安全性管理概述PPT課件

1、安全性管理概述安全性管理概述第第1頁(yè)頁(yè)第第2頁(yè)頁(yè)本章概述本章概述 安全性是衡量數(shù)據(jù)庫(kù)產(chǎn)品性能的重要指標(biāo)。本章介紹安全性是衡量數(shù)據(jù)庫(kù)產(chǎn)品性能的重要指標(biāo)。本章介紹Oracle 11g數(shù)據(jù)庫(kù)的安全管理機(jī)制，內(nèi)容包括用戶(hù)管理，權(quán)限數(shù)據(jù)庫(kù)的安全管理機(jī)制，內(nèi)容包括用戶(hù)管理，權(quán)限管理，角色管理，數(shù)據(jù)庫(kù)審計(jì)等管理，角色管理，數(shù)據(jù)庫(kù)審計(jì)等。第第3頁(yè)頁(yè) 本章的學(xué)習(xí)目標(biāo)：本章的學(xué)習(xí)目標(biāo)： 了解用戶(hù)、權(quán)限、角色的概念及作用了解用戶(hù)、權(quán)限、角色的概念及作用 學(xué)會(huì)創(chuàng)建、修改、刪除用戶(hù)學(xué)會(huì)創(chuàng)建、修改、刪除用戶(hù) 學(xué)會(huì)將系統(tǒng)權(quán)限和對(duì)象權(quán)限授予用戶(hù)，以及回收權(quán)限學(xué)會(huì)將系統(tǒng)權(quán)限和對(duì)象權(quán)限授予用戶(hù)，以及回收權(quán)限 學(xué)會(huì)使用系統(tǒng)預(yù)定義角

2、色，學(xué)會(huì)創(chuàng)建自定義角色，以及學(xué)會(huì)使用系統(tǒng)預(yù)定義角色，學(xué)會(huì)創(chuàng)建自定義角色，以及角色權(quán)限的授予和回收角色權(quán)限的授予和回收 了解數(shù)據(jù)庫(kù)審計(jì)的概念及作用了解數(shù)據(jù)庫(kù)審計(jì)的概念及作用第第4頁(yè)頁(yè)主要內(nèi)容主要內(nèi)容13.1 概述概述13.2 用戶(hù)管理用戶(hù)管理13.3 權(quán)限管理權(quán)限管理13.4 角色管理角色管理13.5數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)小結(jié)13.7習(xí)題習(xí)題第第5頁(yè)頁(yè) 安全性在數(shù)據(jù)庫(kù)管理中占據(jù)重要的位置，沒(méi)有完善的安全安全性在數(shù)據(jù)庫(kù)管理中占據(jù)重要的位置，沒(méi)有完善的安全機(jī)制的保護(hù)，可能會(huì)導(dǎo)致數(shù)據(jù)的泄露、損壞或丟失，因此安全機(jī)制的保護(hù)，可能會(huì)導(dǎo)致數(shù)據(jù)的泄露、損壞或丟失，因此安全性一直是數(shù)據(jù)庫(kù)產(chǎn)品性能的重要

3、衡量指標(biāo)之一。性一直是數(shù)據(jù)庫(kù)產(chǎn)品性能的重要衡量指標(biāo)之一。Oracle數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)的安全管理是從用戶(hù)登錄數(shù)據(jù)庫(kù)就開(kāi)始的。數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的安全的安全管理是從用戶(hù)登錄數(shù)據(jù)庫(kù)就開(kāi)始的。數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的安全性主要包括兩個(gè)方面的含義：一是阻止未授權(quán)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)；性主要包括兩個(gè)方面的含義：一是阻止未授權(quán)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)；二是每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都有不同的操作權(quán)限，用戶(hù)在數(shù)據(jù)庫(kù)中的二是每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都有不同的操作權(quán)限，用戶(hù)在數(shù)據(jù)庫(kù)中的操作將被限制在其權(quán)限范圍內(nèi)。操作將被限制在其權(quán)限范圍內(nèi)。 在在Oracle數(shù)據(jù)庫(kù)中，用戶(hù)的身份通常被劃分為數(shù)據(jù)庫(kù)管理員和開(kāi)發(fā)人數(shù)據(jù)庫(kù)中，用戶(hù)的身份通常被劃分為數(shù)據(jù)庫(kù)管理員和開(kāi)發(fā)人員，其中數(shù)據(jù)庫(kù)

4、管理員承擔(dān)管理數(shù)據(jù)庫(kù)的責(zé)任，包括安全性管理、調(diào)優(yōu)、員，其中數(shù)據(jù)庫(kù)管理員承擔(dān)管理數(shù)據(jù)庫(kù)的責(zé)任，包括安全性管理、調(diào)優(yōu)、備份策略的制定、數(shù)據(jù)庫(kù)出現(xiàn)故障時(shí)的數(shù)據(jù)恢復(fù)、保證數(shù)據(jù)庫(kù)的可用性等。備份策略的制定、數(shù)據(jù)庫(kù)出現(xiàn)故障時(shí)的數(shù)據(jù)恢復(fù)、保證數(shù)據(jù)庫(kù)的可用性等。軟件系統(tǒng)的開(kāi)發(fā)人員作為數(shù)據(jù)庫(kù)管理員之外的一類(lèi)使用者，承擔(dān)軟件開(kāi)發(fā)軟件系統(tǒng)的開(kāi)發(fā)人員作為數(shù)據(jù)庫(kù)管理員之外的一類(lèi)使用者，承擔(dān)軟件開(kāi)發(fā)的職責(zé)，對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)要求及技能掌握要求比數(shù)據(jù)庫(kù)管理員低，他們需的職責(zé)，對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)要求及技能掌握要求比數(shù)據(jù)庫(kù)管理員低，他們需要熟練掌握的要熟練掌握的SQL及及PL/SQL的操作技能，能夠快速及高效率地完成對(duì)數(shù)的操作技能，能

5、夠快速及高效率地完成對(duì)數(shù)據(jù)庫(kù)的操作需求，對(duì)調(diào)優(yōu)和備份恢復(fù)等操作通常不參與。所以，數(shù)據(jù)庫(kù)的據(jù)庫(kù)的操作需求，對(duì)調(diào)優(yōu)和備份恢復(fù)等操作通常不參與。所以，數(shù)據(jù)庫(kù)的安全管理通常屬于數(shù)據(jù)庫(kù)管理員的職責(zé)，安全管理通常屬于數(shù)據(jù)庫(kù)管理員的職責(zé)，DBA可以通過(guò)管理用戶(hù)、角色可以通過(guò)管理用戶(hù)、角色以及權(quán)限來(lái)控制數(shù)據(jù)庫(kù)的安全。但對(duì)于軟件開(kāi)發(fā)人員來(lái)說(shuō)，掌握一些安全以及權(quán)限來(lái)控制數(shù)據(jù)庫(kù)的安全。但對(duì)于軟件開(kāi)發(fā)人員來(lái)說(shuō)，掌握一些安全機(jī)制及處理方式也是有必要的。機(jī)制及處理方式也是有必要的。第第6頁(yè)頁(yè)主要內(nèi)容主要內(nèi)容13.1 概述概述13.2 用戶(hù)管理用戶(hù)管理13.3 權(quán)限管理權(quán)限管理13.4 角色管理角色管理13.5數(shù)據(jù)庫(kù)審計(jì)數(shù)

6、據(jù)庫(kù)審計(jì)13.6小結(jié)小結(jié)13.7習(xí)題習(xí)題13.2 用戶(hù)管理用戶(hù)管理第第7頁(yè)頁(yè) 用戶(hù)是數(shù)據(jù)庫(kù)的使用者和管理者，用戶(hù)管理是用戶(hù)是數(shù)據(jù)庫(kù)的使用者和管理者，用戶(hù)管理是Oracle數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)安全管理的核心和基礎(chǔ)。每個(gè)連接到數(shù)據(jù)庫(kù)的用戶(hù)都必須是系統(tǒng)安全管理的核心和基礎(chǔ)。每個(gè)連接到數(shù)據(jù)庫(kù)的用戶(hù)都必須是系統(tǒng)的合法用戶(hù)，用戶(hù)要想使用的合法用戶(hù)，用戶(hù)要想使用Oracle的系統(tǒng)資源（查詢(xún)數(shù)據(jù)、創(chuàng)建的系統(tǒng)資源（查詢(xún)數(shù)據(jù)、創(chuàng)建表等），就必須要擁有相應(yīng)的權(quán)限。表等），就必須要擁有相應(yīng)的權(quán)限。Oracle數(shù)據(jù)庫(kù)的用戶(hù)管理包括創(chuàng)建用戶(hù)、修改用戶(hù)的安全參數(shù)、數(shù)據(jù)庫(kù)的用戶(hù)管理包括創(chuàng)建用戶(hù)、修改用戶(hù)的安全參數(shù)、刪除用戶(hù)和查詢(xún)用戶(hù)

