《Oracle大型數(shù)據(jù)庫基礎(chǔ)開發(fā)教程》（微課視頻版）課件 第7章 用戶與權(quán)限管理

第7章用戶與權(quán)限管理7.1用戶與方案1.用戶的概念Oracle用戶，通俗地講就是訪問Oracle數(shù)據(jù)庫的“人”。用戶是數(shù)據(jù)庫的使用者和管理者。在Oracle系統(tǒng)中，用戶是允許訪問數(shù)據(jù)庫系統(tǒng)的有效帳戶，是可以對數(shù)據(jù)庫資源進行訪問的實體。Oracle數(shù)據(jù)庫通過創(chuàng)建用戶帳戶并為此帳戶授予相應(yīng)的數(shù)據(jù)庫權(quán)限等安全參數(shù)，用戶才能夠訪問數(shù)據(jù)庫和進行相應(yīng)的操作，每個用戶都有一個口令和相應(yīng)的權(quán)限，使用正確的用戶名、口令才能登錄到數(shù)據(jù)庫中進行數(shù)據(jù)的存取操作，用戶管理是Oracle數(shù)據(jù)庫安全管理的核心和基礎(chǔ)。7.1用戶與方案1.用戶的概念Oracle用戶，通俗地講就是訪問Oracle數(shù)據(jù)庫的“人”。用戶是數(shù)據(jù)庫的使用者和管理者。在Oracle系統(tǒng)中，用戶是允許訪問數(shù)據(jù)庫系統(tǒng)的有效帳戶，是可以對數(shù)據(jù)庫資源進行訪問的實體。Oracle數(shù)據(jù)庫通過創(chuàng)建用戶帳戶并為此帳戶授予相應(yīng)的數(shù)據(jù)庫權(quán)限等安全參數(shù)，用戶才能夠訪問數(shù)據(jù)庫和進行相應(yīng)的操作，每個用戶都有一個口令和相應(yīng)的權(quán)限，使用正確的用戶名、口令才能登錄到數(shù)據(jù)庫中進行數(shù)據(jù)的存取操作，用戶管理是Oracle數(shù)據(jù)庫安全管理的核心和基礎(chǔ)。7.1用戶與方案2.資源的基本概念資源可以有很多方面的理解，如為會話用戶分配的連接、提供的CPU使用率、分配的內(nèi)存空間，以及數(shù)據(jù)庫中的模式對象都可以作為資源進行理解。但是這里講述的資源，主要是數(shù)據(jù)庫系統(tǒng)的實例為用戶分配或者消耗的一些系統(tǒng)資源，如CPU會話時間和分配的SGA空間大小等。Oracle使用概要文件對資源進行管理。概要文件(profile)是一個命名的資源限制的集合，又稱為資源配置文件。分配了概要文件的用戶在使用數(shù)據(jù)庫時，將受到概要文件中所規(guī)定參數(shù)的限制。在Oracle中，每個用戶都必須分配概要文件，或者使用系統(tǒng)分配的一個默認概要文件。實質(zhì)上，概要文件是對資源進行限制的存儲在數(shù)據(jù)字典中的一些記錄的集合，并不是一個普通意義上的文件。

Oracle的概要文件還提供了口令管理的功能。7.1用戶與方案3.模式的概念模式是數(shù)據(jù)庫中某個用戶所擁有的所有對象的集合，這些對象包括表、索引、視圖、觸發(fā)器、序列和存儲過程等數(shù)據(jù)庫對象，而用戶是數(shù)據(jù)庫的使用者。從嚴格的意義上來說，用戶和模式具有不同的定義，但是，實際上在Oracle數(shù)據(jù)庫中，用戶和模式基本處于對等的地位，很多時候，讀者可以忽略它們的差異，不加區(qū)別地使用用戶和模式這兩個概念。在Oracle數(shù)據(jù)庫中，用戶基本上等同于模式基于下面的事實：（1）當用戶被創(chuàng)建時，同名的模式也同時被創(chuàng)建。（2）當用戶被刪除時，同名的模式也同時被刪除。（3）一個用戶只能關(guān)聯(lián)一個模式，并且，用戶和模式具有相同的名稱。在Oracle數(shù)據(jù)庫系統(tǒng)中，用戶和模式可以說是等同的。7.2用戶管理一、Oracle常用用戶1、SYS用戶超級管理員，擁有最高權(quán)限

