Oracle数据库用户权限分配完全教程 从基础入门到高级配置助你轻松掌握数据库安全管理技巧

威震华夏关云长

引言

Oracle数据库作为企业级数据库管理系统的代表，其安全性对于企业数据保护至关重要。在Oracle数据库的安全体系中，用户权限分配是核心环节，直接关系到数据库的安全性和合规性。本教程将从基础概念讲起，逐步深入到高级配置，帮助您全面掌握Oracle数据库的用户权限管理技巧，确保数据库环境的安全稳定运行。

Oracle数据库安全基础

用户和模式的概念

在Oracle数据库中，用户(User)是可以访问数据库的实体，每个用户都有一个唯一的用户名和密码。用户创建后，Oracle会同时创建一个与用户同名的模式(Schema)。模式是数据库对象的集合，包括表、视图、索引、存储过程等。

2. -- 查看当前用户
3. SELECT USER FROM DUAL;
5. -- 查看所有用户
6. SELECT username FROM dba_users;

复制代码

权限和角色的基本概念

权限(Privilege)是执行特定SQL语句或访问其他用户对象的权利。Oracle数据库中有两种主要类型的权限：

1. 系统权限(System Privilege)：允许用户执行特定的数据库操作，如创建会话、创建表等。
2. 对象权限(Object Privilege)：允许用户操作特定的数据库对象，如对表进行查询、插入、更新或删除。

角色(Role)是一组权限的集合，可以授予用户或其他角色，简化权限管理。

2. -- 查看系统权限
3. SELECT * FROM system_privilege_map;
5. -- 查看对象权限
6. SELECT * FROM table_privilege_map;
8. -- 查看角色
9. SELECT * FROM dba_roles;

复制代码

用户管理基础

创建用户

创建用户是权限管理的第一步。在创建用户时，需要指定用户名、密码和默认表空间等属性。

2. -- 基本语法
3. CREATE USER username IDENTIFIED BY password
4. [DEFAULT TABLESPACE tablespace_name]
5. [TEMPORARY TABLESPACE tablespace_name]
6. [QUOTA integer [K|M] | UNLIMITED ON tablespace_name]
7. [PROFILE profile_name]
8. [PASSWORD EXPIRE]
9. [ACCOUNT LOCK | ACCOUNT UNLOCK];
11. -- 示例：创建一个名为hr的用户
12. CREATE USER hr IDENTIFIED BY hr_password
13. DEFAULT TABLESPACE users
14. TEMPORARY TABLESPACE temp
15. QUOTA 100M ON users
16. PROFILE default
17. PASSWORD EXPIRE;
19. -- 创建用户并授予基本权限
20. CREATE USER sales IDENTIFIED BY sales123
21. DEFAULT TABLESPACE users
22. TEMPORARY TABLESPACE temp
23. QUOTA 500M ON users;

复制代码

修改用户

创建用户后，可以使用ALTER USER语句修改用户属性。

2. -- 基本语法
3. ALTER USER username
4. [IDENTIFIED BY password]
5. [DEFAULT TABLESPACE tablespace_name]
6. [TEMPORARY TABLESPACE tablespace_name]
7. [QUOTA integer [K|M] | UNLIMITED ON tablespace_name]
8. [PROFILE profile_name]
9. [PASSWORD EXPIRE]
10. [ACCOUNT LOCK | ACCOUNT UNLOCK];
12. -- 示例：修改hr用户的密码和表空间配额
13. ALTER USER hr IDENTIFIED BY new_hr_password
14. QUOTA 200M ON users;
16. -- 锁定用户账户
17. ALTER USER hr ACCOUNT LOCK;
19. -- 解锁用户账户
20. ALTER USER hr ACCOUNT UNLOCK;

复制代码

删除用户

当用户不再需要时，可以使用DROP USER语句删除用户。如果用户包含数据库对象，需要使用CASCADE选项。

2. -- 基本语法
3. DROP USER username [CASCADE];
5. -- 示例：删除不包含对象的用户
6. DROP USER hr;
8. -- 示例：删除包含对象的用户及其所有对象
9. DROP USER sales CASCADE;

复制代码

系统权限管理

常见系统权限介绍

系统权限允许用户执行特定的数据库操作。以下是一些常见的系统权限：

1. CREATE SESSION：连接到数据库
2. CREATE TABLE：创建表
3. CREATE VIEW：创建视图
4. CREATE PROCEDURE：创建存储过程
5. CREATE USER：创建用户
6. DROP USER：删除用户
7. ALTER USER：修改用户
8. SYSDBA：数据库管理员权限
9. SYSOPER：数据库操作员权限

