oracle用户权限操作sql汇总

---用户与权限管理----

--1,用户--

create user 用户名identified by "口令"

default tablespace 表空间

---指定默认表空间，若不指定，则system表空间将被指定为用户的默认表空间，为了提高的性能，同时为了方便管理数据，oracle建议为用户指定一个默认表空间---

temporary tablespace 临时表空间

quota 空间配额大小 on 表空间

password expire

account lock|unlock

点击(此处)折叠或打开

create user user1 identified by"1234"

default tablespace users

temporary tablespace temp

quota 20m on users ---若希望用户在所有表空间上都具有无限制的空间配额，则只要为其指定unlimited tablespaces权限即可---

password expire

account unlock;

--删除用户--

drop user 用户名

--需要注意的是，如果一个用户的模式中已经包含一些数据库对象，那么这个用户不能直接删除，必须指定cascade--

drop user scott cascade;

--用户的相关信息从数据字典视图dba_users中获得--

selectusername,password,default_tablespace,account_status from dba_users;

--修改用户口令--

password 用户名 --若没有指定用户名，则默认为当前用户--

alter user 用户identified by "新口令"

--alter也可以修改其它信息--

alter user user1

default tablespace ts1

temporary tablespace ts1

quota unlimited on ts1;

--系统权限的管理--

--为用户授予权限的grant命令语法--

grant 权限1，权限2，... to 用户1，用户2,... with admin option; --with admin option的好处是权限的获得者可以再将权限授予其他用户--

---权限包括系统权限和对象权限--

--系统权限--

create session,create table,createresource,create view,create user,create trigger,create tablespace,createprocedure.

alter session,database,user

--为了使一个用户可以操作数据库，至少需要有create session,create table和有指定(表)空间配额的3个权限--

grant create session,create table,unlimitedtablespace to 用户名;

--回收权限--

--注意：系统权限可以转授，但是回收时不能间接回收--

revoke 系统权限1，系统权限2 ...

from 用户1，用户2 ...

--对象权限 主要是对数据库对象中的数据的访问权限，这类权限主要针对普通用户--

grant 对象权限1(列名),对象权限2(列名)...

on 对象 to 用户1，用户2... with grant option

grant select on dept to user1 with grantoption

grant insert(empno),update(sal) on emp touser1,user2

grant execute on functional to user1

--回收权限--

--权限insert，update，references在分配时可以指定相关的列，但在回收时不能指定列，而只能指定表名--

revoke 对象权限1，对象权限2... on 对象

from 用户1，用户2...

revoke update(sal) on emp from user2 --错误语句--

revoke update on emp from user2

--数据库中所有的系统权限--

select name from system_privilege_map;

--sys从数据字典视图dba_sys_privs中查询任何用户所具有的系统权限--

select grantee,privilege,admin_option fromdba_sys_privs where grantee='scott'

----普通用户通过user_sys_privs查询 用户直接获得的系统权限，即通过grant命令授予当前用户的系统权限---

select username,privilege,admin_option fromuser_sys_privs

--从数据字典视图session_privs中可以查询一个用户在当前会话中所具有的系统权限--

-- session_privs权限==直接获得的权限 + 該用户从角色中间接获得的系统权限 ---

--对象权限有关的数据字典视图:dba_tab_privs,dba_col_privs,user_tab_privs和user_col_privs--

点击(此处)折叠或打开

-- dba_tab_privs 查询任何用户所具有的对象权限 ---

selectgrantee,privilege,grantor,table_name,grantable from dba_tab_privs

where grantee='user1';

--dba_col_privs 查询用户在列上的权限 --

selectgrantee,table_name,column_name,privilege,grantor,grantable

from dba_col_privs where grantee='user1';

selectgrantee,table_name,column_name,privilege,grantor,grantable

from user_tab_privs where grantee='scott';

