您的当前位置:首页正文

ORACLE权限管理调研笔记

2020-11-09 来源:星星旅游

在默认的方式下,任何非授权用户都不能在ORACLE执行任何操作,且默认情况下,只有SYSTEM和SYS能给其他用户授予权限。 ORACLE的用户权限分为系统权限(SYSTEMPRIVILEGE)和对象权限(OBJECTPRIVILEGE)。 *系统权限控制了对数据字典的修改。 * 对象权限控制了

在默认的方式下,任何非授权用户都不能在ORACLE执行任何操作,且默认情况下,只有SYSTEM和SYS能给其他用户授予权限。

ORACLE的用户权限分为系统权限(SYSTEMPRIVILEGE)和对象权限(OBJECTPRIVILEGE)。

* 系统权限控制了对数据字典的修改。

* 对象权限控制了对数据的修改。

1 系统权限

系统权限通常是针对修改表数据字典、修改数据库实例的情况进行控制。例如创建用户、创建表空间、控制会话等。

1.1 语法支持


其中权限部分可以有两种选择,分别是:

· 权限:system_privilete和ALL PRIVILEGE

· 角色:role

对于(被授权人)grantee_clause处,也有两种选择:

· 用户:user和PUBLIC

· 角色:role

所以对于系统权限来说,语法实现上主要可以有四种情况:

1. 权限 –> 用户

GRANT privileges[,privilege…] TO username [WITH ADMIN OPTION];

分配权限(PRIVILEGE)给用户(USERNAME)。如果权限是ALL PRIVILEGES,在USER_SYS_PRIVS会显示多行,每个权限一行,另外,username可以是PUBLIC。

对应的系统视图为:DBA_SYS_PRIVS,USER_SYS_PRIVS。

SQL> grant create any table to test2;

授权成功。

SQL> select * from sysauth$ where sequence# >= 1273

GRANTEE# PRIVILEGE# SEQUENCE# OPTION$

---------- ---------- ---------- ----------

88 92 1273 1

89 -41 1291

SQL> select * from system_privilege_map where privilege=-41;

PRIVILEGE NAME PROPERTY

---------- ---------------------------------------- ----------

-41 CREATE ANY TABLE 0

2. 权限 –> 角色

GRANT privilege[,privilege…]TO role [WITH ADMIN OPTION];

分配系统权限(PRIVILEGE)给一个角色(ROLE)。

对应的系统视图:ROLE_SYS_PRIVS。

SQL> create role role1;

角色已创建。

SQL> grant create any table to role1 with admin option;

授权成功。

SQL> select name, option$,grantee# from sysauth$,system_privilege_map where priv

ilege = privilege# and sequence# >= 1274;

NAME OPTION$ GRANTEE#

---------------------------------------- ---------- ----------

CREATE ANY TABLE 1 94

3. 角色 -> 角色

GRANT role TO role [WITH ADMIN OPTION];

给一个角色(ROLE)授予另一个角色的权限。

对应的系统视图:ROLE_ROLE_PRIVS。

SQL> create role role1;

角色已创建。

SQL> create role role2;

角色已创建。

SQL> grant role1 to role2 with admin option;

授权成功。

SQL> select * from role_role_privs where role='ROLE2';

ROLE GRANTED_ROLE ADM

------------------------------ ------------------------------ ---

ROLE2 ROLE1 YES

4. 角色 –> 用户

GRANT role TO username[WITH ADMINOPTION];

分配角色(ROLE)给用户(USERNAME),username可以是public。

对应的系统视图为:USER_ROLE_PRIVS。

SQL> create user test1 identified by 123456;

用户已创建。

SQL> grant role1 to test1 with admin option;

授权成功。

SQL> select * from dba_role_privs where grantee='TEST1';

GRANTEE GRANTED_ROLE ADM DEF

------------------------------ ------------------------------ --- ---

TEST1 ROLE1 YES YES

1.2 ANY

ANY:系统权限使用ANY关键字来给数据库下的所有对象赋予权限,使用ANY关键字赋予权限后,对象的访问权限不仅限于自身所在的SCHEMA,可以跨SCHEMA进行操作。

ANY: System privileges thatuse the ANY keywordenable you to set privileges for an entire category of objects in the database. The behavior of an object created byusers with the ANY privilegeis not restricted to the schema in which it was created.