具有sysdba角色，有createdatabase的權(quán)限該用戶默認的密碼是sys。2、SYSTEM用戶普通管理員，擁有次高權(quán)限具有sysoper角色，沒有createdatabase的權(quán)限默認的密碼是manager。3、SCOTT普通用戶密碼默認為tiger，默認未解鎖二、Oracle用戶創(chuàng)建1、使用SQL命令創(chuàng)建（1）命令:命令格式：CREATEUSER用戶名INDENTIFIEDBY口令[DEFAULTTABLESPACE表空間名][TEMPORARYTABLESPACE表空間名][QUOTA{正整數(shù)[K|M]|UNLIMITED}ON表空間名...][PASSWORDEXPIRE][ACC0UNT{LOCKL|UNLOCK}][PR0FILE環(huán)境文件名|DEFAULT];7.2用戶管理各子句含義：IDENTIFIEDBY子句可為用戶設(shè)置口令DEFAULTTABLESPACE子句可為用戶指定默認表空間，如沒有指定則為SYSTEM作為默認表空間。TMPORARYTABLESPACE子句：為用戶指定臨時表空間，如沒有指定則TEMP為臨時表空間QUOTAn：如果指定了默認表空間之后，一般需使用QUOTA子句來為用戶在默認表空間中分配空間配額。PASSWORDEXPIRE子句：設(shè)置用戶口令的初始狀態(tài)為過期。用戶下次登錄后，口令立即失效，必須為其設(shè)置新口令。ACCOUNTLOCK子句：設(shè)置用戶賬戶的初始狀態(tài)為鎖定，默認為ACCOUNTUNLOCK。7.2用戶管理PROFILE子句：為用戶指定一個概要文件。如果沒有為用戶顯式地指定概要文件，則Oracle將自動為其指定DEFAULT概要文件。7.2用戶管理（2）舉例只有管理員（或具有創(chuàng)建用戶權(quán)限的用戶）才能創(chuàng)建新用戶，要先以管理員用戶連接到數(shù)據(jù)庫，才能創(chuàng)建用戶例1：CONNECTSYS/Oracle11assysdbaCREATEUSERUSER1IDENTIFIEDbya1234;執(zhí)行：CONNECTUSER1/a1234?7.2用戶管理例2：密碼失效CREATEUSERUSER2IDENTIFIEDbya1234PASSWORDEXPIRE執(zhí)行：CONNECTUSER2/a12347.2用戶管理例3：用戶鎖定CREATEUSERUSER3IDENTIFIEDbya1234ACCOUNTLOCK執(zhí)行：CONNECTUSER2/a12347.2用戶管理四、修改用戶1、使用命令修改命令：ALTERUSER用戶名……例1:修改用戶USER1的密碼ALTERUSERUSER1IDENTIFIEDBYoracle執(zhí)行：CONNECTUSER1/a12347.2用戶管理例2:修改用戶USER1的密碼過期ALTERUSERUSER1PASSWORDEXPIRE;執(zhí)行：CONNECTUSER1/oracle例3：解除USER3的賬戶鎖定ALTERUSERUSER3accountUNLOCK執(zhí)行：CONNECTUSER3/a12347.2用戶管理7.2用戶管理五、刪除用戶1、命令DROPUSER用戶名[CASCADE]執(zhí)行該語句的用戶必須具有DROPUSER系統(tǒng)權(quán)限如果要刪除的用戶模式中包含模式對象，則必須在DROPUSER子句中指定CASCADE關(guān)鍵字，否則Oracle將返回錯誤信息。如果用戶當前正連接到數(shù)據(jù)庫，則不能刪除這個用戶例：查看有哪些用戶：SELECTUSERNAMEFROMDBA_USERSdropUSERUSER3一、用戶權(quán)限1、權(quán)限的含義權(quán)限是用戶對數(shù)據(jù)庫所能執(zhí)行的行為如果沒有對新戶授予一定的權(quán)限，則用戶不能執(zhí)行任何操作因此首先需要給用戶授予基本的權(quán)限，這樣用戶才能夠登錄數(shù)據(jù)庫，進而在所屬方案中進行創(chuàng)建、刪除、修改數(shù)據(jù)庫對象等操作如果不允許進行相應(yīng)操作，可以通過回收其權(quán)限來達到對數(shù)據(jù)庫相應(yīng)的安全控制。7.3權(quán)限管理2、權(quán)限分類：系統(tǒng)權(quán)限：系統(tǒng)規(guī)定用戶使用數(shù)據(jù)庫的權(quán)限。（系統(tǒng)權(quán)限是對用戶而言)實體權(quán)限（或?qū)ο髾?quán)限）：某種用戶對其它用戶的表或視圖的存取權(quán)限。