Oracle用户角色与权限控制.ppt

用户角色与权限控制,每次登录Oracle数据库，用户和密码是最基本的信息。当使用特定的用户登录数据库时，该用户便具有自己的特点和操作权限。角色则是权限的集合，角色可以分配给用户，相当于一次性将某个特定权限集合分配给用户。Oracle正是通过这三个重要的对象来实现数据库操作的安全策略。用户及用户的创建；权限及权限的分配；角色及角色的使用。,12.1用户,用户是数据库中最基本的对象之一。在前面的内容中，登录数据库一直使用了system用户。而该用户是管理员级别的用户，拥有数据库大多数对象的操作权限。在正式开发过程中，使用该用户将是不安全的。一旦操作失当，有可能对数据库造成严重损害。本节将讲述Oracle中用户的基本情况和如何创建用户。,12.1.1Oracle中的用户,Oracle中的用户可以分为两类：一类是Oracle数据库创建时，由系统自动创建的用户，称为系统用户，如sys和system；另一类用户是利用系统用户创建的用户，称为普通用户。可以通过查询视图dba_users来查看当前数据库的所有用户状况。selectusername,account_status,default_tablespace,temporary_tablespacefromdba_users,12.1.2创建新用户,可以在Oracle中创建新的用户。创建用户应该使用createuser命令，在创建普通用户的同时，应为其分配一个具体的表空间。createusertigeridentifiedbyabcdefaulttablespaceusersselectusername,account_status,default_tablespace,temporary_tablespacefromdba_userswherelower(username)=tiger;,12.1.3用户与模式（Schema）,模式是指用户所拥有的所有对象的集合。这些对象包括：表、索引、视图、存储过程等。每个用户都会有独立的模式信息。当然，对于新建用户，在没有创建任何对象时，所拥有的对象集合为空，Schema同样为空。但是，Schema必须依赖于用户的存在而存在，即不存在不属于任何用户的Schema对象。selectsys_context(userenv,current_user)current_user,sys_context(userenv,current_schema)current_schemafromdual;createtabledual(testdatavarchar2(20);Select*fromdual;select*fromsys.dual;,12.1.4系统用户sys和system,系统用户sys和system是Oracle数据库常用的两个系统用户。其中sys是Oracle数据库中最高权限用户，其角色为SYSDBA（数据库管理员）；而system用户的权限仅次于sys用户，其角色为SYSOPER（数据库操作员）。在权限的范围上，sys可以创建数据库，而system则不可以。system用户密码丢失是一个常见问题。例如，当多次输入错误的密码之后，Oracle会锁定system账号，不允许用户再次登录。sqlplus/ORCLassysdbashowparameterdb_name;selectusername,account_statusfromdba_userswherelower(username)=system;alterusersystemaccountunlock;alterusersystemidentifiedbyabc123;,12.2权限,权限（Privilege）的最终作用对象是用户。即所有用户在数据库内的操作对象和可执行的动作都是受到限制的。Oracle中共有两种权限：系统权限和对象权限。,12.2.1系统权限,1获得系统权限的相关信息selectdistinctprivilegefromdba_sys_privs;2为用户分配权限sqlplustiger/abctestgrantcreatesessiontotiger;createtabletiger(namevarchar2(20);grantcreatetabletotiger;alterusertigerquota10Monusersquota2Montemp;select*fromdba_sys_privswherelower(grantee)=tiger;3收回用户的系统权限revokecreatetablefromtiger;createtabletest(test_datavarchar2(2);,12.2.2对象权限,对象权限是指用户对已有对象的操作权限。这些权限包括以下几种：select：可用于查询表、视图和序列。insert：向表或视图中插入新的记录update：更新表中数据delete：删除表中数据execute：函数、存储过程、程序包等的调用或执行index：为表创建索引references：为表创建外键alter：修改表或者序列的属性,12.2.2对象权限,1为用户赋予select权限grantselectont_employeestotiger;2为用户赋予insert权限3为用户赋予update权限4为用户赋予all权限selecttable_name,grantee,grantor,privilegefromdba_tab_privswheretable_name=T_EMPLOYEES;5收回用户的对象权限revokeselectont_employeesfromtiger;,12.3角色,虽然可以利用grant命令为所有用户分配权限，但是如果数据库的用户众多，而且权限关系复杂，那么为用户分配权限的工作量将变得十分巨大。因此，Oracle提出了角色的概念。角色是指系统权限或者对象权限的集合。Oracle允许首先创建一个角色，然后将角色信息赋予用户，从而间接地将权限信息添加给用户。因为角色的可复用性，因此，可以将角色再次分配给其他用户，从而减少了重复工作。就角色的创建来说，可以利用继承的特性，从简单的角色衍生出复杂的角色，这无疑大大提高了权限分配工作的效率。,12.3.1创建和使用角色,创建角色可以使用命令createrole，并可以利用grant命令为角色分配权限，最后将角色信息赋予用户。createrolerole_employee;grantselectont_employeestorole_employee;selecttable_name,grantee,grantor,privilegefromdba_tab_privswheretable_name=T_EMPLOYEES;grantrole_employeetotigerselect*fromsystem.t_employeesorderbyemployee_id;,12.3.2继承角色,角色继承是指一个角色可以继承其他角色的权限信息，从而减少自身使用grant的机会。createrolerole_hr;grantrole_employeetorole_hr;grantupdate,insertont_employeestorole_hr;selecttable_name,grantee,grantor,privilegefromdba_tab_privswheretable_name=T_EMPLOYEES;createusercatidentifiedbyabc;grantcreatesessiontocat;grantrole_hrtocat;updatesystem.t_employeessetstatus=CXLwhereemployee_id=13;,12.3.3禁用和启用角色,每个用户登录数据库时，都可以获得其默认角色。可以通过查询视图session_roles来获得当前会话下该用户的默认角色。管理员可以禁用用户的默认角色，一旦禁用，则用户从该角色获得的权限将不再有效。alterusercatdefaultrolenone;select*fromsession_roles;select*fromsystem.t_employeesorderbyemployee_id;setrolerole_hr;select*fromsession_roles;select*fromsystem.t_employeesorderbyemployee_id;,12.4本章实例,Oracle数据库内置了几个默认角色。这些角色包括：RESOURCE、CONNECT和DBA。在许多应用系统的开发中，往往为开发人员创建一个新的用户，并为该用户分配CONNECT和RESOURCE角色。本节将查看这两种角色的主要权限。select*fromdba_sys_privswherelower(grantee)=connect;select*fromdba_sys_privsw