7、信息等。刪除用戶(hù)和查詢(xún)用戶(hù)信息等。第第8頁(yè)頁(yè)13.2.1 初始用戶(hù)初始用戶(hù) 在創(chuàng)建在創(chuàng)建Oracle數(shù)據(jù)庫(kù)時(shí)會(huì)自動(dòng)創(chuàng)建一些用戶(hù)，例如數(shù)據(jù)庫(kù)時(shí)會(huì)自動(dòng)創(chuàng)建一些用戶(hù)，例如SYS、SYSTEM、SCOTT等，除了等，除了SYS、SYSTEM這兩個(gè)初始合法這兩個(gè)初始合法的管理員，其余用戶(hù)在創(chuàng)建后處于鎖定狀態(tài)，需要在安裝時(shí)的管理員，其余用戶(hù)在創(chuàng)建后處于鎖定狀態(tài)，需要在安裝時(shí)或者安裝后對(duì)其解鎖并重新設(shè)定口令。這些初始用戶(hù)有其自或者安裝后對(duì)其解鎖并重新設(shè)定口令。這些初始用戶(hù)有其自身的職責(zé)和特點(diǎn)，軟件項(xiàng)目一般不建議使用這些初始用戶(hù)。身的職責(zé)和特點(diǎn)，軟件項(xiàng)目一般不建議使用這些初始用戶(hù)。即針對(duì)不同的項(xiàng)目，應(yīng)該由管理

8、員分配不同的用戶(hù)，在開(kāi)發(fā)即針對(duì)不同的項(xiàng)目，應(yīng)該由管理員分配不同的用戶(hù)，在開(kāi)發(fā)過(guò)程中，過(guò)程中，SCOTT用戶(hù)可以用來(lái)測(cè)試數(shù)據(jù)庫(kù)的可用性。用戶(hù)可以用來(lái)測(cè)試數(shù)據(jù)庫(kù)的可用性。 l SYS：是數(shù)據(jù)庫(kù)中具有最高權(quán)限的數(shù)據(jù)庫(kù)管理員，可以：是數(shù)據(jù)庫(kù)中具有最高權(quán)限的數(shù)據(jù)庫(kù)管理員，可以啟動(dòng)、修改和關(guān)閉數(shù)據(jù)庫(kù)，擁有數(shù)據(jù)字典。啟動(dòng)、修改和關(guān)閉數(shù)據(jù)庫(kù)，擁有數(shù)據(jù)字典。 l SYSTEM：是輔助數(shù)據(jù)庫(kù)管理員，不能啟動(dòng)和關(guān)閉數(shù)據(jù)：是輔助數(shù)據(jù)庫(kù)管理員，不能啟動(dòng)和關(guān)閉數(shù)據(jù)庫(kù)，可以進(jìn)行一些其他的管理工作，例如創(chuàng)建用戶(hù)、刪除用庫(kù)，可以進(jìn)行一些其他的管理工作，例如創(chuàng)建用戶(hù)、刪除用戶(hù)等。戶(hù)等。 l SCOTT：數(shù)據(jù)庫(kù)的測(cè)試用戶(hù)，默認(rèn)口令

9、為：數(shù)據(jù)庫(kù)的測(cè)試用戶(hù)，默認(rèn)口令為tiger。在該用。在該用戶(hù)下已經(jīng)創(chuàng)建了一些數(shù)據(jù)表，用于用戶(hù)學(xué)習(xí)及測(cè)試網(wǎng)絡(luò)連接，戶(hù)下已經(jīng)創(chuàng)建了一些數(shù)據(jù)表，用于用戶(hù)學(xué)習(xí)及測(cè)試網(wǎng)絡(luò)連接，包括：包括：EMP表、表、DEPT表等。表等。13.2.2 相關(guān)屬性相關(guān)屬性和用戶(hù)相關(guān)的屬性包括以下幾種。和用戶(hù)相關(guān)的屬性包括以下幾種。（1）用戶(hù)身份認(rèn)證方式）用戶(hù)身份認(rèn)證方式在用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)，必須經(jīng)過(guò)身份認(rèn)證。在用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)，必須經(jīng)過(guò)身份認(rèn)證。Oracle數(shù)據(jù)庫(kù)用數(shù)據(jù)庫(kù)用戶(hù)有戶(hù)有3種身份認(rèn)證。種身份認(rèn)證。u數(shù)據(jù)庫(kù)身份認(rèn)證：這種方式即用戶(hù)名數(shù)據(jù)庫(kù)身份認(rèn)證：這種方式即用戶(hù)名/口令方式，用戶(hù)口口令方式，用戶(hù)口令以加密方式保存在數(shù)

10、據(jù)庫(kù)內(nèi)部，用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)必須令以加密方式保存在數(shù)據(jù)庫(kù)內(nèi)部，用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)必須輸入用戶(hù)名和口令，通過(guò)數(shù)據(jù)庫(kù)認(rèn)證后才能登錄數(shù)據(jù)庫(kù)。輸入用戶(hù)名和口令，通過(guò)數(shù)據(jù)庫(kù)認(rèn)證后才能登錄數(shù)據(jù)庫(kù)。這是默認(rèn)的認(rèn)證方式。這是默認(rèn)的認(rèn)證方式。u外部身份認(rèn)證：用戶(hù)賬戶(hù)由外部身份認(rèn)證：用戶(hù)賬戶(hù)由Oracle數(shù)據(jù)庫(kù)管理，但口令管數(shù)據(jù)庫(kù)管理，但口令管理和身份驗(yàn)證由外部服務(wù)完成，外部服務(wù)可以是操作系統(tǒng)理和身份驗(yàn)證由外部服務(wù)完成，外部服務(wù)可以是操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)。當(dāng)用戶(hù)試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，數(shù)據(jù)庫(kù)或網(wǎng)絡(luò)服務(wù)。當(dāng)用戶(hù)試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，數(shù)據(jù)庫(kù)不會(huì)要求用戶(hù)輸入用戶(hù)名和口令，而從外部服務(wù)中獲取當(dāng)不會(huì)要求用戶(hù)輸入用戶(hù)名和口令

11、，而從外部服務(wù)中獲取當(dāng)前用戶(hù)的登錄信息。這種方式比較適合在局域網(wǎng)環(huán)境下，前用戶(hù)的登錄信息。這種方式比較適合在局域網(wǎng)環(huán)境下，連接簡(jiǎn)單，不需要提供用戶(hù)名和口令，但是需要在創(chuàng)建用連接簡(jiǎn)單，不需要提供用戶(hù)名和口令，但是需要在創(chuàng)建用戶(hù)時(shí)做一些相應(yīng)的配置。戶(hù)時(shí)做一些相應(yīng)的配置。第第9頁(yè)頁(yè)第第10頁(yè)頁(yè)u全局身份認(rèn)證：當(dāng)用戶(hù)試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，全局身份認(rèn)證：當(dāng)用戶(hù)試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，Oracle使用網(wǎng)絡(luò)中的安全管理服務(wù)器（使用網(wǎng)絡(luò)中的安全管理服務(wù)器（Oracle Enterprise Security Manager）對(duì)用戶(hù)進(jìn)行身份認(rèn)證。和外部身份認(rèn)證相同，用）對(duì)用戶(hù)進(jìn)行身份認(rèn)證。和外部身份認(rèn)證相

12、同，用戶(hù)賬戶(hù)由數(shù)據(jù)庫(kù)管理，但戶(hù)賬戶(hù)由數(shù)據(jù)庫(kù)管理，但Oracle不保存口令，當(dāng)用戶(hù)登錄時(shí)，不保存口令，當(dāng)用戶(hù)登錄時(shí)，需要通過(guò)網(wǎng)絡(luò)服務(wù)驗(yàn)證。需要通過(guò)網(wǎng)絡(luò)服務(wù)驗(yàn)證。Oracle的安全管理服務(wù)器可以提供的安全管理服務(wù)器可以提供全局范圍內(nèi)管理數(shù)據(jù)庫(kù)用戶(hù)的功能。全局范圍內(nèi)管理數(shù)據(jù)庫(kù)用戶(hù)的功能。（2）表空間配額）表空間配額表空間配額限制用戶(hù)在永久表空間中可用的存儲(chǔ)空間大小，表空間配額限制用戶(hù)在永久表空間中可用的存儲(chǔ)空間大小，默認(rèn)情況下，新用戶(hù)在任何表空間中都沒(méi)有任何配額。用戶(hù)默認(rèn)情況下，新用戶(hù)在任何表空間中都沒(méi)有任何配額。用戶(hù)在臨時(shí)表空間中不需要配額。在臨時(shí)表空間中不需要配額。 （3）默認(rèn)表空間）默認(rèn)表空間