2. -- 查看所有系统权限
3. SELECT name FROM system_privilege_map ORDER BY name;

复制代码

授予和撤销系统权限

使用GRANT语句授予系统权限，使用REVOKE语句撤销系统权限。

2. -- 授予系统权限的基本语法
3. GRANT system_privilege [, system_privilege ...]
4. TO {user | role | PUBLIC}
5. [WITH ADMIN OPTION];
7. -- 示例：授予hr用户创建会话和创建表的权限
8. GRANT CREATE SESSION, CREATE TABLE TO hr;
10. -- 授予系统权限并允许传递
11. GRANT CREATE VIEW TO hr WITH ADMIN OPTION;
13. -- 撤销系统权限的基本语法
14. REVOKE system_privilege [, system_privilege ...]
15. FROM {user | role | PUBLIC};
17. -- 示例：撤销hr用户的创建表权限
18. REVOKE CREATE TABLE FROM hr;

复制代码

注意：使用WITH ADMIN OPTION授予的权限，被授权者可以将该权限授予其他用户。撤销系统权限时，如果该权限是通过WITH ADMIN OPTION传递的，撤销操作不会级联。

系统权限的最佳实践

1. 最小权限原则：只授予用户完成工作所需的最低权限
2. 定期审查：定期检查用户权限，确保没有多余的权限
3. 使用角色：通过角色管理权限，而不是直接授予用户
4. 限制高权限用户：严格控制具有SYSDBA和SYSOPER权限的用户

2. -- 查看用户被授予的系统权限
3. SELECT * FROM dba_sys_privs WHERE grantee = 'HR';
5. -- 查看用户通过角色获得的系统权限
6. SELECT b.grantee, a.granted_role, b.privilege
7. FROM dba_role_privs a, dba_sys_privs b
8. WHERE a.granted_role = b.grantee
9. AND a.grantee = 'HR';

复制代码

对象权限管理

常见对象权限介绍

对象权限允许用户操作特定的数据库对象。以下是一些常见的对象权限：

1. SELECT：查询对象
2. INSERT：插入数据
3. UPDATE：更新数据
4. DELETE：删除数据
5. EXECUTE：执行存储过程或函数
6. INDEX：创建索引
7. ALTER：修改对象结构
8. REFERENCES：创建外键约束
9. ALL：所有对象权限

2. -- 查看所有对象权限类型
3. SELECT name FROM table_privilege_map ORDER BY name;

复制代码

授予和撤销对象权限

使用GRANT语句授予对象权限，使用REVOKE语句撤销对象权限。

2. -- 授予对象权限的基本语法
3. GRANT object_privilege [, object_privilege ...] | ALL
4. ON [schema.]object
5. TO {user | role | PUBLIC}
6. [WITH GRANT OPTION];
8. -- 示例：授予hr用户对employees表的查询权限
9. GRANT SELECT ON hr.employees TO sales;
11. -- 授予多个权限
12. GRANT SELECT, INSERT, UPDATE ON hr.employees TO sales;
14. -- 授予所有权限
15. GRANT ALL ON hr.employees TO sales_manager;
17. -- 授予对象权限并允许传递
18. GRANT SELECT ON hr.employees TO sales WITH GRANT OPTION;
20. -- 撤销对象权限的基本语法
21. REVOKE object_privilege [, object_privilege ...] | ALL
22. ON [schema.]object
23. FROM {user | role | PUBLIC} [CASCADE CONSTRAINTS];
25. -- 示例：撤销sales用户对employees表的插入权限
26. REVOKE INSERT ON hr.employees FROM sales;
28. -- 撤销所有权限
29. REVOKE ALL ON hr.employees FROM sales_manager;

复制代码

注意：使用WITH GRANT OPTION授予的权限，被授权者可以将该权限授予其他用户。撤销对象权限时，如果该权限是通过WITH GRANT OPTION传递的，撤销操作会级联。

对象权限的传递

对象权限可以通过WITH GRANT OPTION传递，也可以通过角色间接传递。

2. -- 创建角色
3. CREATE ROLE sales_read_only;
5. -- 授予角色对象权限
6. GRANT SELECT ON hr.employees TO sales_read_only;
8. -- 将角色授予用户
9. GRANT sales_read_only TO sales, marketing;
11. -- 查看对象权限的授予情况
12. SELECT table_name, grantee, privilege, grantable
13. FROM dba_tab_privs
14. WHERE table_name = 'EMPLOYEES' AND owner = 'HR';

