第二章Oracle的用户和方案

1、第二章第二章Oracle的用户、方案和权的用户、方案和权限限本章要点本章要点 用户与方案的概念用户与方案的概念创建创建/管理用户管理用户系统权限和对象权限系统权限和对象权限角色角色2.1 用户与方案用户与方案用户：即用户：即user，通俗的讲就是访问，通俗的讲就是访问Oracle数据库的数据库的“人人”。方案：一系列逻辑数据结构或对象的集合。方案：一系列逻辑数据结构或对象的集合。Oracle数据库的每一个用户有拥有一个唯一的方案。数据库的每一个用户有拥有一个唯一的方案。2.2 用户创建用户创建1. 使用使用SQL命令创建新用户命令创建新用户CREATE USER user_nameIDENTI

2、FIED BY passwordDEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE tablespace_nameQUOTA quota_numberK|M | UNLIMITED ON tablespace_namePROFILE profile_namePASSWORD expireACCOUNT lock|unlockuser_name：新创建的用户名称：新创建的用户名称Password:为新用户指定的密码为新用户指定的密码DEFAULT TABLESPACE:为新用户制定默认表空间，用来存储该用户创建的方案为新用户制定默认表空

3、间，用来存储该用户创建的方案 对象。缺省该参数时默认表空间为对象。缺省该参数时默认表空间为system 。TEMPORARY TABLESPACE：为新用户指定临时表空间，存储操作过程中：为新用户指定临时表空间，存储操作过程中 产生的临时数据。缺省该参数时临时表空间为产生的临时数据。缺省该参数时临时表空间为tempQUOTA：为新用户指定配额，在指定的表空间可以占用的最大磁盘空间。：为新用户指定配额，在指定的表空间可以占用的最大磁盘空间。 单位单位K或或M，UNLIMITED表示该用户可以使用无限大空间。表示该用户可以使用无限大空间。PROFILE：指定用户使用的配置文件（概要文件），缺省该项

4、，使用默认配置文件。：指定用户使用的配置文件（概要文件），缺省该项，使用默认配置文件。PASSWORD expire: 表示密码过期，登入后需要给出新密码。表示密码过期，登入后需要给出新密码。ACCOUNT lock|unlock:表示用户的状态，表示用户的状态，lock为加锁状态不能连接数据库；为加锁状态不能连接数据库； unlock 为解锁状态，允许连接数据库。缺省该项，为解锁状态，允许连接数据库。缺省该项， unlock 状态。状态。一些例子：一些例子：1. 创建新用户wang ，密码为12345。CREATE USER wang IDENTIFIED BY 12345; 2. 创建新用

5、户scott，密码为abcde，表空间为users，配额50M。 CREATE USER scott IDENTIFIED BY abcdeDEFAULT TABLESPACE usersQUOTA 50M ON users;3. 创建新用户tiger，密码为ABCDE，并设置密码已过期，状态为加锁。 CREATE USER tiger IDENTIFIED BY ABCDEPASSWORD expireACCOUNT lock;2. 使用使用 PL/SQL创建新用户创建新用户2.3 授权用户授权用户新创建的用户对数据库是没有任何操作权限的，即使是连接数据库也不允许。新创建的用户对数据库是没有

6、任何操作权限的，即使是连接数据库也不允许。授权格式：GRANT 角色角色|权限权限 TO 用户用户 with admin option例子：1. 为新用户 wang授予和数据库建立会话的系统权限。GRANT CREATE SESSION TO wang;2. 为新用户wang授予和数据库建立会话的角色。 GRANT CONNECT TO wang with admin option;3. 用户用户wang连接数据库。连接数据库。CONNECT wang/12345;CONN wang/12345;CONN wang/12345 as SYSDBA;sysdbasysdba： 即数据库管理员，权

7、限包括：打开数据库服务器、关闭数据库服务器、备份数据库、恢复数据库、日志归档、会话限制、管理功能、创建数据库。sys 用户必须用 sysdba 身份才能登录，system 用户可以用普通身份登录。sysopersysoper：即数据库操作员，权限包括：打开数据库服务器、关闭数据库服务器、备份数据库、恢复数据库、日志归档、会话限制。normalnormal：即普通用户，权限只有查询某些数据表的数据。默认的身份是 normalOracle连接身份：连接身份：SYSDBA、SYSOPER、NORMAL2.4回收和修改操作 回收操作：REVOKE 角色|权限 FROM 用户REVOKE CREATE

8、SESSION FROM wang;REVOKE RESOURCE FROM scott;修改操作：ALTER USER 用户 修改项 例子：1. 修改用户密码 ALTER USER wang IDENTIFIED BY 11111; 2. 修改用户状态 ALTER USER wang ACCOUNT lock;Oracle系统权限对象权限Oracle数据库数据库wang用户scott用户表索引视图表触发器视图wang方案方案scott方案方案想访问scott用户的表emp该怎么做？为简化管理出为简化管理出现了角色，现了角色，在在Oracle中有中有20几种角色。几种角色。权限的集合权限的集合

