本人近來關(guān)注于數(shù)據(jù)庫安全方面，粗略地研究了下數(shù)據(jù)庫的自主訪問控制(DAC)和強制訪問控制(MAC)，現(xiàn)把自己對Oracle中DAC的理解寫出來，與大家分享，以上均Oracle文檔結(jié)合自己的理解，難免存在錯誤的地方，還請指正。

訪問控制是允許或者禁止某人訪問某資源的過程，數(shù)據(jù)庫中就是限制用戶對數(shù)據(jù)庫客體（如表、試圖等）的訪問。實現(xiàn)這種訪問控制一般是基于訪問控制列表（ACL），ACL一般記錄了who能訪問what以及how訪問。大多數(shù)據(jù)庫的將ACL以數(shù)據(jù)庫系統(tǒng)表的形式進行實現(xiàn)。下面具體介紹下Oracle中的權(quán)限相關(guān)系統(tǒng)表的設(shè)計。

Oracle中的權(quán)限分為兩種：系統(tǒng)權(quán)限和對象權(quán)限。

系統(tǒng)權(quán)限

系統(tǒng)權(quán)限包括數(shù)據(jù)庫管理權(quán)限和帶有ANY的權(quán)限。管理權(quán)限如ALTER DATABASE，CREATE USER等權(quán)限，這類權(quán)限是和DDL相關(guān)的權(quán)限。另一類帶有ANY的權(quán)限，如SELECT ANY TABLE，表示可以查詢所有表的權(quán)限，這類權(quán)限是全局DML相關(guān)的權(quán)限。查看所有的系統(tǒng)權(quán)限可以通過表SYSTEM_PRIVILEGE_MAP，該視圖顯示了權(quán)限名稱及其對應(yīng)的值，通過表可以看出所有的系統(tǒng)權(quán)限的權(quán)限值均為負數(shù)。

記錄用戶的系統(tǒng)權(quán)限授權(quán)的信息主要存儲在系統(tǒng)表SYS.SYSAUTH$表中，可以通過DBMA_METADATA包獲取表的創(chuàng)建信息。

SQL> select dbms_metadata.get_ddl('TABLE','SYSAUTH$','SYS') from dual;   
DBMS_METADATA.GET_DDL('TABLE','SYSAUTH$','SYS')   
------------------------------------------------------------------------   
CREATE TABLE "SYS"."SYSAUTH$"   
(    "GRANTEE#" NUMBER NOT NULL ENABLE,   
      "PRIVILEGE#" NUMBER NOT NULL ENABLE,   
      "SEQUENCE#" NUMBER NOT NULL ENABLE,   
      "OPTION$" NUMBER   
) PCTFREE   
PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING  
STORAGE(INITIAL 65536 NEXT 1048576 MINEXTENTS 1 MAXEXTENTS 2147483645  
PCTINCREASE 0 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT)  
TABLESPACE "SYSTEM"　  
 

可以看到表字段信息，包含GRANTEE#，PRIVILEGE#，SEQUENCE#和OPTION$。GRANTEE#表示被授權(quán)者的UID，PRIVILEGE#表示被授權(quán)的權(quán)限值，OPTION$表示是此權(quán)限否可被轉(zhuǎn)授,SEQUENCE#個人感覺是時間戳的概念，對于這個的驗證放在后面。由此可見，系統(tǒng)權(quán)限和角色的授予，并不記錄授權(quán)者的信息。通過查詢這張表，可以看到PRIVILEGE#字段并不是上面所說的全是負數(shù)，還存在正數(shù)，不錯，這是因為這張表不僅僅存放了系統(tǒng)權(quán)限，還存放了角色的授予信息，如果授予角色的時候，PRIVILEGE#字段即為角色的ID，當然角色也可能被授予角色和系統(tǒng)權(quán)限，因此想通過簡單的SQL語句獲取一個用戶所擁有的所有的角色或所有的系統(tǒng)權(quán)限，會涉及到遞歸的查詢，大家可以想下如何構(gòu)造這個SQL語句，（提示下：Oracle特有的CONNECT BY語法）。

由系統(tǒng)權(quán)限的系統(tǒng)表可以看出，對于系統(tǒng)權(quán)限，Oracle中并不記錄授權(quán)者的概念，這說明對系統(tǒng)權(quán)限的回收肯定是特定用戶進行的，由于沒有授權(quán)者的概念，當然也就沒有了級聯(lián)回收系統(tǒng)權(quán)限的情況，這里SEQUENCE#字段作為時間戳貌似也沒有太大的意義了。

對象權(quán)限

對象權(quán)限主要記錄用戶被賦予某對象的某種權(quán)限，如用戶A被授予表TB1的SELECT權(quán)限。由此可見，對象權(quán)限系統(tǒng)表需要具有如下幾個字段：授權(quán)者，被授予者，對象，權(quán)限類型，轉(zhuǎn)授標記。對象權(quán)限系統(tǒng)表是SYS.OBJAUTH$，首先來看表定義。

SQL> select dbms_metadata.get_ddl('TABLE','OBJAUTH$','SYS') from dual;   
   
DBMS_METADATA.GET_DDL('TABLE','OBJAUTH$','SYS')   
----------------------------------------------------------------------   
CREATE TABLE "SYS"."OBJAUTH$"   
 (    "OBJ#" NUMBER NOT NULL ENABLE,   
      "GRANTOR#" NUMBER NOT NULL ENABLE,   
      "GRANTEE#" NUMBER NOT NULL ENABLE,   
      "PRIVILEGE#" NUMBER NOT NULL ENABLE,  
      "SEQUENCE#" NUMBER NOT NULL ENABLE,  
      "PARENT" ROWID,  
      "OPTION$" NUMBER,  
      "COL#" NUMBER  
 ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING  
 

系統(tǒng)表中存在并不是所猜想的那么幾個字段，除了對象（OBJ#），授權(quán)者（GRANTOR#），被授予者(GRANTEE#),具體權(quán)限（PRIVELGE#），轉(zhuǎn)授標志（OPTION$）外，還具有SEQUENCE#，PARENT和COL#，SEQUENCE#應(yīng)該還是時間戳，COL#是指在進行列級授權(quán)時記錄的列號，在對表進行授權(quán)時，可以指定列，如GRANT SELECT(C1) ON T1 TO U1。至于PARENT還有待考證啊。

以上從總體上粗略的介紹了Oracle中權(quán)限相關(guān)的系統(tǒng)表以及系統(tǒng)表中字段的意義，當然有些字段是個人猜測，沒有什么依據(jù)，還有待進行實驗證明。有對此了然的園友，望不吝賜教，感激不盡啊。

原文鏈接：http://www.cnblogs.com/nocode/archive/2011/03/14/1984265.html

【編輯推薦】

1. Oracle數(shù)據(jù)庫設(shè)計規(guī)范化的前兩個要求
2. Oracle PLM助力企業(yè)提高產(chǎn)品創(chuàng)新能力
3. 對Oracle數(shù)據(jù)庫設(shè)計中字段的正確使用方案
4. Oracle數(shù)據(jù)庫設(shè)計提升性能的五條法則
5. Oracle數(shù)據(jù)庫設(shè)計要做到五戒