（是針對表或視圖而言的）7.3權(quán)限管理3、常用的系統(tǒng)權(quán)限D(zhuǎn)BA:擁有全部特權(quán)，是系統(tǒng)最高權(quán)限，只有DBA才可以創(chuàng)建數(shù)據(jù)庫結(jié)構(gòu)。RESOURCE:擁有Resource權(quán)限的用戶只可以創(chuàng)建實體，不可以創(chuàng)建數(shù)據(jù)庫結(jié)構(gòu)。CONNECT:擁有Connect權(quán)限的用戶只可以登錄Oracle，不可以創(chuàng)建實體，不可以創(chuàng)建數(shù)據(jù)庫結(jié)構(gòu)。7.3權(quán)限管理其他的權(quán)限CREATESESSION：允許用戶登錄CREATEUSER:創(chuàng)建用戶權(quán)限說明對于普通用戶：授予connect,resource權(quán)限。對于DBA管理用戶：授予connect，resource,dba權(quán)限。7.3權(quán)限管理4、系統(tǒng)權(quán)限授權(quán)命令：GRANTSYSTEM_PRIV[,SYSTEM_PRIV,...]TO{PUBLIC|ROLE|USER}[,PUBLIC|ROLE|USER}]...[WITHADMINOPTION]7.3權(quán)限管理各字句的含義：SYSTEM_PRIV：表示要授予的系統(tǒng)權(quán)限的名稱，該選項允許為用戶同時授予多個系統(tǒng)權(quán)限，之間用逗號隔開。USER：表示獲得該系統(tǒng)權(quán)限的用戶名稱，該選項允許同時為多個用戶授予相同的權(quán)限，之間用逗號隔開。ROLE：表示被授予的角色。PUBLIC:表示對系統(tǒng)中所用用戶授權(quán)，可以使用它為系統(tǒng)中的每個用戶快速設(shè)定權(quán)限。WITHADMINOPTION：它是可選項，表示將系統(tǒng)權(quán)限授予某個用戶后，該用戶不僅獲得該權(quán)限的使用權(quán)，還獲得該權(quán)限的管理權(quán)，包括可以將該權(quán)限繼續(xù)授予其它用戶，或從其它用戶處回收該權(quán)限。該選項的影響力較大，要慎重使用。7.3權(quán)限管理例1：授予用戶USER1的connect權(quán)限CONNECTUSER1/1234;CONNECTSYS/Oracle11ASSYSDBA;GRANTCONNECTTOUSER1再執(zhí)行：CONNECTUSER1/1234;7.3權(quán)限管理例2：授予用戶USER2登錄的權(quán)限，USER2并能把該權(quán)限授予其他人CONNECTUSER2/1234;CONNECTSYS/Oracle11ASSYSDBA;Createuseruser4IDENTIFIEDBY1234;GRANTCREATESESSIONTOUSER2WITHADMINOPTION再執(zhí)行：CONNECTUSER4/1234;再執(zhí)行：CONNECTUSER2/1234;GRANTCREATESESSIONTOUSER4再執(zhí)行：CONNECTUSER4/1234;7.3權(quán)限管理例3：授予用戶USER4具有DBA的權(quán)限CONNECTSYS/Oracle11ASSYSDBA;GRANTconnect,resource,createuserTOUSER4CONNECTUSER4/1234;createUSERUSER5IDENTIFIEDBY12347.3權(quán)限管理用戶權(quán)限的查詢select*fromdba_sys_privswheregrantee=‘用戶名’;7.3權(quán)限管理7.3權(quán)限管理5、系統(tǒng)權(quán)限回收命令：REVOKESYSTEM_PRIV[,SYSTEM_PRIV,...]FROM{PUBLIC|ROLE|USER}[,USER|ROLE|PUBLIC]]...具有回收權(quán)限的用戶才能回收權(quán)限例：把USER4的resource權(quán)限收回CONNECTSYS/Oracle11ASSYSDBA;REVOKEcreateuserFROMUSER4;CONNECTUSER4/1234;執(zhí)行：createUSERUSER6IDENTIFIEDBY1234二、對象權(quán)限1、對象權(quán)限的含義對象權(quán)限是指訪問其他用戶模式對象的權(quán)力。Oracle數(shù)據(jù)庫中總共有9種不同的對象權(quán)限。常用的對象權(quán)限包括對某個數(shù)據(jù)庫對象中數(shù)據(jù)的查詢、插入、修改、刪除等權(quán)限。