13、用戶(hù)在創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)，如果沒(méi)有顯示指明該對(duì)象在哪用戶(hù)在創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)，如果沒(méi)有顯示指明該對(duì)象在哪個(gè)空間，那么系統(tǒng)會(huì)將該對(duì)象自動(dòng)存儲(chǔ)在用戶(hù)的默認(rèn)表空間個(gè)空間，那么系統(tǒng)會(huì)將該對(duì)象自動(dòng)存儲(chǔ)在用戶(hù)的默認(rèn)表空間中，即中，即SYSTEM表空間。一般不建議將用戶(hù)的對(duì)象建立在表空間。一般不建議將用戶(hù)的對(duì)象建立在SYSTEM表空間中，所以默認(rèn)表空間應(yīng)指定。表空間中，所以默認(rèn)表空間應(yīng)指定。第第11頁(yè)頁(yè) (4) 臨時(shí)表空間臨時(shí)表空間 如果用戶(hù)執(zhí)行一些操作例如排序、匯總和表間連接等，如果用戶(hù)執(zhí)行一些操作例如排序、匯總和表間連接等，系統(tǒng)會(huì)首先使用內(nèi)存中的排序區(qū)系統(tǒng)會(huì)首先使用內(nèi)存中的排序區(qū)SORT_AREA_SIZE

14、，如果，如果這塊排序區(qū)大小不夠，則將使用用戶(hù)的臨時(shí)表空間。一般使這塊排序區(qū)大小不夠，則將使用用戶(hù)的臨時(shí)表空間。一般使用系統(tǒng)默認(rèn)臨時(shí)表空間用系統(tǒng)默認(rèn)臨時(shí)表空間TEMP作為用戶(hù)的默認(rèn)臨時(shí)表空間。作為用戶(hù)的默認(rèn)臨時(shí)表空間。 （5）賬戶(hù)狀態(tài)）賬戶(hù)狀態(tài) 在創(chuàng)建用戶(hù)時(shí)，可以設(shè)定用戶(hù)的初始狀態(tài)，包括用戶(hù)在創(chuàng)建用戶(hù)時(shí)，可以設(shè)定用戶(hù)的初始狀態(tài)，包括用戶(hù)口令是否過(guò)期、用戶(hù)賬戶(hù)是否鎖定等。已鎖定的用戶(hù)不能訪(fǎng)口令是否過(guò)期、用戶(hù)賬戶(hù)是否鎖定等。已鎖定的用戶(hù)不能訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，必須由管理員進(jìn)行解鎖后才允許訪(fǎng)問(wèn)。數(shù)據(jù)庫(kù)管問(wèn)數(shù)據(jù)庫(kù)，必須由管理員進(jìn)行解鎖后才允許訪(fǎng)問(wèn)。數(shù)據(jù)庫(kù)管理員可以隨時(shí)鎖定賬戶(hù)或解除鎖定。理員可以隨時(shí)鎖定賬戶(hù)或解

15、除鎖定。 （6）資源配置）資源配置 每個(gè)用戶(hù)都有一個(gè)資源配置，如果創(chuàng)建用戶(hù)時(shí)沒(méi)有指每個(gè)用戶(hù)都有一個(gè)資源配置，如果創(chuàng)建用戶(hù)時(shí)沒(méi)有指定，定，Oracle會(huì)為用戶(hù)指定默認(rèn)的資源配置。資源配置的作用會(huì)為用戶(hù)指定默認(rèn)的資源配置。資源配置的作用是對(duì)數(shù)據(jù)庫(kù)系統(tǒng)資源的使用加以限制，這些資源包括：口令是對(duì)數(shù)據(jù)庫(kù)系統(tǒng)資源的使用加以限制，這些資源包括：口令是否過(guò)期，口令輸入錯(cuò)誤幾次后鎖定該用戶(hù)，是否過(guò)期，口令輸入錯(cuò)誤幾次后鎖定該用戶(hù)，CPU時(shí)間，輸時(shí)間，輸入入/輸出（輸出（I/O）以及用戶(hù)打開(kāi)的會(huì)話(huà)數(shù)目等。）以及用戶(hù)打開(kāi)的會(huì)話(huà)數(shù)目等。第第12頁(yè)頁(yè)13.2.3 創(chuàng)建用戶(hù)創(chuàng)建用戶(hù)創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)的語(yǔ)法如下：創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)

16、的語(yǔ)法如下：CREATE USER userIDENTIFIED BY passwore | EXTERNALLYDEFAULT TABLESPACE tablespace TEMPORARY TABLESPACE tablespaceQUOTA integer K | M | UNLIMITED ON tablespaceQUOTA integer K | M | UNLIMITED ON tablespacePASSWORD EXPIREACCOUNT LOCK | UNLOCKPROFILE profile | DEFAULT參數(shù)說(shuō)明：參數(shù)說(shuō)明：user：要?jiǎng)?chuàng)建的用戶(hù)名；：要?jiǎng)?chuàng)建的用戶(hù)名

17、；BY password：用戶(hù)通過(guò)數(shù)據(jù)庫(kù)驗(yàn)證方式登錄，登錄時(shí)：用戶(hù)通過(guò)數(shù)據(jù)庫(kù)驗(yàn)證方式登錄，登錄時(shí)需要提供的口令；需要提供的口令；EXTERNALLY：用戶(hù)需要通過(guò)操作系統(tǒng)驗(yàn)證；：用戶(hù)需要通過(guò)操作系統(tǒng)驗(yàn)證；DEFAULT或或TEMPORARY TABLESPACE：為用戶(hù)指定：為用戶(hù)指定默認(rèn)或臨時(shí)表空間；默認(rèn)或臨時(shí)表空間；QUOTA：定義在表空間中允許用戶(hù)使用的最大空間，可：定義在表空間中允許用戶(hù)使用的最大空間，可將限額定義為整數(shù)字節(jié)或千字節(jié)將限額定義為整數(shù)字節(jié)或千字節(jié)/兆字節(jié)。其中關(guān)鍵字兆字節(jié)。其中關(guān)鍵字UNLIMITED用戶(hù)指定用戶(hù)可以使用表空間中全部可用空用戶(hù)指定用戶(hù)可以使用表空間中全部可

18、用空間；間；PASSWORD EXPIRE：強(qiáng)制用戶(hù)在使用：強(qiáng)制用戶(hù)在使用SQL*Plus登錄登錄到數(shù)據(jù)庫(kù)時(shí)重置口令（該選項(xiàng)僅在用戶(hù)通過(guò)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)到數(shù)據(jù)庫(kù)時(shí)重置口令（該選項(xiàng)僅在用戶(hù)通過(guò)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證時(shí)有效）；證時(shí)有效）；ACCOUNT LOCK | UNLOCK：可用于顯示鎖定或解除鎖：可用于顯示鎖定或解除鎖定用戶(hù)賬戶(hù)（定用戶(hù)賬戶(hù)（UNLOCK為缺省設(shè)置）；為缺省設(shè)置）；PROFILE：指定用戶(hù)的資源配置。：指定用戶(hù)的資源配置。第第13頁(yè)頁(yè)第第14頁(yè)頁(yè)【例例13-1】創(chuàng)建用戶(hù)創(chuàng)建用戶(hù)rose，口令為，口令為zzuli，默認(rèn)表空間為，默認(rèn)表空間為USERS，在該表空間的配額為，在該表空間的配額

19、為50MB?？诹钤O(shè)置為過(guò)期狀態(tài)，?？诹钤O(shè)置為過(guò)期狀態(tài)，即首次連接數(shù)據(jù)庫(kù)時(shí)需要修改口令。即首次連接數(shù)據(jù)庫(kù)時(shí)需要修改口令。(如果在如果在SQL Plus中創(chuàng)中創(chuàng)建用戶(hù)成功，最后會(huì)顯示個(gè)建用戶(hù)成功，最后會(huì)顯示個(gè) 用戶(hù)已創(chuàng)建。用戶(hù)已創(chuàng)建。 之類(lèi)的，最好寫(xiě)之類(lèi)的，最好寫(xiě)在例題下面，表示這是運(yùn)行成功的代碼，你實(shí)驗(yàn)一下，看看在例題下面，表示這是運(yùn)行成功的代碼，你實(shí)驗(yàn)一下，看看創(chuàng)建完結(jié)果是什么，寫(xiě)到下面。后面的例題都是這樣的吧創(chuàng)建完結(jié)果是什么，寫(xiě)到下面。后面的例題都是這樣的吧)SQLCREATE USER rose IDENTIFIED BY zzuli2 DEFAULT TABLESPACE USERS3

