Oracle中的系统权限和对象权限
系统权限的定义
系统权限（system privilege）：指在系统级控制数据库的存取和使用的机制，即执行某种SQL语句的能力。

如，是否能启动、停止数据库，是否能修改数据库参数，是否能连接到数据库，是否能创建、删除、更改方案对象（如表、索引、视图、过程）等。

它一般是针对某一类方案对象或非方案对象的某种操作的全局性能力。

提示”没有系统权限的用户实际上是个连登录能力都没有的、有名无实的用户。

在Oracle数据库中，SYSTEM是数据库管理员，他具有DBA角色，即具有DBA角色的所有系统权限，包括SELECT ANY DICTIONARY，所以，他可以查询数据字典中的、以“DBA_”开头的数据字典视图，如DBA_USERS。

系统权限的分类
每种系统权限都为用户提供了执行某一种或某一类系统级的数据库操作的权力，即系统级的DDL（Data Definition Language）语句、DML（Data Manipulation Language）语句的权力。

数据字典视图system_privilege_map 中包括了Oracle数据库中的所有系统权限。

查询该视图可以了解系统权限的信息，
查询系统权限的个数:
select coiunt（*）from system_privilege_map; 查询具体的系统权限
select * from system_privilege_map;
系统权限的类型、名称、说明
对象权限的定义
对象权限（object privilege）：指在对象级控制数据库的存取和使用的机制，即访问其他用户的方案对象的能力。

如，用户可以存取哪个用户的方案中的哪个对象，是否能对该对象进行查询、插入、更新等。

对象权限一般是针对其他用户的某个特定的方案对象的某种操作的局部性能力。

提示”一个用户可以访问自己方案中的任何对象，并对其进行任何操作，即对自己的任何对象有任何对象权限。

对象权限的分类
Oracle数据库的方案对象主要是指：表、索引、视图、序列、同义词、过程、函数、包、触发器。

创建对象的用户拥有该对象的所有对象权限，不需要授予。

所以，对象权限的设置实际上是为对象的所有者给其他用户提供操作该对象的某种权力的一种方法。

Oracle数据库中总共有9种不同的对象权限。

不同类型的对象有不同的对象权限。

有些对象（如集群、索引、触发器、数据库连接）没有对应的对象权限，即他们是通过系统权限来控制的，例如，如要修改集群，用户必须要具有ALTER ANY CLUSTER系统权限。

对象、对象权限的对应关系如表所示。

能够在该对象上授予的对象权限用“√”表示。

对象权限及说明
对象权限说明
Alter 更改表上的ALTER权限保证在相关的表上执行ALTER TABLE 或LOCK TABLE语句。

可以重命名表、添加列、删除列、更改数据类型和列的长度，以及把表转换成一个分区（partitioned）表。

序列上的ALTER权限可以保证能够在相关序列上执行ALTER SEQUENCE语句，可以重设授权序列对象的最小值、增量和缓冲区大小
Delete 删除允许在授权对象上执行DELETE语句，以便从表或者视图中删除行。

SELECT权限必须随同DELETE权限授予，否则被授权的人将不能够选择行，因此也就无法删除行。

DELETE 权限还允许被授权者锁定相应的表
Execute 运行包上的EXECUTE权限允许被授权者执行或者使用在相应的包规定中声明的任何程序或者程序对象（如一个记录类型，
即record type或者指针即cursor）。

操作符（operator）或者类型（type）上的EXECUTE权限允许在SQL或者PL/SQL中使用该操作符。

数据库对象上的EXECUTE权限允许被授权者使用相关的数据库对象并且调用其方法
Index 索引允许被授权者在相关的表上创建索引或者锁定该表。

当一个方案（schema）拥有一个表而另一个方案拥有其索引的时候，会出现混乱。

在授予这种权限时要小心
Insert 插入允许被授权者在相关的表或视图中创建行。

如果该INSERT权限建立在相关表或者视图的特定列上，则只能在具有INSERT权限的列上插入数据。

INSERT权限还隐含地给被授权者以锁定该表的能力
Read 读只能在目录上授予。

允许被授权者读取指定目录中的BFILE。

Read权限与SELECT权限有区别，后者允许用户读取一个表或者视图
Reference 引用只能在表上授予用户，而不能授予角色。

允许被授权者创建引用该表的参照完整性约束。

被授权者可以锁定该表
Select 选择允许被授权者在表或者视图上执行SELECT语句。

允许被授权者读取表或者视图的内容。

序列上的SELECT权限允许被授权者获取当前值
（CURRVAL）或者通过选择NEXTVAL增大该值。

SELECT权限只能授予整个表，不能授予表中的列。

因此，如果希望用户只能查询表中的部分列，就需要在该表上创建视图，然后将该视图的SELECT权限授予用户。

Update 更新允许被授权者更改表或者视图中的数据值。

SELECT权限必须随同UPDATE权限一起授予，这样就使被授权者隐含具有了锁定表的能力
All 所有对于可以具有多项权限的对象，可以授予或者撤消专门的权限ALL。

对于表而言，ALL中包含了SELECT、INSERT、UPDATE 和DELETE以及INDEX、ALTER和REFERENCE。

所以，在表上授予AIL权限时要小心，因为可能并不想授予INDEX、ALTER和REFERENCE权限
角色定义:
我在前面的篇幅中说明权限和用户。

慢慢的在使用中你会发现一个问题：如果有一组人，他们的所需的权限是一样的，当对他们的权限进行管理的时候会很不方便。

因为你要对这组中的每个用户的权限都进行管理。

有一个很好的解决办法就是：角色。

角色是一组权限的集合，将角色赋给一个用户，这个用户就拥有了这个角色中的所有权限。

那么上述问题就很好处理了，
只要第一次将角色赋给这一组用户，接下来就只要针对角色进行管理就可以了。

以上是角色的一个典型用途。

其实，只要明白：角色就是一组权限的集合。

下面分两个部门来对oracle角色进行说明。

二、系统预定义角色
预定义角色是在数据库安装后，系统自动创建的一些常用的角色。

下介简单的介绍一下这些预定角色。

角色所包含的权限可以用以下语句查询：
sql>select * from role_sys_privs where role='角色名';
Eg: select * from role_sys_privs where role='DBA'; １．CONNECT, RESOURCE, DBA
这些预定义角色主要是为了向后兼容。

其主要是用于数据库管理。

oracle建议用户自己设计数据库管理和安全的权限规划，而不要简单的使用这些预定角色。

将来的版本中这些角色可能不会作为预定义角色。

２．DELETE_CATALOG_ROLE，EXECUTE_CATALOG_ROLE，SELECT_CATALOG_ROLE
这些角色主要用于访问数据字典视图和包。

３．EXP_FULL_DATABASE，IMP_FULL_DATABASE
这两个角色用于数据导入导出工具的使用。

４．AQ_USER_ROLE，AQ_ADMINISTRATOR_ROLE
AQ:Advanced Query。

这两个角色用于oracle高级查询功能。

５．SNMPAGENT
用于oracle enterprise manager和Intelligent Agent ６．RECOVERY_CATALOG_OWNER
用于创建拥有恢复库的用户。

关于恢复库的信息，参考oracle文档《Oracle9i User-Managed Backup and Recovery Guide》
７．HS_ADMIN_ROLE
A DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary.。