對于表TABLE對象而言，ALL表示ALTER、DELETE、INDEX、SELECT、INSERT、UPDATE、REFERENCES權(quán)限對于PROCEDURE存儲過程，ALL表示EXECUTE權(quán)限7.3權(quán)限管理權(quán)限名稱適應(yīng)的對象類型表視圖序列進程快照SELECT

****INSERT

**UPDATE

**DELETE

***EXECUTE

*ALTER

**INDEX

*REFERENCES*2、常用的權(quán)限7.3權(quán)限管理3、授權(quán)命令GRANT

object_privilege[,object_privilege]ONobject_nameTOuser_name[,user_name][WITH

GRANT

OPTIONJ例：SCOTT用戶授予用戶USER1對表EMP的

查詢權(quán)限CONNECTUSER1/1234;SELECT*FROMSCOTT.EMP;CONNECTSCOTT/tiger;GRANTSELECTONEMPTOUSER1;CONNECTUSER1/1234;SELECT*FROMSCOTT.EMP;7.3權(quán)限管理4、回收權(quán)限命令：

REVOKEobject_privilege[,object_privilege]ONobject_nameFROMuser_name[,user_name];例:SCOTT把user1用戶對EMP的查詢權(quán)限收回CONNECTSCOTT/tiger;REVOKESELECTONempFROMUSER1;CONNECTUSER1/1234;SELECT*FROMSCOTT.EMP;7.3權(quán)限管理7.4角色管理一、角色1、含義是一組系統(tǒng)權(quán)限和對象權(quán)限的集合。Oracle數(shù)據(jù)庫中引入角色的概念是為了簡化數(shù)據(jù)庫權(quán)限的管理。7.4角色管理2、引入角色優(yōu)點：減少權(quán)限管理的工作量。實現(xiàn)動態(tài)權(quán)限管理。權(quán)限的選擇具有可用性和靈活性。應(yīng)用安全性。

7.4角色管理3、角色的分類系統(tǒng)預(yù)定義角色CONNECT:連接到數(shù)據(jù)庫,最終用戶角色.RESOURCE:申請資源創(chuàng)建對象,開發(fā)人員角色.DBA:具有全部系統(tǒng)權(quán)限,可以創(chuàng)建數(shù)據(jù)庫.例1：查詢當前數(shù)據(jù)庫的所有預(yù)定義角色。select*fromdba_roles;例2：grantresourcetohr_user1;7.4角色管理自定義角色以SYS用戶登錄命令：CREATEROLErole_name[IDENTIFIEDBYPASSWORD][NOTIDENTIFIED]例：CREATEROLEtestrole;7.4角色管理4、角色授權(quán)和回收權(quán)限(1)為角色授予系統(tǒng)權(quán)限GRANT

system_privilege[,system_privilege]

TO

role_name

(2)為角色授予對象權(quán)限GRANT

object_privilege

[,object_privilege]

ON

object_name

TO

role_name

(3)回收角色的系統(tǒng)權(quán)限REVOKE

system_privilege[,system_privilege]

FROM

role_name

(4)回收角色的對象權(quán)限REVOKE

object_privilege[,object_privilege]

ON

object_name

FROM

role_name

7.4角色管理例：GRANT

CREATE

SESSION

TO

testrole

;GRANT

SELECT

ON

scott.emp

TO

testrole;

7.4角色管理4、

將角色授予用戶將角色授予用戶的命令與授予權(quán)限的命令基本相同，格式如下：GRANT

role_name

TO

user_name

例：GRANT

RESOURCE,testrole

TO

user1;