1.3 PUBLIC

PUBLIC:PUBLIC是一种系统内置的角色,对PUBLIC赋予的权限,系统内的所用用户都可以获得。

PUBLIC:You can grant privileges to the PUBLIC role,which then makes the privileges available to every user in the Oracle database.

1.4 WITH ADMIN OPTION

系统权限使用WITH ADMIN OPTION来制定被授权用户是否可以把获取到的权限转授给他人。

当权限回收时,转授他人的权限不会回收,不存在级联回收的情况。

1.5 授权需要的权限

能够授予和回收系统权限的用户包含以下两类:

l 通过WITH ADMIN OPTION获得权限的用户。

l 有GRANT ANY PRIVILEGE权限的用户。

2 对象权限

对象权限主要应用在表、视图、序列这些对象上。

l 在ORACLE中对应的主要的系统视图是:ALL_TAB_PRIVS、DBA_TAB_PRIVS、USER_TAB_PRIVS和ROLE_TAB_PRIVS。

l 对于设置了列权限的情况,对应的系统视图为:ALL_COL_PRIVS、USER_COL_PRIVS。

2.1 语法支持

首先创建两个用户user1和user2,并且分别授予CREATE SESSION权限,对USER1授予CREATE TABLE系统权限。

这时,user2是不能访问user1创建的表:

SQL> select * from user1.test;

select * from user1.test

*

第 1 行出现错误:

ORA-00942: 表或视图不存在

通过授予对象权限,可以实现授权:

SQL> grant select on user1.test to user2 with grant option;

授权成功。

SQL> select * from dba_tab_privs where grantee='USER2';

GRANTEE OWNER

------------------------------ ------------------------------

TABLE_NAME GRANTOR

------------------------------ ------------------------------

PRIVILEGE GRA HIE

---------------------------------------- --- ---

USER2 USER1

TEST USER1

SELECT YES NO

并且授权后,能访问grantor表:

SQL> select * from user1.test;

A

----------

2

2.2 对象及权限

对象

权限

DIRECTORY

READ、WRITE、EXECUTE

EDITION

USE

INDEXTYPE

EXECUTE

FLASHBACK DATA ARCHIVE

FLASHBACK ARCHIVE

LIBRARY

EXECUTE

MATERIALIZED VIEW

ON COMMIT REFRESH、QUERY REWRITE、SELECT

MINING MODEL

ALTER 、SELECT

OBJECT TYPE

DEBUG 、EXECUTE、UNDER

OLAP

INSERT、ALTER、DELETE、SELECT、UPDATE

OPERATOR

EXECUTE、DEBUG 、EXECUTE

SCHEDULER

EXECUTE、ALTER

SEQUENCE

ALTER 、SELECT

SYNONYM

和目标项权限相同

TABLE

ALTER 、DEBUG、DELETE 、INDEX 、INSERT 、REFERENCES、 SELECT 、UPDATE

VIEW

DEBUG、DELETE 、INSERT 、MERGE VIEW、REFERENCES、SELECT 、UNDER、UPDATE

按照ORACLE文档,去掉重复,对象权限主要包含如下18个权限:READ、WRITE、EXECUTE、USE、FLASHBACKARCHIVE、ON COMMITREFRESH、QUERY REWRITE、SELECT、ALTER 、DEBUG 、UNDER、INSERT、DELETE、UPDATE、INDEX 、REFERENCES 、UPDATE、MERGE VIEW。

