聊聊Oracle Default Role
Oracle系统权限基础是建立在三个维度层面上,即系统权限(System Privilege)、对象权限(Object Privilege)和角色权限(Role Privilege)。系统权限定义了用户可以执行的某些行为操作;对象权限定义了用户在某个系统对象(如数据表、视图等)的操作权限;角色权限更像是一个容器对象,可以将一组系统权限、对象权限甚至其他角色权限容纳到其中。 三个维度权限在三个层面上构建了Oracle权限体系框架。传统应用系统的一种配置方式是在数据库层面建立用户,配置相关权限进行操作。这样的系统还可以在一些旧应用系统或者国外业务系统中看到。随着Web应用的广泛使用,Oracle权限体系需求的复杂性其实是在不断降低的。Web应用通常只需要连接一个Schema用户名即可,用户体系是在应用层面加以实现。 近笔者遇到一个关于角色Role的问题,后发现是一个Default Role这个经常被忽视的设置出现问题。本文主要系统介绍一下这个特点功能。 1、环境介绍 Oracle的权限体系在过去的版本中都在不断地发展丰富,笔者讨论基于Oracle 11g,具体版本号为11.2.0.4。 SQL> select * from v$version; BANNER -------------------------------------------------------------------------------- Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production PL/SQL Release 11.2.0.4.0 - Production CORE 11.2.0.4.0 Production TNS for Linux: Version 11.2.0.4.0 - Production NLSRTL Version 11.2.0.4.0 – Production 建立一个全新的用户。 SQL> create user test identified by test; User created 2、Default Role概论 和系统权限、对象权限相比,角色权限是比较特殊的一种权限类型。它更像是一种组合容器,可以将其他权限以组Group的方式进行组织。一般来说,角色权限Role Privilege常用的场景是简化管理难度,实现标准化配置管理。另一个角色权限的特点是动态赋予。系统权限和对象权限一旦赋予,用户只要登录直接获得。而对象权限在这个问题上是可以选择的。 首先我们进行默认设置,对用户test进行一系列角色赋予动作。 SQL> grant connect, resource to test; Grant succeeded SQL> grant sicspccgrole to test; Grant succeeded SQL> grant sicspctbcgrole to test; Grant succeeded SQL> grant sicspctrrole to test; Grant succeeded 通过视图db_role_privs,可以查看到角色与授予关系。 SQL> select * from dba_role_privs where GRANTEE='TEST'; GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE ------------------------------ ------------------------------ ------------ ------------ TEST RESOURCE NO YES TEST SICSPCCGROLE NO YES TEST SICSPCTBTRROLE NO YES TEST CONNECT NO YES TEST SICSPCTBCGROLE NO YES TEST SICSPCTRROLE NO YES 6 rows selected 重点关注default_role列,对应test的几个权限,都被授予为default_role。换而言之,一个用户被赋予角色之后,直接是默认角色即default role。
3、相关权限变化 如果角色对象底层权限发生变化,已经授权对象有什么影响呢? SQL> create role testrole ; Role created SQL> grant select on sics.cnu_environment to testrole; Grant succeeded SQL> grant testrole to test; Grant succeeded 此时新角色testrole被授予为default role。 SQL> select * from dba_role_privs where GRANTEE='TEST'; GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE ------------------------------ ------------------------------ ------------ ------------ TEST RESOURCE NO YES TEST SICSPCCGROLE NO YES TEST SICSPCTBTRROLE NO YES TEST TESTROLE NO YES TEST CONNECT NO YES TEST SICSPCTBCGROLE NO YES TEST SICSPCTRROLE NO YES 7 rows selected Testrole底层发生变化。 SQL> grant select on scott.emp to testrole; Grant succeeded 角色授权关系没有变化。 SQL> select * from dba_role_privs where GRANTEE='TEST'; GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE ------------------------------ ------------------------------ ------------ ------------ TEST RESOURCE NO YES TEST SICSPCCGROLE NO YES TEST SICSPCTBTRROLE NO YES TEST TESTROLE NO YES TEST CONNECT NO YES TEST SICSPCTBCGROLE NO YES TEST SICSPCTRROLE NO YES 7 rows selected 一些相关实验也证明,对于角色层面权限组的变化,不会影响到用户与角色的关系。 4、Default Role设置副效应 Default Role是可以单独设置的,但是一定要注意,一旦使用Default Role显示设置,会有一些副效应出现。 SQL> alter user test default role connect; User altered 使用default role方法设置用户test为connect,之后观察视图。 SQL> select * from dba_role_privs where GRANTEE='TEST'; GRANTEE GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE ---------- ------------------------------ ------------ ------------ TEST RESOURCE NO NO TEST SICSPCCGROLE NO NO TEST SICSPCTBTRROLE NO NO TEST TESTROLE NO NO TEST CONNECT NO YES TEST SICSPCTBCGROLE NO NO TEST SICSPCTRROLE NO NO 7 rows selected 注意,除了设置默认角色的connect之后,其他test用户角色都成为非默认角色。也是说:一旦进行显示设置,其他角色自动设置为非默认角色。
5、Default Role效果 设置之后,我们登录test进行效果观察。 SQL> conn test/test@sicsdb_linux Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 Connected as test SQL> select * from user_role_privs; USERNAME GRANTED_ROLE ADMIN_OPTION DEFAULT_ROLE OS_GRANTED ------------------------------ ------------------------------ ------------ ------------ ------------ TEST CONNECT NO YES NO TEST RESOURCE NO NO NO TEST SICSPCCGROLE NO NO NO TEST SICSPCTBCGROLE NO NO NO TEST SICSPCTBTRROLE NO NO NO TEST SICSPCTRROLE NO NO NO TEST TESTROLE NO NO NO 7 rows selected 在session层面,权限如下: SQL> select * from session_roles; ROLE ------------------------------ CONNECT 登录之后,只有default role才能进行赋予,其他角色权限不能自动添加。 --典型resource权限 SQL> create table t (id number(10)); create table t (id number(10)) ORA-01031: 权限不足 显示设置角色权限: SQL> set role resource; Role set SQL> create table t (id number(10)); Table created SQL> select * from session_roles; ROLE ------------------------------ RESOURCE 设置其他角色之后,原有权限不能使用。 SQL> select * from session_roles; ROLE ------------------------------ TESTROLE SQL> create table m (id number(10)); create table m (id number(10)) ORA-01031: 权限不足 使用set role all,可以将所有角色权限一并赋予。 SQL> set role all; Role set SQL> select * from session_roles; ROLE ------------------------------ CONNECT RESOURCE SICSPCCGROLE SICSPCTRROLE SICSPCTBCGROLE SICSPCTBTRROLE TESTROLE 7 rows selected 重新登录之后,依然是default role才能自动赋予。 SQL> conn test/test@sicsdb_linux Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 Connected as test SQL> select * from session_roles; ROLE ------------------------------ CONNECT 另外,使用set role all except xxx,可以将指定的role剔除。 SQL> set role all except resource; Role set SQL> select * from session_roles; ROLE ------------------------------ CONNECT SICSPCCGROLE SICSPCTRROLE SICSPCTBCGROLE SICSPCTBTRROLE TESTROLE 6 rows selected 6、结论 Oracle角色role权限是一种非常常用的授权机制,default role特性是我们经常忽视的一个问题知识点。