20、QUOTA 50M ON USERS4 PASSWORD EXPIRE;用戶(hù)已創(chuàng)建。用戶(hù)已創(chuàng)建。13.2.4 修改用戶(hù)修改用戶(hù)第第15頁(yè)頁(yè) 用戶(hù)創(chuàng)建后，可以更改用戶(hù)的屬性，如口令、默認(rèn)表空間、用戶(hù)創(chuàng)建后，可以更改用戶(hù)的屬性，如口令、默認(rèn)表空間、臨時(shí)表空間、表空間配額、概要文件和用戶(hù)狀態(tài)等。但不允許臨時(shí)表空間、表空間配額、概要文件和用戶(hù)狀態(tài)等。但不允許修改用戶(hù)的名稱(chēng)，除非將其刪除。修改用戶(hù)的名稱(chēng)，除非將其刪除。修改數(shù)據(jù)庫(kù)用戶(hù)使用修改數(shù)據(jù)庫(kù)用戶(hù)使用ALTER USER語(yǔ)句來(lái)實(shí)現(xiàn)，語(yǔ)句來(lái)實(shí)現(xiàn)，ALTER USER語(yǔ)句的語(yǔ)法格式為：語(yǔ)句的語(yǔ)法格式為：ALTER USER user_name IDENT

21、IFIEDBY PASSWORD | EXTERNALLY | GOLBALLY AS external_nameDEFAULT TABLESPACE tablespace_nameTEMPORARY TABLESPACE temp_tempspace_nameQUOTA n K | M | UNLIMITED ON tablespace_namePROFILE profile_nameDEFAULT ROLE role_list | ALL EXCEPT role_list | NONEPASSWORD EXPIREACCOUNT LOCK | UNLOCK;第第16頁(yè)頁(yè)對(duì)其中的參數(shù)說(shuō)明如下

22、。對(duì)其中的參數(shù)說(shuō)明如下。l role_list：角色列表：角色列表l ALL：表示所有角色：表示所有角色l EXCEPT role_list：表示除了：表示除了role_list列表中角色以外的列表中角色以外的其他角色。其他角色。l NONE：表示沒(méi)有默認(rèn)角色。：表示沒(méi)有默認(rèn)角色。 【例【例13-2】 修改用戶(hù)修改用戶(hù)atea的默認(rèn)表空間為的默認(rèn)表空間為USERS，在，在該表空間的配額為該表空間的配額為100MB，在，在USERS表空間的配額為表空間的配額為30MB。命令如下：。命令如下：SQLALTER USER atea2 DEFAULT TABLESPACE USERS3 QUOTA 3

23、0M ON USERS;13.2.5 刪除用戶(hù)刪除用戶(hù) 當(dāng)一個(gè)用戶(hù)不再使用時(shí)，可以將其刪除。刪除用戶(hù)的語(yǔ)法：當(dāng)一個(gè)用戶(hù)不再使用時(shí)，可以將其刪除。刪除用戶(hù)的語(yǔ)法：DROP USER user_name CASCADE執(zhí)行該語(yǔ)句的用戶(hù)必須具有執(zhí)行該語(yǔ)句的用戶(hù)必須具有DROP USER的系統(tǒng)權(quán)限。刪除的系統(tǒng)權(quán)限。刪除用戶(hù)時(shí)需要注意如下幾點(diǎn)：用戶(hù)時(shí)需要注意如下幾點(diǎn)：（1）如果用戶(hù)方案中包括任何對(duì)象，在刪除用戶(hù)時(shí)，必須）如果用戶(hù)方案中包括任何對(duì)象，在刪除用戶(hù)時(shí)，必須加上加上CASCADE短語(yǔ)，短語(yǔ)，Oracle數(shù)據(jù)庫(kù)會(huì)先刪除該用戶(hù)的所數(shù)據(jù)庫(kù)會(huì)先刪除該用戶(hù)的所有對(duì)象，然后再刪除該用戶(hù)。有對(duì)象，然后再刪除該

24、用戶(hù)。（2）如果用戶(hù)當(dāng)前正與）如果用戶(hù)當(dāng)前正與Oracle服務(wù)器連接，則不能刪除。服務(wù)器連接，則不能刪除?！纠纠?3-3】刪除用戶(hù)】刪除用戶(hù)atea。SQLDROP USER atea; -如果如果atea用戶(hù)的方案用戶(hù)的方案中沒(méi)有對(duì)象中沒(méi)有對(duì)象 SQLDROP USER atea CASCADE; -如果如果atea用戶(hù)用戶(hù)的方案中有對(duì)象的方案中有對(duì)象第第17頁(yè)頁(yè)13.2.6 查詢(xún)用戶(hù)信息查詢(xún)用戶(hù)信息 如果要獲取用戶(hù)信息，可以通過(guò)查詢(xún)數(shù)據(jù)字典視圖或如果要獲取用戶(hù)信息，可以通過(guò)查詢(xún)數(shù)據(jù)字典視圖或動(dòng)態(tài)性能視圖來(lái)實(shí)現(xiàn)。動(dòng)態(tài)性能視圖來(lái)實(shí)現(xiàn)。 ALL_USERS：包含數(shù)據(jù)庫(kù)所有用戶(hù)的用戶(hù)名、用戶(hù)：包

25、含數(shù)據(jù)庫(kù)所有用戶(hù)的用戶(hù)名、用戶(hù)ID和用和用戶(hù)創(chuàng)建時(shí)間。戶(hù)創(chuàng)建時(shí)間。 DBA_USERS：包含數(shù)據(jù)庫(kù)所有用戶(hù)的詳細(xì)信息。：包含數(shù)據(jù)庫(kù)所有用戶(hù)的詳細(xì)信息。 USER_USERS：包含當(dāng)前用戶(hù)的詳細(xì)信息。：包含當(dāng)前用戶(hù)的詳細(xì)信息。 DBA_TS_QUOTAS：包含所有用戶(hù)的表空間配額信息。：包含所有用戶(hù)的表空間配額信息。 USER_TS_QUOTAS：包含當(dāng)前用戶(hù)的表空間配額信息。：包含當(dāng)前用戶(hù)的表空間配額信息。 V$SESSION：包含用戶(hù)會(huì)話(huà)信息。：包含用戶(hù)會(huì)話(huà)信息。 V$OPEN_CURSOR：包含用戶(hù)執(zhí)行的：包含用戶(hù)執(zhí)行的SQL語(yǔ)句信息。語(yǔ)句信息。 【例【例13-4】查找所有用戶(hù)的默認(rèn)表空間

26、。（查找的結(jié)果】查找所有用戶(hù)的默認(rèn)表空間。（查找的結(jié)果應(yīng)該截圖，顯示在下面）應(yīng)該截圖，顯示在下面）SQLSELECT user_name, default_tablespace 2 FROM dba_users;第第18頁(yè)頁(yè)第第19頁(yè)頁(yè)主要內(nèi)容主要內(nèi)容13.1 概述概述13.2 用戶(hù)管理用戶(hù)管理13.3 權(quán)限管理權(quán)限管理13.4 角色管理角色管理13.5 數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)13.6 小結(jié)小結(jié)13.7 習(xí)題習(xí)題 在用戶(hù)創(chuàng)建完成后，僅僅表示該用戶(hù)在在用戶(hù)創(chuàng)建完成后，僅僅表示該用戶(hù)在Oracle系統(tǒng)中進(jìn)系統(tǒng)中進(jìn)行了注冊(cè)而已，這樣的用戶(hù)既不能連接到數(shù)據(jù)庫(kù)，更談不上行了注冊(cè)而已，這樣的用戶(hù)既不能連接到

27、數(shù)據(jù)庫(kù)，更談不上進(jìn)行查詢(xún)、建表等操作。要使該用戶(hù)能夠連接到進(jìn)行查詢(xún)、建表等操作。要使該用戶(hù)能夠連接到Oracle系統(tǒng)系統(tǒng)并能使用并能使用Oracle的資源，如查詢(xún)表的數(shù)據(jù)，創(chuàng)建自己的表結(jié)的資源，如查詢(xún)表的數(shù)據(jù)，創(chuàng)建自己的表結(jié)構(gòu)等，必須由具有構(gòu)等，必須由具有DBA角色的用戶(hù)對(duì)該用戶(hù)進(jìn)行授權(quán)。角色的用戶(hù)對(duì)該用戶(hù)進(jìn)行授權(quán)。第第20頁(yè)頁(yè)13.3.1 權(quán)限概述權(quán)限概述 權(quán)限是指執(zhí)行特定類(lèi)型的權(quán)限是指執(zhí)行特定類(lèi)型的SQL語(yǔ)句或訪(fǎng)問(wèn)另一個(gè)用戶(hù)的對(duì)語(yǔ)句或訪(fǎng)問(wèn)另一個(gè)用戶(hù)的對(duì)象的權(quán)利，例如：連接到數(shù)據(jù)庫(kù)，創(chuàng)建表，查詢(xún)其他用戶(hù)的象的權(quán)利，例如：連接到數(shù)據(jù)庫(kù)，創(chuàng)建表，查詢(xún)其他用戶(hù)的表，調(diào)用其他用戶(hù)的存儲(chǔ)過(guò)程等。表，調(diào)