复制代码

角色管理

创建角色

角色是权限的集合，可以简化权限管理。创建角色时，可以设置是否需要验证。

2. -- 基本语法
3. CREATE ROLE role_name [NOT IDENTIFIED | IDENTIFIED BY password | IDENTIFIED EXTERNALLY | IDENTIFIED GLOBALLY];
5. -- 示例：创建不需要验证的角色
6. CREATE ROLE sales_role;
8. -- 示例：创建需要密码验证的角色
9. CREATE ROLE hr_manager IDENTIFIED BY hr_mgr_pwd;
11. -- 示例：创建由操作系统验证的角色
12. CREATE ROLE admin_role IDENTIFIED EXTERNALLY;

复制代码

为角色授权

角色可以被授予系统权限和对象权限。

2. -- 为角色授予系统权限
3. GRANT CREATE SESSION, CREATE TABLE TO sales_role;
5. -- 为角色授予对象权限
6. GRANT SELECT, INSERT, UPDATE ON hr.employees TO sales_role;
8. -- 为角色授予其他角色
9. GRANT hr_manager TO sales_role;

复制代码

为用户分配角色

创建角色并授权后，可以将角色分配给用户。

2. -- 基本语法
3. GRANT role_name [, role_name ...] TO {user | role | PUBLIC} [WITH ADMIN OPTION];
5. -- 示例：将角色授予用户
6. GRANT sales_role TO sales_user;
8. -- 授予角色并允许用户将该角色授予其他用户
9. GRANT sales_role TO sales_manager WITH ADMIN OPTION;
11. -- 设置用户的默认角色
12. ALTER USER sales_user DEFAULT ROLE sales_role, connect;
14. -- 设置所有角色为非默认角色
15. ALTER USER sales_user DEFAULT ROLE NONE;
17. -- 设置所有授予的角色为默认角色
18. ALTER USER sales_user DEFAULT ROLE ALL;

复制代码

角色的继承和管理

角色可以继承其他角色的权限，形成层次结构。

2. -- 创建子角色
3. CREATE ROLE sales_rep;
4. CREATE ROLE sales_supervisor;
5. CREATE ROLE sales_manager;
7. -- 为角色分配权限
8. GRANT SELECT ON hr.employees TO sales_rep;
9. GRANT INSERT, UPDATE ON hr.employees TO sales_supervisor;
10. GRANT DELETE ON hr.employees TO sales_manager;
12. -- 建立角色层次
13. GRANT sales_rep TO sales_supervisor;
14. GRANT sales_supervisor TO sales_manager;
16. -- 查看角色层次
17. SELECT role, granted_role
18. FROM role_role_privs
19. WHERE role IN ('SALES_REP', 'SALES_SUPERVISOR', 'SALES_MANAGER');
21. -- 启用和禁用角色
22. SET ROLE sales_manager; -- 启用特定角色
23. SET ROLE ALL; -- 启用所有角色
24. SET ROLE NONE; -- 禁用所有角色

复制代码

高级权限配置

细粒度访问控制

细粒度访问控制(Fine-Grained Access Control, FGAC)允许在行级别或列级别控制数据访问。

2. -- 创建策略函数
3. CREATE OR REPLACE FUNCTION hr.secure_employees(
4.     p_schema IN VARCHAR2,
5.     p_table IN VARCHAR2
6. )
7. RETURN VARCHAR2
8. AS
9. BEGIN
10.     -- 只允许用户查看自己部门的信息
11.     RETURN 'department_id = SYS_CONTEXT(''USERENV'', ''CURRENT_DEPARTMENT_ID'')';
12. END secure_employees;
13. /
15. -- 添加策略
16. BEGIN
17.     DBMS_RLS.ADD_POLICY(
18.         object_schema => 'hr',
19.         object_name => 'employees',
20.         policy_name => 'employees_policy',
21.         function_schema => 'hr',
22.         policy_function => 'secure_employees',
23.         statement_types => 'SELECT, INSERT, UPDATE, DELETE'
24.     );
25. END;
26. /
28. -- 查看策略信息
29. SELECT * FROM dba_policies WHERE object_name = 'EMPLOYEES';

复制代码

虚拟私有数据库(VPD)