7.4角色管理5、刪除角色DROP

ROLE

role_name例：DROPROLEtestrole

7.5概要文件管理1、概要文件的概念概要文件（PROFILE）是數(shù)據(jù)庫和系統(tǒng)資源限制的集合。當數(shù)據(jù)庫系統(tǒng)運行時，實例可為用戶分配一些系統(tǒng)資源。如CPU的使用、分配SGA的空間大小、連接數(shù)據(jù)庫的會話數(shù)、用戶口令期限等，這些都可以看成數(shù)據(jù)庫系統(tǒng)的資源。Oracle系統(tǒng)對用戶使用的系統(tǒng)資源可以通過概要文件來管理，如限制用戶使用的系統(tǒng)和數(shù)據(jù)庫資源，并管理口令。Oracle中有一個默認的概要文件DEFAULT，該概要文件對資源的使用進行一定的限制，但限制比較少。如果創(chuàng)建新用戶時沒有分配概要文件，那么Oracle將自動把默認的概要文件分配給它。多數(shù)情況下，管理員需要建立一些專門的概要文件，以限制用戶所使用的資源，使Oracle數(shù)據(jù)庫更安全。7.5概要文件管理2、概要文件參數(shù)資源限制的參數(shù)CPU_PER_SESSION表明了每次會話期間所允許的總的CPU執(zhí)行時間。如果超過這值，那么用戶將不能執(zhí)行任何語句，而只能通過斷開,重新連接數(shù)據(jù)庫。CPU_PER_CALL表明了每次語句執(zhí)行期間所允許的總的CPU執(zhí)行時間。如果超過這值用戶只需要重新提交語句。CONNECT_TIME限制了用戶每次會話所允許的與數(shù)據(jù)庫的連接時間,超過這個時間限制，數(shù)據(jù)庫將斷開與用戶的連接。IDLE_TIME限制了用戶在會話期間所允許的空閑時間(即用戶不執(zhí)行任何操作的時間)，超過這個時間限制，數(shù)據(jù)庫將斷開與用戶的連接。SESSIONS_PER_USER限制了每個用戶允許并發(fā)的會話數(shù)量，當使用同一個用戶名的會話數(shù)量達到此參數(shù)的值時，將不允許此用戶再與數(shù)據(jù)庫建立新的連接。LOGICAl_READS_PER_SESSION限制用戶在一個會話中所能執(zhí)行的最大的邏輯讀操作的數(shù)量。這里的邏輯讀是指以讀出數(shù)據(jù)庫的一個塊大小的數(shù)據(jù)的操作。用戶進行邏輯讀操作的數(shù)量達到此參數(shù)的值時，將不能執(zhí)行邏輯讀操作，如查詢。LOGICAL_READS_PER_CALL限制了用戶在每次語句執(zhí)行期間所允許的最大的邏輯讀操作的數(shù)量。當此次語句執(zhí)行時的邏輯讀超過了此參數(shù)的值，則此語句執(zhí)行被終止。PRIVATE_SGA限制了用戶在會話期間所能分配的SGA內(nèi)存空間的大小。這個參數(shù)對用戶的執(zhí)行效率影響很大。COMPOSITE_LIMIT是Oracle提供的一個綜合的限制參數(shù)，也稱為組合限制，它的值表明了前面的所有參數(shù)的加權(quán)值的總和不能超過此參數(shù)所設(shè)置的值。7.5概要文件管理2、概要文件參數(shù)

啟用和停用資源限制每個用戶都必須分配概要文件或者使用默認的概要文件，但是這些概要文件的設(shè)置是否生效，與初始化參數(shù)文件中的參數(shù)RESOURCE_IMIT的設(shè)置有關(guān)。當RESOURCE_IMIT為TRUE時，系統(tǒng)啟用概要文件，實施資源限制。當RESOURCE_LIMIT為FALSE時，系統(tǒng)停用概要文件，不實施資源限制。修改初始化參數(shù)文件中的RESOURCE_IMIT參數(shù)設(shè)置，可以影響下一次數(shù)據(jù)庫啟動時是否實施資源限制。如果用戶想在數(shù)據(jù)庫打開時更改啟用或者停用資源限制，執(zhí)行以下語句將停用資源限制：

ALTERSYSTEMSETRESOURCE_LIMIT=TRUE；7.5概要文件管理3、

管理概要文件創(chuàng)建概要文件創(chuàng)建概要文件，必須具有CREATEPROFILE系統(tǒng)權(quán)限。例：

CREATEPROFILEPROFILE_HRLIMITSESSIONS_PER_USER4CPU_PER_SESSIONunlimitedCPU_PER_CALL600IDLE_TIME30CONNECT_TIME300

對于CREATEPROFILE語句中沒有指定的參數(shù)，將使用DEFAULT概要文件中的對應(yīng)參