2. 程式人生 > >轉://Oracle A用戶給B用戶授權查詢指定表或視圖權限方案

轉://Oracle A用戶給B用戶授權查詢指定表或視圖權限方案

阿新 發佈:2017-07-21
tab dex reat del 作用 系統 所有 mit 應用

用DNINMSV31賬戶登錄數據庫進行如下操作:

CREATE USER NORTHBOUND IDENTIFIED BY NORTHBOUND
DEFAULT TABLESPACE "TBS_DNINMSV31"
TEMPORARY TABLESPACE "TEMP2"
QUOTA UNLIMITED ON "TBS_DNINMSV31";

GRANT "CONNECT" TO NORTHBOUND;
ALTER USER NORTHBOUND DEFAULT ROLE NONE;

GRANT CREATE SESSION TO NORTHBOUND;

GRANT SELECT ON "DNINMSV31"."V_DNDEVICE" TO NORTHBOUND;
GRANT SELECT ON "DNINMSV31"."V_DNSUBNE" TO NORTHBOUND;
GRANT SELECT ON "DNINMSV31"."V_DNPACKAGE" TO NORTHBOUND;
GRANT SELECT ON "DNINMSV31"."V_DNPORT" TO NORTHBOUND;

【註】:在用NORTHBOUND登錄後查詢的時候要在視圖前加上DNINMSV31,否則會報表或視圖不存在。
例如:
select * from DNINMSV31.V_DNDEVICE; --可以正常執行

select * from DNINMSV31.TB_DEVICE where rownum<5; --執行的時候會報表或視圖不存在

創建同義詞供對方公司系統訪問:

CREATE SYNONYM V_DNDEVICE FOR DNINMSV31.V_DNDEVICE;

CREATE SYNONYM V_DNSUBNE FOR DNINMSV31.V_DNSUBNE;

CREATE SYNONYM V_DNPACKAGE FOR DNINMSV31.V_DNPACKAGE;

CREATE SYNONYM V_DNPORT FOR DNINMSV31.V_DNPORT;

第三方的系統直接通過這個同義詞就可以訪問到用戶DNINMSV31中的視圖。這也是對系統安全的一種保護措施。第三方系統登錄後,只能看到其同義詞,其他的都不會訪問得到。

最後還要對NORTHBOUND用戶進行連接數的限制,以免第三方無限制的連接數據庫,造成數據庫SESSION暴漲:

conn / as sysdba

alter system set resource_limite=true scope=both sid=‘*‘;

新建profile, 初始限制為1 ,用於測試。

create profile third_user limit SESSIONS_PER_USER 1 FAILED_LOGIN_ATTEMPTS unlimited;

alter user NORTHBOUND profile third_user;

將會話數調整到30

alter profile third_user limit SESSIONS_PER_USER 30;

--------------------------------------------------------------------------------------------------

跟第三方做接口程序時給對方開放只能查詢某些視圖用戶的步驟如下:

我們有這樣一個需求:在數據庫中建立兩個用戶,用戶A 用於創建一些視圖,直接訪問自己數據庫中一個模式下的表,以及通過數據庫鏈路訪問其他數據庫中的表;另一個用戶B 能訪問到這個用戶A 中的視圖,並且只能訪問視圖,且訪問連接數有限制。

這個用戶B 是用來給其他系統訪問的,因此對權限和資源使用都需要有限制條件。

這種需求在很多行業的應用中都很常見。假如這是一道面試題,您該如何去回答呢?

我采用下面的方法來回答這個問題。

第一步,創建新用戶A 和B 。

這裏用戶名稱分別為ryd_interface_src 和ryd_interface ,對這兩個用戶都授予非常有限的權限。

drop user ryd_interface_src cascade;

create user ryd_interface_src identified by ryd_interface_src;

grant connect,create view to ryd_interface_src;

drop user ryd_interface cascade;

create user ryd_interface identified by ryd_interface;

grant connect,create synonym to ryd_interface;

第二步,登錄數據庫一個模式中,授權給用戶A ,使得用戶A 能創建視圖

conn qlzqclient/qlzq+client8

grant select on INVEST_CLOCK to ryd_interface_src with grant option;

grant select on INVEST_LOG to ryd_interface_src with grant option;