虚拟私有数据库(Virtual Private Database, VPD)是细粒度访问控制的实现方式，通过在SQL语句中自动添加WHERE子句来限制数据访问。

2. -- 创建VPD策略函数
3. CREATE OR REPLACE FUNCTION hr.vpd_function(
4.     p_schema IN VARCHAR2,
5.     p_table IN VARCHAR2
6. )
7. RETURN VARCHAR2
8. AS
9.     v_return VARCHAR2(4000);
10. BEGIN
11.     -- 根据用户角色返回不同的谓词
12.     IF SYS_CONTEXT('USERENV', 'ISDBA') = 'TRUE' THEN
13.         v_return := NULL; -- DBA可以看到所有数据
14.     ELSIF SYS_CONTEXT('USERENV', 'SESSION_USER') = 'HR_MANAGER' THEN
15.         v_return := 'department_id IN (10, 20, 30)'; -- HR经理只能看到特定部门
16.     ELSE
17.         v_return := 'employee_id = SYS_CONTEXT(''USERENV'', ''CURRENT_USER_ID'')'; -- 普通用户只能看到自己的记录
18.     END IF;
19.    
20.     RETURN v_return;
21. END vpd_function;
22. /
24. -- 应用VPD策略
25. BEGIN
26.     DBMS_RLS.ADD_POLICY(
27.         object_schema => 'hr',
28.         object_name => 'employees',
29.         policy_name => 'hr_vpd_policy',
30.         function_schema => 'hr',
31.         policy_function => 'vpd_function',
32.         sec_relevant_cols => 'salary, commission_pct', -- 敏感列
33.         sec_relevant_cols_opt => DBMS_RLS.ALL_ROWS -- 显示所有行但隐藏敏感列的值
34.     );
35. END;
36. /

复制代码

数据库资源限制

通过配置文件(Profile)可以限制数据库资源使用，增强安全性。

2. -- 创建配置文件
3. CREATE PROFILE app_user LIMIT
4.     SESSIONS_PER_USER 1
5.     CPU_PER_SESSION 10000
6.     CPU_PER_CALL 5000
7.     CONNECT_TIME 60
8.     IDLE_TIME 30
9.     LOGICAL_READS_PER_SESSION 10000
10.     LOGICAL_READS_PER_CALL 1000
11.     PRIVATE_SGA 10K
12.     COMPOSITE_LIMIT 1000000
13.     FAILED_LOGIN_ATTEMPTS 3
14.     PASSWORD_LIFE_TIME 90
15.     PASSWORD_REUSE_TIME 180
16.     PASSWORD_REUSE_MAX 5
17.     PASSWORD_VERIFY_FUNCTION verify_function
18.     PASSWORD_LOCK_TIME 1/24
19.     PASSWORD_GRACE_TIME 10;
21. -- 将配置文件分配给用户
22. ALTER USER hr PROFILE app_user;
24. -- 查看配置文件信息
25. SELECT * FROM dba_profiles WHERE profile = 'APP_USER';
27. -- 修改配置文件
28. ALTER PROFILE app_user LIMIT
29.     FAILED_LOGIN_ATTEMPTS 5
30.     PASSWORD_LIFE_TIME 60;
32. -- 删除配置文件
33. DROP PROFILE app_user CASCADE;

复制代码

审计和合规性

审计是跟踪数据库活动的重要手段，有助于满足合规性要求。

2. -- 启用数据库审计
3. ALTER SYSTEM SET audit_trail = DB SCOPE=SPFILE;
4. -- 重启数据库使设置生效
6. -- 审计特定操作
7. AUDIT SELECT, INSERT, UPDATE, DELETE ON hr.employees BY ACCESS;
9. -- 审计特定用户的所有操作
10. AUDIT ALL BY hr_user BY ACCESS;
12. -- 审计特权操作
13. AUDIT ALTER SYSTEM, AUDIT SYSTEM BY ACCESS;
15. -- 查看审计记录
16. SELECT username, action_name, obj_name, timestamp
17. FROM dba_audit_trail
18. WHERE obj_name = 'EMPLOYEES';
20. -- 停止审计
21. NOAUDIT ALL;

复制代码

权限管理的最佳实践

最小权限原则

最小权限原则(Principle of Least Privilege)是信息安全的基本原则，意味着只授予用户完成工作所需的最低权限。

2. -- 不好的做法：授予过多权限
3. GRANT DBA TO app_user;
5. -- 好的做法：只授予必要的权限
6. GRANT CREATE SESSION, CREATE TABLE, CREATE PROCEDURE TO app_user;
7. GRANT SELECT, INSERT, UPDATE, DELETE ON app_schema.employees TO app_user;

复制代码

权限分离

权限分离(Separation of Duties)要求将关键任务分配给多个用户，防止单个用户拥有过多权限。

2. -- 创建不同角色
3. CREATE ROLE order_entry;
4. CREATE ROLE order_approval;
5. CREATE ROLE order_fulfillment;
7. -- 为角色分配不同权限
8. GRANT INSERT, UPDATE ON orders TO order_entry;
9. GRANT UPDATE ON orders TO order_approval;
10. GRANT SELECT ON orders TO order_fulfillment;
12. -- 将角色分配给不同用户
13. GRANT order_entry TO order_clerk;
14. GRANT order_approval TO order_manager;
15. GRANT order_fulfillment TO warehouse_staff;

