管理方式
数据库所有用户和角色的权限信息通过系统表SYS_ACLS进行管理,系统表SYS_ACLS用于管理数据库用户访问控制信息。在系统表中拥有的权限AUTHORITY是由十进制数值体现,将AUTHORITY值转化为十六进制参照AUTHORITY解析即为具体的权限。
字段说明
| 字段名 | 字段类型 | 说明 |
|---|---|---|
| DB_ID | INTEGER | 库ID |
| GRANTOR_ID | INTEGER | 授权者 ID |
| GRANTEE_ID | INTEGER | 被授权者 ID |
| OBJECT_ID | INTEGER | 授权客体 ID |
| OBJECT_TYPE | INTEGER | 授权客体类型 |
| AUTHORITY | BIGINT | 权限值 |
| REGRANT | BIGINT | 转授权 |
| ORG_GRANTOR_ID | INTEGER | 权限的原始拥有者 |
| IS_SYS | BOOLEAN | 是否系统内建 |
AUTHORITY解析
| 权限级别 | 权限 | 权限值 | 说明 |
|---|---|---|---|
| 对象级 | ACL_READ | 0x1 | 读取权 |
| 对象级 | ACL_UPDATE | 0x2 | 更改权 |
| 对象级 | ACL_INSERT | 0x4 | 添加权 |
| 对象级 | ACL_DELETE | 0x8 | 删除权 |
| 对象级 | ACL_REF | 0x10 | 引用权 |
| 对象级 | ACL_EXECUTE | 0x20 | 执行权 |
| 对象级 | ACL_INDEX | 0x40 | 可创建索引 |
| 对象级 | ACL_ALTER | 0x80 | 修改对象结构权 |
| 对象级 | ACL_DROP | 0x100 | 删除对象权 |
| 对象级 | ACL_TRIG | 0x200 | 可在对象上创建触发器 |
| 对象级 | ACL_VACUUM | 0x400 | 可清多余空间 |
| 对象级 | ACL_TAB_ALL | 0x7df | 所有表(字段)级权 |
| 对象级 | ACL_PROC_ALL | 0x1a0 | 所有存储过程函数级权 |
| 对象级 | ACL_VIEW_ALL | 0x18f | 所有视图级权 |
| 对象级 | ACL_PACK_ALL | 0x1a0 | 所有包级权 |
| 对象级 | ACL_SEQ_ALL | 0x183 | 所有序列值级权 |
| 对象级 | ACL_UDT_ALL | 0x1a0 | 所有自定义数据类型级权 |
| 库级 | ACL_READ_ANY | 0x1 | 对任何指定类型对象(对象类型由obj_type确定)拥有读取权 |
| 库级 | ACL_UPDATE_ANY | 0x2 | 对任何指定类型对象(对象类型由obj_type确定)拥有更改权 |
| 库级 | ACL_INSERT_ANY | 0x4 | 对全部表拥有插入权 |
| 库级 | ACL_DELETE_ANY | 0x8 | 对全部表拥有删除权 |
| 库级 | ACL_REF_ANY | 0x10 | 对全部表拥有引用权 |
| 库级 | ACL_EXECUTE_ANY | 0x20 | 对全部过程拥有执行权 |
| 库级 | ACL_INDEX_ANY | 0x40 | 可创建索引 |
| 库级 | ACL_CREATE | 0x80 | 可在自身模式下创建任何指定类型对象(对象类型由obj_type确定) |
| 库级 | ACL_CRE_ANY | 0x100 | 可创建任何指定类型对象(对象类型由obj_type确定) |
| 库级 | ACL_ALT_ANY | 0x200 | 可修改任何指定类型对象(对象类型由obj_type确定) |
| 库级 | ACL_DROP_ANY | 0x400 | 可创删除何指定类型对象(对象类型由obj_type确定) |
| 库级 | ACL_BACKUP_ANY | 0x800 | 可备份所有对象(无对象类型) |
| 库级 | ACL_RESTORE_ANY | 0x1000 | 可恢复所有对象(无对象类型) |
| 库级 | ACL_VACUUM_ANY | 0x2000 | 可整理空余空间(无对象类型) |
| 库级 | ACL_REPLICATION_ANY | 0x4000 | 可做数据同步(无对象类型) |
| 库级 | ACL_REFRESH_ANY | 0x8000 | 可刷新数据(无对象类型) |
| 库级 | ACL_GRANT_ANY | 0x10000 | 可授权(无对象类型) |
| 库级 | ACL_ENCRYPT_ANY | 0x20000 | 可加密任何表(无对象类型) |
| 库级 | ACL_CRE_JOB | 0x40000 | 可创建定时任务(无对象类型) |
| 库级 | ACL_TRACE | 0x80000 | 可调试任何连接 |
| 库级 | ACL_AUDITOR | 0x10000000 | 审计设置权(无对象类型) |
| 库级 | ACL_AUDIT_ADMIN | 0x30000000 | 审计管理权(无对象类型) |
| 库级 | ACL_SSO | 0x40000000 | 安全标记权(无对象类型) |
| 库级 | ACL_SS_ADMIN | 0xc0000000 | 安全管理权(无对象类型) |
| 库级 | ACL_DBA | 0x7fffff | 所有库级权(除审计权、安全标记权外) |
| 库级 | ACL_DBO | 0xfffff | DBO权(与DBA相比,多一个对DBA权限用户的收授权) |