Oracle自主訪問控制機制系統表研究

　　訪問控制是允許或者禁止某人訪問某資源的過程，數據庫中就是限制用戶對數據庫客體(如表、試圖等)的訪問。實現這種訪問控制一般是基于訪問控制列表(ACL)，ACL一般記錄了who能訪問what以及how訪問。大多數據庫的將ACL以數據庫系統表的形式進行實現。下面具體介紹下Oracle中的權限相關系統表的設計。

　　Oracle中的權限分為兩種：系統權限和對象權限。

　　系統權限

　　系統權限包括數據庫管理權限和帶有ANY的權限。管理權限如ALTER DATABASE，CREATE USER等權限，這類權限是和DDL相關的權限。另一類帶有ANY的權限，如SELECT ANY TABLE，表示可以查詢所有表的權限，這類權限是全局DML相關的權限。查看所有的系統權限可以通過表SYSTEM_PRIVILEGE_MAP，該視圖顯示了權限名稱及其對應的值，通過表可以看出所有的系統權限的權限值均為負數。

　　記錄用戶的系統權限授權的信息主要存儲在系統表SYS.SYSAUTH$表中，可以通過DBMA_METADATA包獲取表的創建信息。

以下是代碼片段： SQL> select dbms_metadata.get_ddl('TABLE','SYSAUTH$','SYS') from dual; DBMS_METADATA.GET_DDL('TABLE','SYSAUTH$','SYS') ------------------------------------------------------------------------ CREATE TABLE "SYS"."SYSAUTH$" ( "GRANTEE#" NUMBER NOT NULL ENABLE, "PRIVILEGE#" NUMBER NOT NULL ENABLE, "SEQUENCE#" NUMBER NOT NULL ENABLE, "OPTION$" NUMBER ) PCTFREE PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING STORAGE(INITIAL 65536 NEXT 1048576 MINEXTENTS 1 MAXEXTENTS 2147483645 PCTINCREASE 0 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT) TABLESPACE "SYSTEM"

　　可以看到表字段信息，包含GRANTEE#，PRIVILEGE#，SEQUENCE#和OPTION$。GRANTEE#表示被授權者的UID，PRIVILEGE#表示被授權的權限值，OPTION$表示是此權限否可被轉授,SEQUENCE#個人感覺是時間戳的概念，對于這個的驗證放在后面。由此可見，系統權限和角色的授予，并不記錄授權者的信息。通過查詢這張表，可以看到PRIVILEGE#字段并不是上面所說的全是負數，還存在正數，不錯，這是因為這張表不僅僅存放了系統權限，還存放了角色的授予信息，如果授予角色的時候，PRIVILEGE#字段即為角色的ID，當然角色也可能被授予角色和系統權限，因此想通過簡單的SQL語句獲取一個用戶所擁有的所有的角色或所有的系統權限，會涉及到遞歸的查詢，大家可以想下如何構造這個SQL語句，(提示下：Oracle特有的CONNECT BY語法)。

　　由系統權限的系統表可以看出，對于系統權限，Oracle中并不記錄授權者的概念，這說明對系統權限的回收肯定是特定用戶進行的，由于沒有授權者的概念，當然也就沒有了級聯回收系統權限的情況，這里SEQUENCE#字段作為時間戳貌似也沒有太大的意義了。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]