28、用其他用戶(hù)的存儲(chǔ)過(guò)程等。Oracle數(shù)據(jù)庫(kù)使用權(quán)限來(lái)控?cái)?shù)據(jù)庫(kù)使用權(quán)限來(lái)控制用戶(hù)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)和用戶(hù)所能執(zhí)行的操作。用戶(hù)在數(shù)據(jù)庫(kù)制用戶(hù)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)和用戶(hù)所能執(zhí)行的操作。用戶(hù)在數(shù)據(jù)庫(kù)中可以執(zhí)行什么樣的操作，以及可以對(duì)哪些對(duì)象進(jìn)行操作，中可以執(zhí)行什么樣的操作，以及可以對(duì)哪些對(duì)象進(jìn)行操作，完全取決于該用戶(hù)所擁有的權(quán)限。完全取決于該用戶(hù)所擁有的權(quán)限。 根據(jù)系統(tǒng)管理方式的不同，在根據(jù)系統(tǒng)管理方式的不同，在Oracle數(shù)據(jù)庫(kù)中將權(quán)限分為數(shù)據(jù)庫(kù)中將權(quán)限分為兩大類(lèi)，系統(tǒng)權(quán)限和對(duì)象權(quán)限。兩大類(lèi)，系統(tǒng)權(quán)限和對(duì)象權(quán)限。 系統(tǒng)權(quán)限指數(shù)據(jù)庫(kù)級(jí)別執(zhí)行某些操作的權(quán)限，即用戶(hù)執(zhí)行系統(tǒng)權(quán)限指數(shù)據(jù)庫(kù)級(jí)別執(zhí)行某些操作的權(quán)限，即用戶(hù)執(zhí)行

29、某一特定的數(shù)據(jù)庫(kù)操作或某類(lèi)數(shù)據(jù)庫(kù)操作等的權(quán)限，例如創(chuàng)某一特定的數(shù)據(jù)庫(kù)操作或某類(lèi)數(shù)據(jù)庫(kù)操作等的權(quán)限，例如創(chuàng)建表空間，創(chuàng)建會(huì)話(huà)等。建表空間，創(chuàng)建會(huì)話(huà)等。第第21頁(yè)頁(yè)第第22頁(yè)頁(yè) 對(duì)象權(quán)限是指對(duì)數(shù)據(jù)庫(kù)中的特定對(duì)象（例如表、視圖、對(duì)象權(quán)限是指對(duì)數(shù)據(jù)庫(kù)中的特定對(duì)象（例如表、視圖、序列、過(guò)程、函數(shù)或程序包）的訪(fǎng)問(wèn)控制，以及用戶(hù)可以序列、過(guò)程、函數(shù)或程序包）的訪(fǎng)問(wèn)控制，以及用戶(hù)可以在這些數(shù)據(jù)庫(kù)對(duì)象上執(zhí)行哪些操作。例如插入表記錄，增在這些數(shù)據(jù)庫(kù)對(duì)象上執(zhí)行哪些操作。例如插入表記錄，增加約束條件等。加約束條件等。 無(wú)論系統(tǒng)權(quán)限還是對(duì)象權(quán)限，在無(wú)論系統(tǒng)權(quán)限還是對(duì)象權(quán)限，在Oracle數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)中，將權(quán)限授予用

30、戶(hù)的方式有直接授權(quán)和間接授權(quán)兩種。所謂將權(quán)限授予用戶(hù)的方式有直接授權(quán)和間接授權(quán)兩種。所謂直接授權(quán)就是利用直接授權(quán)就是利用GRANT命令直接為用戶(hù)授權(quán)，間接授命令直接為用戶(hù)授權(quán)，間接授權(quán)就是先將權(quán)限授予角色，再將角色授予用戶(hù)。另外，已權(quán)就是先將權(quán)限授予角色，再將角色授予用戶(hù)。另外，已經(jīng)獲得某種權(quán)限的用戶(hù)可以將他們的權(quán)限或其中一部分權(quán)經(jīng)獲得某種權(quán)限的用戶(hù)可以將他們的權(quán)限或其中一部分權(quán)限再授予其他用戶(hù)。限再授予其他用戶(hù)。13.3.2 系統(tǒng)權(quán)限管理系統(tǒng)權(quán)限管理第第23頁(yè)頁(yè) 在在Orcale 11g 中含有中含有200多種系統(tǒng)權(quán)限，每種系統(tǒng)權(quán)多種系統(tǒng)權(quán)限，每種系統(tǒng)權(quán)限都為用戶(hù)提供了執(zhí)行某一種或某一類(lèi)數(shù)據(jù)

31、庫(kù)操作的能力，限都為用戶(hù)提供了執(zhí)行某一種或某一類(lèi)數(shù)據(jù)庫(kù)操作的能力，可以將系統(tǒng)權(quán)限授予用戶(hù)和角色。由于系統(tǒng)權(quán)限可能影響可以將系統(tǒng)權(quán)限授予用戶(hù)和角色。由于系統(tǒng)權(quán)限可能影響到整個(gè)數(shù)據(jù)庫(kù)，所有授予系統(tǒng)權(quán)限給用戶(hù)時(shí)需要慎重。到整個(gè)數(shù)據(jù)庫(kù)，所有授予系統(tǒng)權(quán)限給用戶(hù)時(shí)需要慎重。1授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限 系統(tǒng)管理員給用戶(hù)授權(quán)時(shí)，應(yīng)該考慮到不同用戶(hù)的系統(tǒng)管理員給用戶(hù)授權(quán)時(shí)，應(yīng)該考慮到不同用戶(hù)的身份。例如數(shù)據(jù)庫(kù)管理員用戶(hù)應(yīng)該具有創(chuàng)建用戶(hù)、修改用身份。例如數(shù)據(jù)庫(kù)管理員用戶(hù)應(yīng)該具有創(chuàng)建用戶(hù)、修改用戶(hù)權(quán)限、創(chuàng)建表空間以及可以對(duì)數(shù)據(jù)庫(kù)任何模式中的對(duì)象戶(hù)權(quán)限、創(chuàng)建表空間以及可以對(duì)數(shù)據(jù)庫(kù)任何模式中的對(duì)象進(jìn)行管理的權(quán)限，而數(shù)據(jù)

32、庫(kù)開(kāi)發(fā)人員應(yīng)該具有在自己的方進(jìn)行管理的權(quán)限，而數(shù)據(jù)庫(kù)開(kāi)發(fā)人員應(yīng)該具有在自己的方案中創(chuàng)建表、視圖、過(guò)程等的權(quán)限。另外一些普通用戶(hù)應(yīng)案中創(chuàng)建表、視圖、過(guò)程等的權(quán)限。另外一些普通用戶(hù)應(yīng)該只賦予該只賦予CREATE SESSION的權(quán)限。的權(quán)限。第第24頁(yè)頁(yè)授予系統(tǒng)權(quán)限的語(yǔ)法：授予系統(tǒng)權(quán)限的語(yǔ)法：GRANT system_privilege | role，system_privilege | roleTO user | role | PUBLIC， user | role | PUBLIC WITH ADMIN OPTION參數(shù)說(shuō)明：參數(shù)說(shuō)明：l system_privilege：要授予的系統(tǒng)權(quán)限：要

33、授予的系統(tǒng)權(quán)限l user：被授予權(quán)限的用戶(hù)：被授予權(quán)限的用戶(hù)l role：被授予的角色名：被授予的角色名l PUBLIC：將系統(tǒng)權(quán)限授予所有用戶(hù)：將系統(tǒng)權(quán)限授予所有用戶(hù)l WITH ADMIN OPTION：允許被授予者進(jìn)一步為其他：允許被授予者進(jìn)一步為其他用戶(hù)或角色授予權(quán)限或角色。當(dāng)授權(quán)時(shí)帶有這個(gè)子句時(shí)，用戶(hù)或角色授予權(quán)限或角色。當(dāng)授權(quán)時(shí)帶有這個(gè)子句時(shí)，用戶(hù)才可以將獲得的系統(tǒng)權(quán)限再授予其他用戶(hù)，即系統(tǒng)權(quán)用戶(hù)才可以將獲得的系統(tǒng)權(quán)限再授予其他用戶(hù)，即系統(tǒng)權(quán)限的傳遞性。限的傳遞性。第第25頁(yè)頁(yè)【例【例13-5】數(shù)據(jù)庫(kù)管理員授予】數(shù)據(jù)庫(kù)管理員授予CREATE SESSION權(quán)限給用權(quán)限給用戶(hù)戶(hù)at