--角色--

--connect角色 包含的权限有createsession --

/* resource角色 包含的权限有 crate sequence,create trigger,create cluster,create procedure,

create type,create operator,create table,create indextype */

create role 角色名

drop role 角色名

grant select on emp to role1

revoke select on emp from role1

--角色信息的查询--

/* dba_roles 记录数据库中所有角色

dba_role_privs 记录所有被授予用户或另一角色的角色

user_role_privs 记录所有被授予当前用户的角色

role_role_privs 记录一个角色中包含的其他角色

role_sys_privs 记录一个角色中包含的系统权限

role_tab_privs 记录一个角色中包含的对象权限

session_roles 记录当前会话中所使用的角色 */

--获得系统中所有的角色--

select role from dba_roles

--查询用户user1所拥有的角色和默认角色--

select granted_role,default_role fromdba_role_privs where grantee='user1'

--查询角色connect所包含的系统权限--

select privilege,admin_option fromrole_sys_privs where role='connect'

--profile的管理--

--查询用户的会话信息，强制终止用户会话，锁定用户帐号--

select username,sid,serial# from v$sessionwhere username='scott';

alter system kill session '144,7'; --144和7分别为用户会话的sid和serial#--

alter user scott account lock;

--profile创建--

create profile profile名称 limit

口令限制

资源限制

--指定profile 每个用户只能指定一个profile--

create user user2 identified by"1234" profile p1

alter user scott profile p1

--从数据字典dba_users中可以获得为每个用户指定的profile-

select profile from dba_users whereusername='scott';

--数据字典dba_profiles--

select resource_name,limit fromdba_profiles where profile='p1';

--删除profile--

drop profile profile名字 [cascade];

--profile限制--

/* failed_login_attempts 允许的失败登录次数，默认值为10次

password_lock_time 账号锁定时间，默认值为1天

password_life_time 口令的有效期，默认值为180天

password_grace_time 口令有效期的延长期，默认值为-周、7天

password_reuse_time 为了再次使用过去用过的口令，必须经过的天数

password_reuse_max 为了再次使用过去用过的口令，必须使用不同口令的次数

password_reuse_time 和 password_reuse_max 必须一起使用 */

--如果用户失败的登录次数达到3次，则用户账号将被锁定5天--

create profile p1 limitfailed_login_attempts 3 password_lock_time 5

--用户在30天内必须把口令修改过5次后，才能使用过去用过的口令--

create profile p2 limit password_reuse_time30 password_reuse_max 5

--利用profile对用户使用资源进行控制--

如果要使profile对用户使用系统资源起限制作用，则需要将参数resource_limit的值设置为true

alter system set resource_limit=true

sessions_per_user 一个用户所允许的并发会话数目

cpu_per_session 用户在一个会话内所使用的cpu时间的总和，时间单位为0.01秒

logical_reads_per_session 用户在一个会话内所能访问的数据块的数量(包括物理读和逻辑读的数量)

connect_time 一个用户会话所能持续的时间，以分钟为单位;超过这个时间，会话将自动断开

idle_time 一个用户会话所允许的连续的空闲时间，以分钟为单位，超过这个时间，会话将自动断开

private_sga 如果数据库服务器的连接模式为共享模式，这个参数用来限制为一个用户会话所分配的sga空间

cpu_per_call 用户执行的每条命令所使用的cpu时间，时间单位为0.01秒

logical_reads_per_call 用户执行的每条命令所能访问的数据块的数量

如果能够对用户消耗cpu时间、访问数据块的数量等这些资源进行限制，那么就可以有效地

防止诸如死循环的执行、访问一个大表中的所有数据这类情况的发生。

create profile p3 limit

sessions_per_user 100

logical_reads_per_session 500

connect_time 5

create profile p4 limit

cpu_per_call 10

logical_reads_per_call 50

/* 若没有为用户指定profile文件，则用户会受默认profile限制，如果要对所有用户进行同样的限制，那么只要修改

这个默认profile所包含的限制，并且不要为用户指定其他的profile */

select resource_name,limit fromdba_profiles where profile='default';