在TABLE_PRIVILEGE_MAP中的对象权限会多于上述的数量,有26个,除了上述的权限外,还有AUDIT、COMMENT、GRANT、LOCK、RENAME、ENQUEUE、DEQUEUE、CREATE。

2.3 WITH GRANT OPTION

在ORACLE中,对象权限通过WITHGRANT OPTION来实现权限的转授,作用和WITHADMIN OPTION类似,但是在REVOKE权限时会发生级联撤销。这种权限通过基表中的单独一个属性来标识的,比如系统权限是通过sysauth$表中的OPTION#列来标识的。

ORACLE对系统权限的转授没有实现级联回收,也就是说用户A将权限转给用户B,用户B再将权限转给用户C,这时收回用户B的权限,而用户C的权限不会被收回。

ORACLE的对象权限的转授是可以实现级联回收的,即回收B用户的权限,C用户的权限也会被回收。要实现权限的级联回收,需要记录权限之间的分配关系,ORACLE由于是通过单独的表(objauth$)实现对象权限管理,表中的GRANTOR#列记录了权限的来源,所以可以通过GRANTOR#列将分配关系串联起来形成树的关系,在REVOKE权限时,通过广度优先遍历清除,即可以实现级联回收。


3 数据字典

Oracle中关于权限的系统视图。

3.1 系统权限映射

SYSTEM_PRIVILEGE_MAP:记录系统权限标识和权限名称的映射关系。

PRIVILEGE

NUMBER

权限标识

NAME

VARCHAR2(40)

权限名,负数

PROPERTY

NUMBER

???

该表的详细信息如下:

create table SYSTEM_PRIVILEGE_MAP sharing=object (

PRIVILEGE number not null,

NAME varchar2(40) not null,

PROPERTY number not null /* 0x01 = do not export this privilege */

/* using sql statements */

)

/

comment on table SYSTEM_PRIVILEGE_MAP is

'Description table for privilege type codes. Maps privilege type numbers to type names'

/

comment on column SYSTEM_PRIVILEGE_MAP.PRIVILEGE is

'Numeric privilege type code'

/

comment on column SYSTEM_PRIVILEGE_MAP.NAME is

'Name of the type of privilege'

/

comment on column SYSTEM_PRIVILEGE_MAP.PROPERTY is

'Property flag of privilege like not export this privilege, etc'

/

insert into SYSTEM_PRIVILEGE_MAP values (-3, 'ALTER SYSTEM', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-4, 'AUDIT SYSTEM', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-5, 'CREATE SESSION', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-6, 'ALTER SESSION', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-7, 'RESTRICTED SESSION', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-10, 'CREATE TABLESPACE', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-11, 'ALTER TABLESPACE', 0);

insert into SYSTEM_PRIVILEGE_MAP values (-12, 'MANAGE TABLESPACE', 0);

……

create unique index I_SYSTEM_PRIVILEGE_MAP

on SYSTEM_PRIVILEGE_MAP (PRIVILEGE, NAME)

/

create public synonym SYSTEM_PRIVILEGE_MAP for SYSTEM_PRIVILEGE_MAP

/

grant select on SYSTEM_PRIVILEGE_MAP to public with grant option

/

3.2 对象权限映射

TABLE_PRIVILEGE_MAP:记录对象权限和权限名的映射关系。

PRIVILEGE

NUMBER

权限标识

NAME

VARCHAR2(40)

权限名

该表的详细信息如下:

create table TABLE_PRIVILEGE_MAP sharing=object (

PRIVILEGE number not null,

NAME varchar2(40) not null)

/

comment on table TABLE_PRIVILEGE_MAP is

'Description table for privilege (auditing option) type codes. Maps privilege (auditing option) type numbers to type names'

/

comment on column TABLE_PRIVILEGE_MAP.PRIVILEGE is

'Numeric privilege (auditing option) type code'

/

comment on column TABLE_PRIVILEGE_MAP.NAME is

'Name of the type of privilege (auditing option)'