复制代码

定期审查权限

定期审查用户权限，确保没有多余的权限，是维护数据库安全的重要步骤。

2. -- 查看用户直接被授予的系统权限
3. SELECT grantee, privilege, admin_option
4. FROM dba_sys_privs
5. WHERE grantee NOT IN ('PUBLIC', 'SYS', 'SYSTEM')
6. ORDER BY grantee, privilege;
8. -- 查看用户通过角色获得的系统权限
9. SELECT b.grantee, a.granted_role, b.privilege
10. FROM dba_role_privs a, dba_sys_privs b
11. WHERE a.granted_role = b.grantee
12. AND b.grantee NOT IN ('PUBLIC', 'SYS', 'SYSTEM')
13. ORDER BY b.grantee, a.granted_role, b.privilege;
15. -- 查看用户被授予的对象权限
16. SELECT grantee, owner, table_name, privilege, grantable
17. FROM dba_tab_privs
18. WHERE grantee NOT IN ('PUBLIC', 'SYS', 'SYSTEM')
19. ORDER BY grantee, owner, table_name, privilege;
21. -- 查看用户通过角色获得的对象权限
22. SELECT b.grantee, a.granted_role, c.owner, c.table_name, c.privilege
23. FROM dba_role_privs a, dba_role_privs b, dba_tab_privs c
24. WHERE a.granted_role = b.grantee
25. AND a.granted_role = c.grantee
26. AND b.grantee NOT IN ('PUBLIC', 'SYS', 'SYSTEM')
27. ORDER BY b.grantee, a.granted_role, c.owner, c.table_name, c.privilege;

复制代码

常见问题和解决方案

问题1：用户无法连接数据库

原因分析：

• 用户没有CREATE SESSION权限
• 用户账户被锁定
• 密码过期

解决方案：

2. -- 授予CREATE SESSION权限
3. GRANT CREATE SESSION TO username;
5. -- 解锁用户账户
6. ALTER USER username ACCOUNT UNLOCK;
8. -- 重置密码
9. ALTER USER username IDENTIFIED BY new_password;

复制代码

问题2：用户无法访问特定表

原因分析：

• 用户没有被授予该表的权限
• 权限通过角色授予，但角色未启用

解决方案：

2. -- 直接授予表权限
3. GRANT SELECT ON schema.table TO username;
5. -- 查看用户的角色
6. SELECT * FROM dba_role_privs WHERE grantee = 'USERNAME';
8. -- 启用角色
9. SET ROLE ALL;

复制代码

问题3：权限传递问题

原因分析：

• 权限没有使用WITH ADMIN OPTION或WITH GRANT OPTION授予
• 系统权限和对象权限的传递规则不同

解决方案：

2. -- 系统权限使用WITH ADMIN OPTION
3. GRANT CREATE TABLE TO username WITH ADMIN OPTION;
5. -- 对象权限使用WITH GRANT OPTION
6. GRANT SELECT ON schema.table TO username WITH GRANT OPTION;

复制代码

问题4：权限过多导致安全风险

原因分析：

• 用户被授予了不必要的权限
• 权限随时间累积，没有定期审查

解决方案：

2. -- 撤销不必要的系统权限
3. REVOKE UNLIMITED TABLESPACE FROM username;
5. -- 撤销不必要的对象权限
6. REVOKE ALL ON schema.table FROM username;
8. -- 创建具有适当权限的角色
9. CREATE ROLE limited_access;
10. GRANT SELECT, INSERT ON schema.table TO limited_access;
11. GRANT limited_access TO username;

复制代码

总结

Oracle数据库用户权限分配是数据库安全管理的核心环节。本教程从基础概念讲起，详细介绍了用户管理、系统权限、对象权限、角色管理等核心内容，并深入探讨了细粒度访问控制、虚拟私有数据库、资源限制和审计等高级配置。

通过遵循最小权限原则、权限分离和定期审查等最佳实践，可以有效地管理Oracle数据库的权限，确保数据库的安全性和合规性。同时，解决常见问题的技巧和示例代码也能帮助您在实际工作中快速应对各种权限管理挑战。

掌握Oracle数据库权限管理不仅需要理论知识，还需要实践经验。建议您在测试环境中充分练习本教程中的示例，并逐步将这些技术应用到生产环境中，以确保数据库的安全稳定运行。