用最多的还是两个系统角色,connect和resource。创建应用用户时可以给用户connect和resource角色这样该用户就可以满足大多数业务场景的需要,此外也可以把connect和resource角色授给不同的用户以实现权限管控和隔离。查询系统视图role_sys_privs和role_tab_privs可以分别查询角色拥有的系统权限和对象权限。通过查询dba_role_privs视图可以查询用户拥有哪些角色。
五、总结
除了以上几类用户权限,还有一种权限叫做列权限,即对表的某一列或几列赋权,在对表的精细化权限管理时会用到。由于mysql的用户和schema是分离的,所以mysql的权限管理看上去也更简单,mysql在8.0以后才支持角色权限,但是实际中也很少用到,而ORACLE的两个系统角色帮助管理员简化了用户权限的管理。mysql中可以通过show grants语句很方便查看用户的授权语句,在ORACLE可以通过拼接sql的方式导出用户的授权语句:
#对象权限授权语句 select 'grant '||PRIVILEGE||' on '||OWNER||'.'||TABLE_NAME||' to '||GRANTEE||';' from dba_tab_privs where GRANTEE='APP2'; #系统权限授权语句 select 'grant '||PRIVILEGE||' to '||GRANTEE||';' from dba_sys_privs where GRANTEE='APP2'; #角色授权语句 select 'grant '||GRANTED_ROLE||' to '||GRANTEE||';' from dba_role_privs where GRANTEE='APP2';