這裏授權方法加了一個with grant option ,請註意。

第三步,登錄數據庫用戶A 中,創建視圖

conn ryd_interface_src/ryd_interface_src

create or replace view run_views as

select id as doc_id, title,fbsj as upload_date,‘‘ as branch_code from [email protected]_QLZQWEB

where EXT1=‘1‘ and sysdate > START_TIME

and sysdate < SOLID_TIME

union

select a.doc_id,a.title,a.upload_date,a.branch_code from [email protected]_QLZQWEB a

left join [email protected]_QLZQWEB b on a.doc_id=b.doc_id

where

a.state =1 and a.is_delete =0

and a.upload_date> sysdate-90

and b.cat_id=4;

create or replace view INVEST_CLOCK_VIEWS as

select * from qlzqclient.INVEST_CLOCK;

create or replace view INVEST_LOG_VIEWS as

select * from qlzqclient.INVEST_LOG;

第四步,在數據庫用戶A 中,將視圖查詢權限授予給用戶B

因為在步驟二中,加了with grant option ,所以這裏視圖查詢權限可以成功授予。

grant select on INVEST_CLOCK_views to ryd_interface;

grant select on INVEST_LOG_views to ryd_interface;

grant select on run_views to ryd_interface;

第五步,在數據庫用戶B 中,檢查視圖能否查詢得到,再創建同義詞。

conn ryd_interface/ryd_interface

select count(*) from ryd_interface_src.run_views;

select count(*) from ryd_interface_src.INVEST_CLOCK_views;

select count(*) from ryd_interface_src.INVEST_LOG_views;

create synonym run_views for ryd_interface_src.run_views;

create synonym INVEST_CLOCK_views for ryd_interface_src.INVEST_CLOCK_views;

create synonym INVEST_log_views for ryd_interface_src.INVEST_log_views;

第三方的系統直接通過這個同義詞就可以訪問到用戶A 中的視圖。這也是對系統安全的一種保護措施。第三方系統登錄後,只能看到其同義詞,其他的都不會訪問得到。

第六步,限制資源使用

因為用戶B 是給第三方系統使用,我們無法控制第三方應用的質量,為了防止在應用出現異常連接時數據庫會話數暴漲導致數據庫整體服務出現故障,所以我們對該用戶的數據庫會

話數做一個限制。

這裏采用profile 的sessions_per_user 功能,實現單個用戶會話數的限制。

conn / as sysdba

alter system set resource_limite=true scope=both sid=‘*‘;

新建profile, 初始限制為1 ,用於測試。

create profile third_user limit SESSIONS_PER_USER 1 FAILED_LOGIN_ATTEMPTS unlimited;

alter user ryd_interface profile third_user;

將會話數調整到30

alter profile third_user limit SESSIONS_PER_USER 30;

通過以上操作,我們就可以實現這個需求了。

--------------------------------------------------------------------------------------------------

GRANT debug any procedure, debug connect session TO hnckb;
grant select on sys.dba_pending_transactions to hnckb;
grant CREATE VIEW,CREATE JOB,CREATE SYNONYM to hnckb;
grant CONNECT,RESOURCE to hnckb;
1.標準角色
CONNECT
RESOURCE

2.系統權限
CREATE VIEW
CREATE DATABASE LINK
CREATE JOB
CREATE SYNONYM
UNLIMITED TABLESPACE
更改定額
命令:ALTER USER 名稱 QUOTA 0 ON 表空間名
ALTER USER 名字 QUOTA (數值)K|M|UNLIMITED ON 表空間名;
使用方法:
A、控制用戶數據增長
B、當用戶擁有一定的數據,而管理員不想讓他在增加新的數據的時候。
C、當將用戶定額設為零的時候,用戶不能創建新的數據,但原有數據仍可訪問。

3.對象權限
DBA_PENDING_TRANSACTIONS (SELECT) — XA事務支持

grant select on sys.dba_pending_transactions to user;
4.建議開放
DEBUG CONNECT SESSION — 調試存儲過程
例如:
GRANT debug any procedure, debug connect session TO hr;

Oracle創建表空間、創建用戶、授權、授權對象的訪問以及查看權限
1.創建臨時表空間
oracle臨時表空間主要用來做查詢和存放一些緩沖區數據。臨時表空間消耗的主要原因是需要對查詢的中間結

果進行排序。
臨時表空間的主要作用:
索引create或rebuild
Order by 或 group by
Distinct 操作
Union 或 intersect 或 minus
Sort-merge joins