34、ea。SQLGRANT CREATE SESSION TO atea;2.系統(tǒng)權(quán)限收回系統(tǒng)權(quán)限收回 一般用戶(hù)被授予過(guò)高的權(quán)限可能會(huì)給一般用戶(hù)被授予過(guò)高的權(quán)限可能會(huì)給Oracle系統(tǒng)帶來(lái)系統(tǒng)帶來(lái)安全隱患。作為安全隱患。作為Oracle系統(tǒng)管理員，應(yīng)該會(huì)查詢(xún)當(dāng)前系統(tǒng)管理員，應(yīng)該會(huì)查詢(xún)當(dāng)前Oracle系統(tǒng)中各個(gè)用戶(hù)的權(quán)限，并且能夠使用系統(tǒng)中各個(gè)用戶(hù)的權(quán)限，并且能夠使用REVOKE命令撤銷(xiāo)用命令撤銷(xiāo)用戶(hù)的某些不必要的系統(tǒng)權(quán)限。戶(hù)的某些不必要的系統(tǒng)權(quán)限?？梢允褂每梢允褂肦EVOKE語(yǔ)句撤銷(xiāo)系統(tǒng)權(quán)限。語(yǔ)句撤銷(xiāo)系統(tǒng)權(quán)限。REVOKE system_privilege | role ，system_privi

35、lege | roleFROM user | role | PUBLIC， user | role | PUBLIC REVOKE語(yǔ)句中的參數(shù)和語(yǔ)句中的參數(shù)和GRANT語(yǔ)句中相同。語(yǔ)句中相同。第第26頁(yè)頁(yè) 【例【例13-6】收回用戶(hù)】收回用戶(hù)atea的的CREATE SESSION權(quán)限權(quán)限SQLREVOKE CREATE SESSION FROM atea; 需要說(shuō)明的是，如果數(shù)據(jù)庫(kù)管理員使用了需要說(shuō)明的是，如果數(shù)據(jù)庫(kù)管理員使用了GRANT語(yǔ)句給用戶(hù)語(yǔ)句給用戶(hù)A授予系統(tǒng)權(quán)限時(shí)帶有授予系統(tǒng)權(quán)限時(shí)帶有WITH ADMIN OPTION選項(xiàng)，則該用戶(hù)選項(xiàng)，則該用戶(hù)A有權(quán)將系統(tǒng)權(quán)限再次授予其他有權(quán)將系

36、統(tǒng)權(quán)限再次授予其他的用戶(hù)的用戶(hù)B。在這種情況下，如果數(shù)據(jù)庫(kù)管理員使用。在這種情況下，如果數(shù)據(jù)庫(kù)管理員使用REVOKE命令撤銷(xiāo)命令撤銷(xiāo)A用戶(hù)的系統(tǒng)權(quán)限時(shí)，用戶(hù)用戶(hù)的系統(tǒng)權(quán)限時(shí)，用戶(hù)B的系統(tǒng)授的系統(tǒng)授權(quán)仍然有效。權(quán)仍然有效。13.3.3 對(duì)象權(quán)限管理對(duì)象權(quán)限管理 對(duì)象權(quán)限是一種對(duì)于特定對(duì)象（表、視圖、序列、過(guò)對(duì)象權(quán)限是一種對(duì)于特定對(duì)象（表、視圖、序列、過(guò)程、函數(shù)或程序包等）執(zhí)行特定操作的一種權(quán)限。數(shù)據(jù)庫(kù)程、函數(shù)或程序包等）執(zhí)行特定操作的一種權(quán)限。數(shù)據(jù)庫(kù)用戶(hù)擁有對(duì)自己的對(duì)象的所有對(duì)象權(quán)限，所以對(duì)象權(quán)限的用戶(hù)擁有對(duì)自己的對(duì)象的所有對(duì)象權(quán)限，所以對(duì)象權(quán)限的管理實(shí)際上即是對(duì)象所有者對(duì)其他用戶(hù)操作該對(duì)象的權(quán)

37、限管理實(shí)際上即是對(duì)象所有者對(duì)其他用戶(hù)操作該對(duì)象的權(quán)限管理。管理。第第27頁(yè)頁(yè)1. 授予對(duì)象權(quán)限授予對(duì)象權(quán)限授予對(duì)象權(quán)限的語(yǔ)法：授予對(duì)象權(quán)限的語(yǔ)法：GRANT object_privilege (column_list)，object_privilege (column_list)| ALL PRIVILEGESON schema. objectTO user | role | PUBLIC , user | role | PUBLIC WITH GRANT OPTION其中參數(shù)說(shuō)明如下：其中參數(shù)說(shuō)明如下：l object_privilege：表示要授予的對(duì)象權(quán)限；：表示要授予的對(duì)象權(quán)限；l c

38、olumn_list：指定表或視圖列；：指定表或視圖列；l ALL：將所有權(quán)限授予那些已被授予：將所有權(quán)限授予那些已被授予WITH GRANT OPTION的對(duì)象；的對(duì)象；l ON object：object表示將要被授予權(quán)限的目標(biāo)對(duì)象；表示將要被授予權(quán)限的目標(biāo)對(duì)象；l Role：角色名；：角色名；l User：被授予的用戶(hù)名；：被授予的用戶(hù)名；l WITH GRANT OPTION：表示被授予者可再將對(duì)象權(quán)限：表示被授予者可再將對(duì)象權(quán)限授予其他用戶(hù)。授予其他用戶(hù)。第第28頁(yè)頁(yè)【例【例13-7】 將將SELECT、INSERT、DELETE授權(quán)給授權(quán)給atea用戶(hù)。用戶(hù)。SQLGRANT SE

39、LECT, INSERT,DELETE ON emp TO atea;2. 對(duì)象權(quán)限回收對(duì)象權(quán)限回收 要從用戶(hù)或者角色中撤銷(xiāo)對(duì)象權(quán)限，仍然要使用要從用戶(hù)或者角色中撤銷(xiāo)對(duì)象權(quán)限，仍然要使用REVOKE命令來(lái)完成。要撤銷(xiāo)對(duì)象權(quán)限，撤銷(xiāo)者必須是將命令來(lái)完成。要撤銷(xiāo)對(duì)象權(quán)限，撤銷(xiāo)者必須是將被撤銷(xiāo)的對(duì)象權(quán)限的原始授予者。撤銷(xiāo)對(duì)象權(quán)限的語(yǔ)法：被撤銷(xiāo)的對(duì)象權(quán)限的原始授予者。撤銷(xiāo)對(duì)象權(quán)限的語(yǔ)法：REVOKE object_privilege, object_privilege| ALL PRIVILEGESON schema. objectFROM user | role | PUBLIC, user | r

40、ole | PUBLIC CASCADE CONSTRAINTS第第29頁(yè)頁(yè)其中參數(shù)說(shuō)明如下：其中參數(shù)說(shuō)明如下：l object_privilege：指定將撤銷(xiāo)的對(duì)象權(quán)限；：指定將撤銷(xiāo)的對(duì)象權(quán)限；l ALL：撤銷(xiāo)已授予用戶(hù)的所有對(duì)象權(quán)限；：撤銷(xiāo)已授予用戶(hù)的所有對(duì)象權(quán)限；l ON：標(biāo)識(shí)將撤銷(xiāo)其對(duì)象權(quán)限的對(duì)象；：標(biāo)識(shí)將撤銷(xiāo)其對(duì)象權(quán)限的對(duì)象；l FROM：標(biāo)識(shí)將撤銷(xiāo)其對(duì)象權(quán)限的用戶(hù)或角色；：標(biāo)識(shí)將撤銷(xiāo)其對(duì)象權(quán)限的用戶(hù)或角色；l CASCADE CONSTRAINTS：刪除撤銷(xiāo)使用：刪除撤銷(xiāo)使用REFERENCES或或ALL權(quán)限定義的任何引用完整性約束限制；權(quán)限定義的任何引用完整性約束限制； 【例【例

41、13-8】從】從atea用戶(hù)撤銷(xiāo)用戶(hù)撤銷(xiāo)emp對(duì)象的所有權(quán)限。對(duì)象的所有權(quán)限。SQLREVOKE ALL ON emp FROM atea; 需要注意的是，如果數(shù)據(jù)庫(kù)管理員使用需要注意的是，如果數(shù)據(jù)庫(kù)管理員使用GRANT命令給命令給用戶(hù)用戶(hù)A授予對(duì)象權(quán)限時(shí)帶有授予對(duì)象權(quán)限時(shí)帶有WITH ADMIN OPTION選項(xiàng)，則選項(xiàng)，則該用戶(hù)該用戶(hù)A有權(quán)將權(quán)限再次授予其他的用戶(hù)有權(quán)將權(quán)限再次授予其他的用戶(hù)B。在這種情況下，。在這種情況下，如果數(shù)據(jù)庫(kù)管理員使用如果數(shù)據(jù)庫(kù)管理員使用REVOKE命令撤銷(xiāo)命令撤銷(xiāo)A用戶(hù)的對(duì)象權(quán)限用戶(hù)的對(duì)象權(quán)限時(shí)，用戶(hù)時(shí)，用戶(hù)B的對(duì)象權(quán)限也被撤銷(xiāo)。需要注意，在進(jìn)行系統(tǒng)權(quán)限的對(duì)象權(quán)