9、select * from dba_roles; 角色角色1.什么是系统权限什么是系统权限2.系统权限有哪些系统权限有哪些3.如何赋予系统权限如何赋予系统权限1.什么是对象权限什么是对象权限2.对象权限有哪些对象权限有哪些3.如何赋予对象权限如何赋予对象权限a. 系统权限是指执行特定类型SQL命令的权利。它用于控制用户可以执行的一个或一组数据库操作。例如：用户wang具有create table权限时，就可以在它的方案中建表； 该用户如果有create any table权限时，可以在其它方案中建表。常用的权限有：Create sessionCreate viewCreate procedur

10、eCreate tableCreate public synonymCreate triggerDrop user显示系统权限显示系统权限查询数据字典system_privilege_mapselect * from system_privilege_map order by name;系统权限例子:1、创建两个用户、创建两个用户wang1、wang2conn system/admin;create user wang1 idendified by 123;create user wang2idendified by 321;此时用户wang1和wang2还不能连接到数据库。2、给、给 wan

11、g1授权权限授权权限grantcreate session, create table to wang1 with admin option;/这意味wang1可以给其他用户继续授权grant create view towang1;3、wang1给给wang2授权授权connwang1/123;grant create session, create table to wang2 ;grant create view to wang2;没有权限！4、回收系统权限、回收系统权限使用revoke命令，注意系统权限的级联回收问题【不是级联回收】conn system/admin;revokecre

12、ate session from wang1;思考：wang2还能登陆吗？b.对象权限对象权限指访问其它方案对象的权限。比如wang1用户要访问wang2.emp表，必须在emp表上具有对象权限。常用的有：alterdelete select insert update index reference execute1、显示对象权限、显示对象权限可以显示用户所具有的对象权限，视图dba_tab_privsselect distinct privilege from dba_tab_privs;selectgrantor ,owner,table_name,privilege from dba_

13、tab_privs where grantee=WANG;授予对象权限授予对象权限对象权限可以授予用户、角色和public。授予用户的时候可以用withgrant option但是授予角色的时候不可以用。1、wang1用户操作用户操作wang2.emp表，则必须授与相应的对象权限表，则必须授与相应的对象权限:connsystem/admin as sysdba;create user wang1 identified by 123;grantconnect to wang1;grant resource to wang1;conn wang1/123;select * from wang2.e

14、mp;报错，表或者视图不存在(1)wang1用户查询用户查询wang2.emp表数据，如何执行？表数据，如何执行？grant select on emp to wang1;select * from wang2.emp;(2)wang1用户修改用户修改wang2.emp表数据，如何执行？表数据，如何执行？grant update on emp to wang1;(3)monkey用户删除用户删除scott.emp表数据，如何执行？表数据，如何执行？grant delete on emp to wang1;(4)一次把所有权限赋给一次把所有权限赋给wang1?grant all on emp t

15、o wang1;2、对wang1访问权限更加精细控制(1)wang1只可以修改wang2.emp的表的age字段，怎么操作？grant update on emp(age) to wang1;(2)wang1只可以查询wang2.emp的表的name,age数据，怎么操作？grant select on emp(name,age) to wang1;3、授予、授予alter权限权限wang1要修改要修改wang2.emp表则必须授予表则必须授予alter对象权限对象权限grant alter on emp to wang1;conn wang1/123;alter table wang2.em

16、p drop COLUMN age;alter table wang2.emp add age int;4、授予、授予execute权限权限wang1想要执行其他方案的包想要执行其他方案的包/过程过程/函数函数,则须有则须有execute权限权限grant execute on dbms_transaction(包包) to wang1;5、授予、授予index权限权限想在别的方案的表上建立索引想在别的方案的表上建立索引grant index on scott.emp to wang1;6、使用使用with grant option选项选项grant select on emp to wang

17、1 with grant option;conn wang1/123;grant select on emp to scott; 回收对象权限回收对象权限对象的权限的回收是否会级联收回呢？conn wang2/123;revoke select on empfrom wang1; conn scott/tiger;select * from wang2.emp ;报错，表或者视图不存在总结：系统权限没有级联回收，对象权限有级联回收！总结：系统权限没有级联回收，对象权限有级联回收！角色：相关权限命令的集合，使用角色就是为了简化管理。角色：相关权限命令的集合，使用角色就是为了简化管理。 有有Ora

18、cle预定义和自定义角色两类。预定义和自定义角色两类。预定义角色是oracle提供的角色，每种角色都用于执行一些特定的管理任务。最常见的角色：connect、resource、dbaCONNECT：主要应用在临时用户，特别是那些不需要建表的用户。RESOURCE：提供给用户权限以创建表、序列、过程、trigger、index等。 不提供CREATE SESSION。DBA： 拥有所有的系统权限。创建角色创建角色角色授权conn system/admin;grantcreate session to wangrole with admin option;-连接数据库的授权connwang2/123;grantinsert,update,delete on emp to wangrole;-给角色授予对象权限把角色分配给用户conn system/admin;create userwang3 identified by 123;grant wangrole to wang3 with admin option;conn wang3/123;select * fromwang2.emp;create role wangrole not identified;查询不同方案的表OK！删除角色删除角色drop role 角色名角色名问题：问题：删除删除wangr