/

insert into TABLE_PRIVILEGE_MAP values (0, 'ALTER');

insert into TABLE_PRIVILEGE_MAP values (1, 'AUDIT');

insert into TABLE_PRIVILEGE_MAP values (2, 'COMMENT');

insert into TABLE_PRIVILEGE_MAP values (3, 'DELETE');

insert into TABLE_PRIVILEGE_MAP values (4, 'GRANT');

insert into TABLE_PRIVILEGE_MAP values (5, 'INDEX');

insert into TABLE_PRIVILEGE_MAP values (6, 'INSERT');

insert into TABLE_PRIVILEGE_MAP values (7, 'LOCK');

insert into TABLE_PRIVILEGE_MAP values (8, 'RENAME');

insert into TABLE_PRIVILEGE_MAP values (9, 'SELECT');

insert into TABLE_PRIVILEGE_MAP values (10, 'UPDATE');

insert into TABLE_PRIVILEGE_MAP values (11, 'REFERENCES');

insert into TABLE_PRIVILEGE_MAP values (12, 'EXECUTE');

insert into TABLE_PRIVILEGE_MAP values (16, 'CREATE');

insert into TABLE_PRIVILEGE_MAP values (17, 'READ');

insert into TABLE_PRIVILEGE_MAP values (18, 'WRITE');

insert into TABLE_PRIVILEGE_MAP values (20, 'ENQUEUE');

insert into TABLE_PRIVILEGE_MAP values (21, 'DEQUEUE');

insert into TABLE_PRIVILEGE_MAP values (22, 'UNDER');

insert into TABLE_PRIVILEGE_MAP values (23, 'ON COMMIT REFRESH');

insert into TABLE_PRIVILEGE_MAP values (24, 'QUERY REWRITE');

insert into TABLE_PRIVILEGE_MAP values (26, 'DEBUG');

insert into TABLE_PRIVILEGE_MAP values (27, 'FLASHBACK');

insert into TABLE_PRIVILEGE_MAP values (28, 'MERGE VIEW');

insert into TABLE_PRIVILEGE_MAP values (29, 'USE');

insert into TABLE_PRIVILEGE_MAP values (30, 'FLASHBACK ARCHIVE');

create unique index I_TABLE_PRIVILEGE_MAP

on TABLE_PRIVILEGE_MAP (PRIVILEGE, NAME)

/

create public synonym TABLE_PRIVILEGE_MAP for TABLE_PRIVILEGE_MAP

/

grant select on TABLE_PRIVILEGE_MAP to public with grant option

3.3 系统权限基表

SYSAUTH$:ORACLE数据库的系统权限基表,不只是系统权限,角色->角色的权限授予也存在这个系统表。

属性

类型

描述

GRANTEE#

NUMBER

被授权的主用户

PRIVILEGE#

NUMBER

权限

SEQUENCE#

NUMBER

序号

OPTION#

NUMBER

系统权限,ADMIN OPTION

其中的SEQUENCE#列使用的是sys_grant序列,表定义和序列定义如下:

create sequence system_grant /* system grant sequence number */

start with 1

increment by 1

minvalue 1

nomaxvalue

cache 20

order

nocycle

create table sysauth$ /* system authorization table */

( grantee# number not null, /* grantee number (user# or role#) */

privilege# number not null, /* role or privilege # */

sequence# number not null, /* unique grant sequence */

option$ number) /* null = none, 1 = admin option */

/

create unique index i_sysauth1 on sysauth$(grantee#, privilege#)

/

3.4 系统权限的视图

DBA_SYS_PRIVS、USER_SYS_PRIVS:记录被授权的用户分配到的权限以及是否含有ADMIN OPTION。

属性

类型

描述

GRANTEE

VARCHAR2(30)

被授权的主用户

PRIVILEGE

VARCHAR2(40)

权限名

ADMIN_OPTION

VARCHAR3(3)

是否有admin option,yes or no

3.5 对象权限基表

OBJAUTH$:对象权限基表。

属性

类型

描述

OBJ#

NUMBER

对象

GRANTOR#

NUMBER

授权者

GRANTEE#

NUMBER

被授权对象

PRIVILEGE#

NUMBER

权限

SEQUENCE#

NUMBER

序号

PARENT

NUMBER

???