42、限也被撤銷(xiāo)。需要注意，在進(jìn)行系統(tǒng)權(quán)限回收和進(jìn)行對(duì)象權(quán)限回收時(shí)，效果是不一樣的?；厥蘸瓦M(jìn)行對(duì)象權(quán)限回收時(shí)，效果是不一樣的。13.3.4 權(quán)限查詢(xún)權(quán)限查詢(xún)第第30頁(yè)頁(yè) 用戶(hù)被授予的系統(tǒng)權(quán)限或者對(duì)象權(quán)限都被記錄在用戶(hù)被授予的系統(tǒng)權(quán)限或者對(duì)象權(quán)限都被記錄在Oracle的數(shù)據(jù)字典中，了解某個(gè)用戶(hù)被授予哪些系統(tǒng)權(quán)限和對(duì)象權(quán)的數(shù)據(jù)字典中，了解某個(gè)用戶(hù)被授予哪些系統(tǒng)權(quán)限和對(duì)象權(quán)限是確保應(yīng)用系統(tǒng)安全的重要工作。如表限是確保應(yīng)用系統(tǒng)安全的重要工作。如表13-1所示為所示為Oracle11g用于存放用戶(hù)、系統(tǒng)權(quán)限和對(duì)象權(quán)限有關(guān)的數(shù)據(jù)字用于存放用戶(hù)、系統(tǒng)權(quán)限和對(duì)象權(quán)限有關(guān)的數(shù)據(jù)字典。典?！纠?3-9】查詢(xún)所有的對(duì)象

43、權(quán)限。（查找的結(jié)果應(yīng)該截圖查詢(xún)所有的對(duì)象權(quán)限。（查找的結(jié)果應(yīng)該截圖粘貼在下面）粘貼在下面）SQLSELECT * FROM dba_tab_privs;第第31頁(yè)頁(yè)主要內(nèi)容主要內(nèi)容13.1 概述概述13.2 用戶(hù)管理用戶(hù)管理13.3 權(quán)限管理權(quán)限管理13.4 角色管理角色管理13.5數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)小結(jié)13.7習(xí)題習(xí)題13.4 角色管理角色管理第第32頁(yè)頁(yè) Oracle 中的權(quán)限分類(lèi)很多，設(shè)置十分復(fù)雜，就系統(tǒng)權(quán)限中的權(quán)限分類(lèi)很多，設(shè)置十分復(fù)雜，就系統(tǒng)權(quán)限而言，在而言，在Oracle11g中就超過(guò)了中就超過(guò)了200種，為數(shù)據(jù)庫(kù)管理員正確有種，為數(shù)據(jù)庫(kù)管理員正確有效地管理數(shù)據(jù)庫(kù)權(quán)限

44、帶來(lái)了困難，而角色就是簡(jiǎn)化權(quán)限管理效地管理數(shù)據(jù)庫(kù)權(quán)限帶來(lái)了困難，而角色就是簡(jiǎn)化權(quán)限管理的一種數(shù)據(jù)庫(kù)對(duì)象。的一種數(shù)據(jù)庫(kù)對(duì)象。13.4.1 角色概述角色概述 角色是權(quán)限管理的一種工具，是一系列權(quán)限的集合，角色角色是權(quán)限管理的一種工具，是一系列權(quán)限的集合，角色可以被授予任何用戶(hù)，也可以從用戶(hù)中收回?？梢员皇谟枞魏斡脩?hù)，也可以從用戶(hù)中收回。使用角色可以簡(jiǎn)化權(quán)限的管理，可以?xún)H用一條語(yǔ)句就能從用使用角色可以簡(jiǎn)化權(quán)限的管理，可以?xún)H用一條語(yǔ)句就能從用戶(hù)那里授予或者回收許多權(quán)限，而不必對(duì)用戶(hù)一一授權(quán)。使用戶(hù)那里授予或者回收許多權(quán)限，而不必對(duì)用戶(hù)一一授權(quán)。使用角色還可以實(shí)現(xiàn)權(quán)限的動(dòng)態(tài)管理，比如隨著應(yīng)用的變化可以增

45、角色還可以實(shí)現(xiàn)權(quán)限的動(dòng)態(tài)管理，比如隨著應(yīng)用的變化可以增加或者減少角色的權(quán)限，這樣通過(guò)改變角色權(quán)限，就改變了多加或者減少角色的權(quán)限，這樣通過(guò)改變角色權(quán)限，就改變了多個(gè)用戶(hù)的權(quán)限。個(gè)用戶(hù)的權(quán)限。第第33頁(yè)頁(yè) 角色、用戶(hù)及權(quán)限是一組有密切關(guān)系的對(duì)象，既然角角色、用戶(hù)及權(quán)限是一組有密切關(guān)系的對(duì)象，既然角色是一組權(quán)限的集合，那么他被授予某個(gè)用戶(hù)時(shí)才能有意色是一組權(quán)限的集合，那么他被授予某個(gè)用戶(hù)時(shí)才能有意義，可以如圖義，可以如圖13-1所示幫助我們理解角色、用戶(hù)及權(quán)限的所示幫助我們理解角色、用戶(hù)及權(quán)限的關(guān)系。關(guān)系。圖圖13-1 用戶(hù)、角色和權(quán)限的關(guān)系用戶(hù)、角色和權(quán)限的關(guān)系第第34頁(yè)頁(yè) 在復(fù)雜的大型應(yīng)用系統(tǒng)

46、，要求對(duì)應(yīng)用系統(tǒng)功能進(jìn)行分類(lèi)，在復(fù)雜的大型應(yīng)用系統(tǒng)，要求對(duì)應(yīng)用系統(tǒng)功能進(jìn)行分類(lèi)，從而形成角色的雛形，再使用從而形成角色的雛形，再使用CREATE ROLE語(yǔ)句將它們創(chuàng)語(yǔ)句將它們創(chuàng)建為角色；最后根據(jù)用戶(hù)工作的分工，將不同的角色（包括建為角色；最后根據(jù)用戶(hù)工作的分工，將不同的角色（包括系統(tǒng)預(yù)定義的角色）授予各類(lèi)用戶(hù)。如果應(yīng)用系統(tǒng)的規(guī)模很系統(tǒng)預(yù)定義的角色）授予各類(lèi)用戶(hù)。如果應(yīng)用系統(tǒng)的規(guī)模很小，用戶(hù)數(shù)也不多，則可以直接將應(yīng)用的權(quán)限授予用戶(hù)，即小，用戶(hù)數(shù)也不多，則可以直接將應(yīng)用的權(quán)限授予用戶(hù)，即使是這樣，用戶(hù)也必須對(duì)使是這樣，用戶(hù)也必須對(duì)Oracle系統(tǒng)的預(yù)定義角色有所了解。系統(tǒng)的預(yù)定義角色有所了解。

47、角色所對(duì)應(yīng)的權(quán)限集合中可以包含系統(tǒng)權(quán)限和對(duì)象權(quán)角色所對(duì)應(yīng)的權(quán)限集合中可以包含系統(tǒng)權(quán)限和對(duì)象權(quán)限。角色是可以授予另外一個(gè)角色的，需要避免將角色授予限。角色是可以授予另外一個(gè)角色的，需要避免將角色授予它本身，也不能循環(huán)授予。它本身，也不能循環(huán)授予。13.4.2 創(chuàng)建角色創(chuàng)建角色 如果系統(tǒng)預(yù)定義的角色不符合用戶(hù)的需要，數(shù)據(jù)庫(kù)管如果系統(tǒng)預(yù)定義的角色不符合用戶(hù)的需要，數(shù)據(jù)庫(kù)管理員還可以創(chuàng)建更多的角色。創(chuàng)建用戶(hù)自定義角色使用理員還可以創(chuàng)建更多的角色。創(chuàng)建用戶(hù)自定義角色使用CREATE ROLE語(yǔ)句來(lái)實(shí)現(xiàn)。語(yǔ)句來(lái)實(shí)現(xiàn)。第第35頁(yè)頁(yè)創(chuàng)建角色語(yǔ)句的語(yǔ)法格式如下：創(chuàng)建角色語(yǔ)句的語(yǔ)法格式如下：CREATE ROLE

48、 role_name NOT IDENTIFIED IDENTIFIED BY password;對(duì)其中的參數(shù)說(shuō)明如下：對(duì)其中的參數(shù)說(shuō)明如下：l role_name：用于指定自定義角色名稱(chēng)，該名稱(chēng)不能與任：用于指定自定義角色名稱(chēng)，該名稱(chēng)不能與任何用戶(hù)名或其他角色相同。何用戶(hù)名或其他角色相同。l NOT IDENTIFIED：用戶(hù)指定該角色由數(shù)據(jù)庫(kù)授權(quán)，使：用戶(hù)指定該角色由數(shù)據(jù)庫(kù)授權(quán)，使該角色生效時(shí)不需要口令。該角色生效時(shí)不需要口令。l IDENTIFIED BY password：用于設(shè)置角色生效時(shí)的認(rèn)：用于設(shè)置角色生效時(shí)的認(rèn)證口令。證口令。【例例13-10】創(chuàng)建不驗(yàn)證的角色創(chuàng)建不驗(yàn)證的角色d