CREATE TEMPORARY TABLESPACE “TEST_TEMP”
TEMPFILE ‘D:\ORACLE\PRODUCT\10.2.0\ORADATA\GIS\TEST_DATA.ora’
SIZE 20M
AUTOEXTEND ON
NEXT 32M MAXSIZE 2048M
EXTENT MANAGEMENT LOCAL;

2.創建用戶表空間
CREATE TABLESPACE “TEST_DATA”
LOGGING
DATAFILE ‘D:\ORACLE\PRODUCT\10.2.0\ORADATA\GIS\TEST_DATA.ora’
SIZE 20M
AUTOEXTEND ON
NEXT 32M MAXSIZE 2048M
EXTENT MANAGEMENT LOCAL;

3.創建用戶並設置其表空間
username:usertest
password:userpwd

CREATE USER usertest IDENTIFIED BY userpwd
DEFAULT TABLESPACE TEST_DATA
TEMPORARY TABLESPACE TEST_TEMP;

4.給用戶授權
GRANT
  CREATE SESSION, CREATE ANY TABLE, CREATE ANY VIEW ,CREATE ANY INDEX, CREATE ANY PROCEDURE,
  ALTER ANY TABLE, ALTER ANY PROCEDURE,
  DROP ANY TABLE, DROP ANY VIEW, DROP ANY INDEX, DROP ANY PROCEDURE,
  SELECT ANY TABLE, INSERT ANY TABLE, UPDATE ANY TABLE, DELETE ANY TABLE
TO username;

首先授權用戶testuser兩個基本的角色權限

CONNECT角色: –是授予最終用戶的典型權利,最基本的
CREATE SESSION –建立會話

RESOURCE角色: –是授予開發人員的
CREATE CLUSTER –建立聚簇
CREATE PROCEDURE –建立過程
CREATE SEQUENCE –建立序列
CREATE TABLE –建表
CREATE TRIGGER –建立觸發器
CREATE TYPE –建立類型
CREATE OPERATOR –創建操作者
CREATE INDEXTYPE –創建索引類型
CREATE TABLE –創建表

授權角色給用戶的sql語句:
GRANT role TO username;

5.查看用戶權限

查看所有用戶
SELECT * FROM DBA_USERS;
SELECT * FROM ALL_USERS;
SELECT * FROM USER_USERS;

查看用戶系統權限
SELECT * FROM DBA_SYS_PRIVS;
SELECT * FROM USER_SYS_PRIVS;

查看用戶對象或角色權限
SELECT * FROM DBA_TAB_PRIVS;
SELECT * FROM ALL_TAB_PRIVS;
SELECT * FROM USER_TAB_PRIVS;

查看所有角色
SELECT * FROM DBA_ROLES;

查看用戶或角色所擁有的角色
SELECT * FROM DBA_ROLE_PRIVS;
SELECT * FROM USER_ROLE_PRIVS;

遇到no privileges on tablespace ‘tablespace ‘
alter user userquota 10M[unlimited] on tablespace;

轉://Oracle A用戶給B用戶授權查詢指定表或視圖權限方案

相關推薦

://Oracle AB授權查詢指定方案

tab dex reat del 作用 系統 所有 mit 應用 用DNINMSV31賬戶登錄數據庫進行如下操作: CREATE USER NORTHBOUND IDENTIFIED BY NORTHBOUND DEFAULT TABLESPACE "TBS_DNINMS

Oracle建立使用者並使用者授權查詢指定檢視的許可權

MSV31賬戶登入資料庫進行如下操作: CREATE USER NORTHBOUND IDENTIFIED BY NORTHBOUND  DEFAULT TABLESPACE "TBS_DNINMSV31"  TEMPORARY TABLESPACE "T

ORACLE授權查詢另一個下的

brush classify procedure conn dict ini evo space eml 實際應用中,會遇到在某個用戶下需要查詢另一個用戶下的表數據或視圖的情況,然而在沒有授權時,會提示無權限操作的錯誤。那就需要通過授權處理後,再能進行查詢操作,下面我們來看

PostgreSQL對現有的未來的授權

Office辦公 其他 由於開發提出需求: (1)在多個PostgreSQL的instacne上面創建一個readonly用戶,僅對數據庫裏面的表或者視圖(包括物化視圖)有僅有select權限,並且對以後新建的表和視圖也要有select權限,我們知道PostgreSQL 在schema下新建的表,對於