OPTION#

NUMBER

WITH GRANT OPTION

COL#

NUMBER

列权限

其中的SEQUENCE#列使用的是object_grant列,表定义和序列定义如下:

create sequence object_grant /* object grant sequence number */

start with 1

increment by 1

minvalue 1

nomaxvalue

cache 20

order

nocycle

/

create table objauth$ /* table authorization table */

( obj# number not null, /* object number */

grantor# number not null, /* grantor user number */

grantee# number not null, /* grantee user number */

privilege# number not null, /* table privilege number */

sequence# number not null, /* unique grant sequence */

parent rowid, /* parent */

option$ number, /* null = no options */

/* 0x01 = grant option */

/* 0x02 = hierarchy option */

col# number) /* null = table level, column id if column grant */

/

create unique index i_objauth1 on

objauth$(obj#, grantor#, grantee#, privilege#, col#)

/

create index i_objauth2 on objauth$(grantee#, obj#, col#)

3.6 对象权限视图

ALL_TAB_PRIVS、DBA_TAB_PRIVS、USER_TAB_PRIVS:记录对象权限中的对象、权限之间的对应关系。

ALL_TAB_PRIVS_MADE和ALL_TAB_PRIVS_RECD的属性也和下表类似。

属性

类型

描述

GRANTOR

VARCHAR2(30)

授权者

GRANTEE

VARCHAR2(30)

获得授权

TABLE_SCHEMA

VARCHAR2(30)

对象所属schema

TABLE_NAME

VARCHAR2(30)

对象名

PRIVILEGE

VARCHAR2(40)

权限名

GRANTABLE

VARCHAR2(3)

GRANT OPTION, YES OR NO

HIERARCHY

VARCHAR2(3)

ALL_COL_PRIVS、USER_COL_PRIVS:列与对象权限之间的对应关系。

ALL_COL_PRIVS_MADE和ALL_COL_PRIVS_RECD的属性也和下表类似。

属性

类型

描述

GRANTOR

VARCHAR2(30)

授权者

GRANTEE

VARCHAR2(30)

获得授权

TABLE_SCHEMA

VARCHAR2(30)

对象所属schema

TABLE_NAME

VARCHAR2(30)

对象名

COLUMN_NAME

VARCHAR2(30)

列名

PRIVILEGE

VARCHAR2(40)

权限名

GRANTABLE

VARCHAR2(3)

GRANT OPTION, YES OR NO

3.7 角色相关

USER_ROLE_PRIVS:记录了哪一个角色被授予给当前用户。

属性

类型

描述

USERNAME

VARCHAR2(30)

用户

GRANTED_ROLE

VARCHAR2(30)

角色

ADMIN_OPTION

VARCHAR2(3)

系统权限,ADMIN OPTION

DEFAULT_ROLE

VARCHAR2(3)

OS_GRANTED

VARCHAR2(3)


DBA_ROLE_PRIVS:记录了所有的ROLE->USER的映射关系。

属性

类型

描述

GRANTEE

VARCHAR2(30)

用户或角色

GRANTED_ROLE

VARCHAR2(30)

角色

ADMIN_OPTION

VARCHAR2(3)

系统权限,ADMIN OPTION

DEFAULT_ROLE

VARCHAR2(3)

ROLE_ROLE_PRIVS:记录了角色之间的授予关系。
ROLE_SYS_PRIVS:记录了角色获得的系统权限。
ROLE_TAB_PRIVS:记录了角色获得的对象权限。

3.8 其他

SESSION_PRIVS:会话内当前用户的系统权限。
SESSION_ROLES:会话内当前用户的所有角色。