Oracle数据库基础应用02.ppt

第二章,Oracle数据库安全,目标,了解 ：Oracle数据库的基本安全体系，基本的数据库管理知识，数据字典。 理解：Oracle数据库安全体系的基本元素及相互关联，Oracle数据库管理与应用的相关知识。 掌握：数据库安全基本要素如：账户、权限、角色。,概述、专业术语,在当今信息领域，数据库的安全性是至关重要的。 本章从Oracle数据库的角度讲解信息领域中数据库的安全要素：数据库账户、密码、权限控制、角色控制等 术语词汇表 定义在此章节中使用的术语,Oracle用户管理,当使用Oracle客户端访问Oracle数据库时必须提供密码和帐号,用户（User）是定义在数据库中的一个名称，是Oracle的基本访问控制机制 。,Oracle用户管理,用户与模式,模式(Schema)是用户所拥有对象的集合,用户与模式是一一对应的关系，并且二者名称相同,Oracle用户管理,建立用户：数据库验证 Oracle中的用户主要由DBA来创建，使用CREATE USER命令 其他用户需要有CREATE USER系统权限才能创建新用户 Oracle采用数据库验证方式,Oracle用户管理,建立用户的语法：,CREATE USER 自定义用户名 IDENTIFIED BY 帐户密码 DEFAULT TABLESPACE 表空间名 TEMPORARY TABLESPACE 临时表空间名 QUOTA 使用空间大小 ON 表空间名；,建立用户示例：,CREATE USER test IDENTIFIED BY test DEFAULT TABLESPACE users_ts TEMPORARY TABLESPACE temp_ts QUOTA 3m ON users_ts ；,Oracle用户管理,连接到数据库执行初步操作,-给数据库帐户授予会话权限 SQLconnect system/manager SQLgrant create session to test SQLconnect test/test,新建的用户在创建初无任何权限，需要授予create session权限才能连接到Oracle,-给数据库帐户授予create table的权限 SQLconnect system/manager SQLgrant create table to test SQLconnect test/test SQLcreate table ,Oracle用户管理,特权用户：具有特殊权限的数据库用户(如：SYSDBA 或 SYSOPER ) 特权用户主要执行数据库维护操作： 启动和关闭Oracle Server 建立数据库 备份和恢复数据库等,Oracle用户管理,修改用户,-修改用户口令 CONNECT test/testtest ALTER USER test IDENTIFIED BY test;,-修改用户空间配额 sqlplus system/managertest SQLALTER USER test QUOTA 10m ON users_ts,用户的信息一般由DBA来修改 用户口令可以由用户自身修改,Oracle用户管理,删除用户,DROP USER test ;,删除用户一般是由DBA来完成. 如果模式中包含有数据库对象，则必须带有CASCADE选项.,DROP USER test CASCADE ;,管理权限,权限(privilege)：执行特定类型的SQL命令或访问其他模式对象的权利。它限制用户可执行的操作 。 权限包括： 系统权限(system privilege) 对象权限(object privilege),系统权限,系统权限：执行特定类型SQL命令的权限,Oracle中包含了一类ANY系统权限，当用户具有该类权限时，可以在任何模式中执行相应的操作,系统权限,初始用户没有任何权限，需要由DBA(或有DBA权限的用户)授予系统权限 授予系统权限语法：,grant 系统权限列表(多个权限用“,”分隔) to 用户,sqlplus system/managertest SQLgrant create session, create table to test ;,授权示例：,系统权限,回收系统权限,revoke 系统权限列表 from 用户,sqlplus system/managertest SQLrevoke create session, create table from test;,回收权限示例：,系统权限,显示当前用户和当前会话的系统权限,GRANTEE：权限拥有者 PRIVILEGE：权限名称,对象权限,对象权限：访问其它模式对象的权利。它用于控制一个用户对另一个用户的访问,Oracle中常用对象权限： SELECT INSERT UPDATE DELETE EXECUTE,对象权限,授予对象权限,GRANT 权限列表 ON 对象 TO 帐户 ;,示例：,SQLconnect b/b -连接B帐户 SQLGRANT SELECT, INSERT ON TX TO A;,对象权限,回收对象的权限,REVOKE 权限列表 ON 对象 FROM 帐户 ;,示例：,connect b/b -连接B帐户 REVOKE SELECT, INSERT ON TX FROM A;,对象权限,显示当前用户所具有的对象权限,select * from user_tab_privs GRANTEE OWNER TABLE_NAME GRANTOR PRIVILEGE - TEST SYSTEM TEMP TEST SELECT,管理角色,角色：权限的集合。角色的目的：简化权限管理。,四种权限授予三个账户需要执行大量的授权过程,步骤： 1.创建角色，把单个的权限赋值给角色 2.把角色赋给不同的用户,管理角色,Oracle预定义角色,管理角色,创建角色,CREATE ROLE 自定义角色名字;,示例：,CREATE ROLE test_role ;,管理角色,给角色授权,GRANT 权限列表 TO 自定义角色名字;,示例：,GRANT CRAETE SESSION, CREATE TABLE TO test_role;,使用角色给用户授权,GRANT 角色列表 TO 自定义用户名字;,示例：,GRANT test_role TO test ;,管理角色,删除角色,DROP ROLE 自定义角色名字;,示例：,DROP ROLE test_role ;,数据字典,数据字典是Oracle的最重要组成部分，它用于提供数据库的相关信息。 数据字典主要是由表和视图组成 数据字典中的表是不能直接被访问的，但可以访问数据字典中的视图 数据字典的维护和修改是由系统自动完成的，用户只能执行SELECT查询系统信息 数据字典属于SYS模式，并且存放在表空间SYSTEM。 Oracle中的数据字典有静态和动态之分,静态数据字典,静态数据字典中的视图分为三类 user_* (当前用户所拥有对象的信息) all_* (当前用户能够访问的对象的信息 ) dba_* (数据库中所有对象的信息,需要有DBA权限才能访问 ),静态数据字典,常用的静态视图示例：,select * from user_users,user_users 描述当前用户的信息，包括用户名、帐户id、帐户状态、表空间名、创建时间等,select * from user_tables,user_tables 描述当前用户拥有的所有表的信息，主要包括表名、表空间名、簇名等,select object_type, status from user_objects where object_name = upper(package1),user_objects 当前用户拥有的所有对象的信息，包括表、视图、存储过程、触发器、索引等,动态数据字典,动态数据字典(通常称为：动态性能视图 )，由系统管理员维护(如：SYS) 当数据库运行的时候它们会不断进行更新 只能对其进行只读访问而不能修改它们 动态性能视图都是以v$开头的视图,静态数据字典,常用的动态性能视图：,v$access 显示数据库中锁定的数据库对象以及访问这些对象的会话对象(session),v$session 列出当前会话的详细信息。 该视图字段较多，要查看视图结构可使用语句： desc v$session,v$context 列出当前会话的