开启掘金成长之旅！这是我参与「掘金日新计划 · 12 月更文挑战」的第29天，点击查看活动详情

10 数据库管理员

10.1 管理权限和角色

10.1.3 管理权限和角色 ---角色

10.1.3.3 角色授权

当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。

（一）给角色授权

给角色授予权限和给用户授权没有太多区别，但是要注意，系统权限的unlimited tablespace和对象权限的with grant option选项是不能授予角色的。

conn system/amdin
grant create session to 角色名 with admin option 
conn scott/tigger@orcl
grant select on scott.emp to 角色名
grant insert,update,delete on scott.emp to 角色名

通过上面的步骤，就给角色授权了。

（二）分配角色给某个用户

一般分配角色是由dba来完成的，如果要以其他用户身份分配角色，则要求用户必须具有grant any role的系统权限。

conn system/admin;
grant 角色名 to blake with admin option

因为我给了with admin option选项

所以，blake可以把system分配给它的角色分配给别的用户。

10.1.3.4 删除角色

使用 drop role，一般是dba来执行，乳痈其他用户则要求该用户具有drop anyrole系统权限

conn system/admin
drop role 角色名

？角色被删，那么用户是否还可以登录？

---不能继续登录

·显示角色信息

(1)显示所有角色信息

select * from dba_roles;

(2)显示角色具有的系统权限

select privilege,admin_option from role_sys_privs where role='角色名';

(3)显示角色具有的对象权限

通过查询数据字典视图dba_tab_privs可以查看角色具有的对象权限或是列的权限。

(4)显示用户具有的角色，及默认角色

当以用户的身份连接到数据库时，oracle会自动的激活默认的角色，通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色及当前默认的角色。

select granted_role,default_role from dba_role_privs where grantee='用户名';

·精细访问控制

是指用户可以使用函数、策略实现更加细微的安全访问控制。如果使用精细访问控制，则当在客户端发出sql语句（select,insert,update,delete）时，oracle会自动在sql语句后追加谓词（where子句），并执行新的sql语句。通过这样的控制，可以使得不同的数据库用户在访问相同表时，返回不同的数据信息，如图

用户： scott blake jones

策略 emp_access

数据库表emp

如上所示：通过策略emp_access，用户scott,blake,jones在执行相同的sql语句时，可以返回不同的结果。例如，当执行select ename from emp;时，更具实际情况可以返回不同的结果。