49、octor_clerkSQLCREATE ROLE doctor_clerk;【例例13-11】創(chuàng)建使用口令驗(yàn)證的角色創(chuàng)建使用口令驗(yàn)證的角色SQLCREATE ROLE unit_clerk IDENTIFIED BY caption;【例例13-12】 創(chuàng)建外部驗(yàn)證的角色創(chuàng)建外部驗(yàn)證的角色SQLCREATE ROLE unit_manager IDENTIFIED EXTERNALLY;第第36頁(yè)頁(yè)13.4.3 角色授權(quán)角色授權(quán) 當(dāng)角色被建立后，沒(méi)有任何權(quán)限，只有對(duì)其授予權(quán)限，當(dāng)角色被建立后，沒(méi)有任何權(quán)限，只有對(duì)其授予權(quán)限，才有使用的意義。因此，在創(chuàng)建角色后，通常還需要立即為才有使用的意義。

50、因此，在創(chuàng)建角色后，通常還需要立即為它授予權(quán)限?？梢酝ㄟ^(guò)給用戶(hù)授權(quán)的它授予權(quán)限。可以通過(guò)給用戶(hù)授權(quán)的GRANT語(yǔ)句給角色授權(quán)，語(yǔ)句給角色授權(quán)，并將角色賦予相應(yīng)的數(shù)據(jù)庫(kù)用戶(hù)。并將角色賦予相應(yīng)的數(shù)據(jù)庫(kù)用戶(hù)。角色權(quán)限的授予與回收和用戶(hù)權(quán)限的授予與回收類(lèi)似，語(yǔ)法角色權(quán)限的授予與回收和用戶(hù)權(quán)限的授予與回收類(lèi)似，語(yǔ)法也與其相同。也與其相同。 【例【例13-13】為】為teller角色授予角色授予CREATE SESSION 和和CREATE DATABASE LINK權(quán)限權(quán)限 SQLGRANT CREATE SESSION, CREATE DATABASE LINK to teller;對(duì)角色授權(quán)后，就可

51、以將角色授予某個(gè)用戶(hù)。對(duì)角色授權(quán)后，就可以將角色授予某個(gè)用戶(hù)。 【例【例13-14】將】將teller角色授予用戶(hù)角色授予用戶(hù)wang SQLGRANT teller TO wang;第第37頁(yè)頁(yè)13.4.4 角色的生效角色的生效/失效失效 當(dāng)某角色生效時(shí)，屬于角色的用戶(hù)可以執(zhí)行該角色所具當(dāng)某角色生效時(shí)，屬于角色的用戶(hù)可以執(zhí)行該角色所具有的所有權(quán)限操作，而當(dāng)某角色失效時(shí)，擁有這個(gè)角色的用有的所有權(quán)限操作，而當(dāng)某角色失效時(shí)，擁有這個(gè)角色的用戶(hù)將不能執(zhí)行該角色的任何權(quán)限操作。因此，通過(guò)設(shè)置角色戶(hù)將不能執(zhí)行該角色的任何權(quán)限操作。因此，通過(guò)設(shè)置角色的生效或失效，可以動(dòng)態(tài)改變用戶(hù)的權(quán)限。的生效或失效，可

52、以動(dòng)態(tài)改變用戶(hù)的權(quán)限。設(shè)置角色生效或失效使用設(shè)置角色生效或失效使用SET ROLE語(yǔ)句，語(yǔ)法格式為：語(yǔ)句，語(yǔ)法格式為：SET ROLE role IDENTIFIED BY password, role IDENTIFIED BY password| ALL EXCEPT role , role| NONE第第38頁(yè)頁(yè)參數(shù)說(shuō)明如下：參數(shù)說(shuō)明如下：l role：是角色的名稱(chēng)；：是角色的名稱(chēng)；l IDENTIFIED BY password：提供角色生效時(shí)所需的口令；：提供角色生效時(shí)所需的口令；l ALL：除了：除了EXCEPT子句中列出的角色外，授予當(dāng)前用子句中列出的角色外，授予當(dāng)前用戶(hù)的全部角

53、色生效；戶(hù)的全部角色生效；l EXCEPT role：這些角色不生效；：這些角色不生效；l NONE：當(dāng)前會(huì)話(huà)的全部角色失效（只有直接授予用戶(hù)的：當(dāng)前會(huì)話(huà)的全部角色失效（只有直接授予用戶(hù)的權(quán)限是可用的）。權(quán)限是可用的）。 角色的生效針對(duì)的是會(huì)話(huà)，在下一個(gè)會(huì)話(huà)中，用戶(hù)的角色的生效針對(duì)的是會(huì)話(huà)，在下一個(gè)會(huì)話(huà)中，用戶(hù)的活動(dòng)角色將默認(rèn)為默認(rèn)角色。活動(dòng)角色將默認(rèn)為默認(rèn)角色。 如果角色設(shè)置了口令，則如果角色設(shè)置了口令，則SET ROLE命令中必須包含命令中必須包含口令才能使角色生效。分配給用戶(hù)的默認(rèn)角色不需要口令，口令才能使角色生效。分配給用戶(hù)的默認(rèn)角色不需要口令，這些角色同沒(méi)有口令的角色一樣在登錄時(shí)生效

54、。這些角色同沒(méi)有口令的角色一樣在登錄時(shí)生效。第第39頁(yè)頁(yè)【例【例13-15】在當(dāng)前會(huì)話(huà)中使角色】在當(dāng)前會(huì)話(huà)中使角色doctor_clerk生效。生效。SQLSET ROLE doctor_clerk; 【例【例13-16】在當(dāng)前會(huì)話(huà)中使除了】在當(dāng)前會(huì)話(huà)中使除了unit_manager之外的所之外的所有角色生效。有角色生效。SQLSET ROLE ALL EXCEPT unit_manager; 【例【例13-17】設(shè)置當(dāng)前用戶(hù)所有角色失效?！吭O(shè)置當(dāng)前用戶(hù)所有角色失效。SQLSET ROLE NONE;13.4.5 修改角色修改角色 修改角色時(shí)，只能修改角色生效或失效時(shí)的認(rèn)證方式，修改角色時(shí)，只

55、能修改角色生效或失效時(shí)的認(rèn)證方式，也就是說(shuō)，是否必須經(jīng)過(guò)也就是說(shuō)，是否必須經(jīng)過(guò)Oracle確認(rèn)才允許對(duì)角色進(jìn)行修改。確認(rèn)才允許對(duì)角色進(jìn)行修改。而且，當(dāng)前用戶(hù)的角色必須通過(guò)而且，當(dāng)前用戶(hù)的角色必須通過(guò)ADMIN選項(xiàng)進(jìn)行授予，或選項(xiàng)進(jìn)行授予，或者當(dāng)前用戶(hù)必須具有者當(dāng)前用戶(hù)必須具有ALTER ANY ROLE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。修改角色的語(yǔ)法：修改角色的語(yǔ)法：ALTER ROLE role NOT IDENTIFIED | IDENTIFIEDBY password | USING package | EXTERNALLY | GLOBALLY;第第40頁(yè)頁(yè)參數(shù)說(shuō)明如下：參數(shù)說(shuō)明如下： l role

56、：角色名稱(chēng)；：角色名稱(chēng)；l NOT IDENTIFIED：表明該角色生效時(shí)，不需要進(jìn)行驗(yàn)：表明該角色生效時(shí)，不需要進(jìn)行驗(yàn)證；證；l IDENTIFIED：表明該角色生效時(shí)，需要進(jìn)行驗(yàn)證；：表明該角色生效時(shí)，需要進(jìn)行驗(yàn)證；l BY password：提供角色生效時(shí)所使用的口令；：提供角色生效時(shí)所使用的口令；l EXTERNALLY：表明該角色生效之前，用戶(hù)必須由外：表明該角色生效之前，用戶(hù)必須由外部服務(wù)（例如操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)）授權(quán)；部服務(wù)（例如操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)）授權(quán)；l GLOBALLY：表明通過(guò)：表明通過(guò)SET ROLE語(yǔ)句使角色生效之語(yǔ)句使角色生效之前或登錄時(shí)，必須由企業(yè)目錄服務(wù)授權(quán)用戶(hù)使用該角色。前或登錄時(shí)，必須由企業(yè)目錄服務(wù)授權(quán)用戶(hù)使用該角色。第第41頁(yè)頁(yè)【例【例13-18】修改角色】修改角色unit_clerk由外部驗(yàn)證。由外部驗(yàn)證。 SQLALTER