PostgreSQL對現有,新建的授權

PostgreSQL對現有新建的表和視由於開發提出需求:(1)在多個PostgreSQL的instacne上面創建一個readonly用戶,僅對數據庫裏面的表或者視圖(包括物化視圖)有僅有select權限,並且對以後新建的表和視圖也要有select權限,我們知道PostgreSQL 在schema下新建

實現不同的登錄到主界面後顯示不同的功能——管理

需要 tle 有一個 sta vertica font eth rules sql 登陸頁面 2.php 1 <title>無標題文檔</title> 2 </head> 3 4 <body>

設置Sql server、存儲過程、架構的增刪改查

例如 ont 函數 權限控制 str 角色 -s 簡單 管理 根據數據庫Schema限制用戶對數據庫的操作行為 授予Shema dbo下對象的定義權限給某個用戶(也就是說該用戶可以修改架構dbo下所有表/視圖/存儲過程/函數的結構) use [Your DB N

Mysql 5.6創建新授權指定數據庫相應

style 使用 用戶添加 授權 create 數據 date 用戶登陸 use 一、環境 Centos 6.9 Mysql 5.6.40 二、步驟 1、使用root用戶登陸mysql mysql -uroot -p 輸入密碼: 2、創建新用戶 CREATE US

oracle DBA 常用

segment rec dict 用戶 系統權限 nbsp tempfile thread sql ☆dba_開頭..... dba_users 數據庫用戶信息 dba_segments 表段信息 dba_extents 數據區信息 dba

oracle數據庫組件列表及相關的數據字典

queue word connect dict str tran 視圖 pat ace Component Data dictionary tables and views Database V$DATABASE, V$VERSION, V$INSTANCESh

Oracle數據庫中scott不存在的解決方法

復制 product 模式 bsp 目錄 一個 步驟 win 通過 SCOTT用戶是我們學習Oracle過程中一個非常重要的實驗對象,在我們建立數據庫的時候,如果是選擇定制模式的話,SCOTT用戶是不會默認出現的,不過我們可以通過使用幾個簡單命令來使這個用戶出現。以下是解決

Ubuntu增加一個普通賦予root的方法

people tro 一個 帳號登錄 token upd ubunt user date 1、添加用戶,首先用adduser命令添加一個普通用戶,命令如下: #adduser tommy //添加一個名為tommy的用戶#passwd tommy //修改密碼Ch

Linux上數據庫指定

ges nbsp ide 個數 用戶權限 測試 指定 限定 linux   要給數據庫指定用戶只能操作這一個數據庫,兩句話就行了。     grant all on 對應的數據庫.* to [email protected]/* */ identified by

Windows中使用命令行普通成管理員組

windows 修改密碼 管理員 用戶 新建 在進入CMD後1. 首先查看當前用戶信息net user UserName2. 新建用戶、修改密碼新建用戶 net user add UserName修改密碼 net user UserName *3 將用戶加入到本地組net local

查詢oracle角色

oracle dba 角色權限 1.查看所有用戶: select * from dba_users; select * from all_users; select * from user_users; 2.查看用戶或角色系統權限(直接賦值給用戶或角色的系統權限): select *

Oracle DCL(Data Control Language)數據控制語言(privilege,角色role,user介紹)

ati nic ssi control 什麽 span remove insert ade 1、如何控制用戶訪問 1、身份驗證,認證:Authentication 2、授權:Authorization 3、審計:Audit 2、權限 數據庫安全:

linux加入sudo

art user nopasswd ack 想要 補充 sudo 權限 clas 加入sudo權限方法: 須要在/etc/sudoers文件裏加入想要條目以實現權限。 其加入有兩種方法:(在root用戶環境下執行的) 1:直接使用visudo

linux加入sudo

超級用戶 name 是你 clas 運行 系統 例如 導致 con linux給用戶加入sudo權限: 有時候,linux以下執行sudo命令,會提示類似: xxxis not in the sudoers file. This incide

Oracle、角色以及相關操作

連接數據庫 創建用戶 opera pri count curry 操作 密碼 pro 1、創建用戶create user KD identified by 123456;2、授予連接數據庫的權限grant connect to KD;3、將Scott用戶的emp表授權給KD

Oracle創建、角色、授權、建空間

數據 revoke 空間名 plus with 其他 ini ota article oracle數據庫的權限系統分為系統權限與對象權限。系統權限( database system privilege )可以讓用戶執行特定的命令集。例如,create table權限允許用戶