oracleg权限与角色管理实用教案

1、数据库权限(qunxin)分类第1页/共39页第一页，共40页。Oracle10g用户(yngh)权限类型第2页/共39页第二页，共40页。Oracle10g用户权限(qunxin)管理系统权限系统权限实体权限实体权限CREATE SESSION：连接到数据库连接到数据库CREATE TABLE：建表建表ANY特权：查询、修改、删除任意表特权：查询、修改、删除任意表ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE第3页/共39页第三页，共40页。系统权限(qunxin)管理第4页/共39页第四页，共40页。系统系统(xtng)权限权限通过授

2、予系统权限，允许用户执行指定的数据库操作通过授予系统权限，允许用户执行指定的数据库操作执行某种类型的命令，必须有相应的系统权限。执行某种类型的命令，必须有相应的系统权限。系统权限不是针对某个系统权限不是针对某个(mu )特定的用户的实体或结构，而是对一个特定特定的用户的实体或结构，而是对一个特定操作或一类操作。操作或一类操作。ORACLE拥有拥有120多种不同类型的系统权限，每个系统权限允许用户执行一个多种不同类型的系统权限，每个系统权限允许用户执行一个特定的数据库操作或一组数据库操作。特定的数据库操作或一组数据库操作。ORACLEAccess PrivilegeNew Users第5页/共3

3、9页第五页，共40页。Oracle系统(xtng)权限（1）第6页/共39页第六页，共40页。Oracle系统(xtng)权限（2）第7页/共39页第七页，共40页。8系统权限(qunxin)授权命令：WITH ADMIN OPTION：可以将系统特权授予可以将系统特权授予(shuy)任意用户任意用户或角色或角色可以从任意用户或角色处收回系统特权可以从任意用户或角色处收回系统特权可以使用可以使用WITH ADMIN OPTION授予授予(shuy)系统特权系统特权授予授予(shuy)系统特权：系统特权：GRANT 系统特权名系统特权名 TO用户名用户名角色名角色名PUBLIC，第8页/共39页

4、第八页，共40页。SYS用户(yngh)第9页/共39页第九页，共40页。SYS用户(yngh)第10页/共39页第十页，共40页。SYSTEM用户(yngh)第11页/共39页第十一页，共40页。12 系统(xtng)权限回收REVOKE 系统权限名系统权限名 FROM用户名用户名角色名角色名PUBLIC，回收系统权限：回收系统权限： A B C 第12页/共39页第十二页，共40页。实体权限(qunxin)管理第13页/共39页第十三页，共40页。14实体(sht)权限概述：使用实体权限限制用户对于实体的存取只有授予实体权限后，才允许用户对指定的表、视图(sht)、序列生成器或存储过程进行

5、操作。实体权限的类型随实体而不同。第14页/共39页第十四页，共40页。实体实体(sht)权限分类：权限分类： TABLE VIEW SEQUENCE PROCEDURE SNAPSHOTS ALTER DELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE第15页/共39页第十五页，共40页。16实体(sht)权限命令：GRANT 权限名权限名 ON 实体名实体名 TO用户名用户名角色名角色名PUBLIC，第16页/共39页第十六页，共40页。17实体(sht)权限回收:REVOKE 特权特权 （列）（列）ON 对象对象 FROM用户名用户名角色名角色名

6、PUBLIC， A B C 收回实体权限的级联反应：收回实体权限的级联反应：第17页/共39页第十七页，共40页。角色(ju s)管理第18页/共39页第十八页，共40页。什么什么(shn me)是角色：是角色：角色角色(ju s)是可以授予用户或其他角色是可以授予用户或其他角色(ju s)的一组相关的的一组相关的权限组合。权限组合。使用角色使用角色(ju s)可以简化权限管理。可以简化权限管理。第19页/共39页第十九页，共40页。Oracle数据库角色数据库角色(ju s)管理管理第20页/共39页第二十页，共40页。21角色(ju s)管理（Role）角色中可以包含系统权限(qunxin

7、)、实体权限(qunxin)。不被任何用户拥有，也不属于任何用户实体。可以用角色为用户授权。可以将角色授予其他角色。可以对于所授的用户生效或失效。可以要求使之生效的口令。角色的描述被存储在数据字典中。第21页/共39页第二十一页，共40页。22为什么要使用(shyng)角色？&简化权限管理1.用一条语句可以授予或回收许多权限。2.可以把角色授予用户，而不必对用户逐一授权。3.在多用户、多实体(sht)下简化权限管理。&实现权限动态管理1.随着应用的变化可以改变角色的权限。2.通过改变角色，而改变多个用户权限。&权限可用性可以使权限失效或生效。第22页/共39页第二十二页

8、，共40页。系统(xtng)预定义角色第23页/共39页第二十三页，共40页。系统预定(ydng)义角色第24页/共39页第二十四页，共40页。系统预定义角色第25页/共39页第二十五页，共40页。第26页/共39页第二十六页，共40页。 CREATE ROLE roleIDENTIFIED BY passwordNOT IDENTIFIED 第27页/共39页第二十七页，共40页。SQL create role tax_members；为角色授权(shuqun)：SQL grant create session,create table,create view to tax_members为

9、用户授于角色：SQL grant tax_members to tax01；第28页/共39页第二十八页，共40页。29修改(xigi)角色&修改角色可以改变(gibin)使角色生效的方式&指明授予用户的角色，不需要被ORACLE确认就生效。&指明授予用户的角色，必须经过ORACLE确认才生效。&指明使角色生效的口令。第29页/共39页第二十九页，共40页。 ALTER ROLE roleIDENTIFIED BY passwordNOT IDENTIFIED 第30页/共39页第三十页，共40页。SQLalter role tax_members identi

10、fied by tax_members；Role altered. SQL alter role manager not identified；Role altered.第31页/共39页第三十一页，共40页。32角色失效(sh xio)或生效&作用作用1. 使角色生效或失效可以使授予给用户的有使角色生效或失效可以使授予给用户的有关关 权限有用或无用权限有用或无用(w yn)。2. 可以使以前授予的角色失效或生效。可以使以前授予的角色失效或生效。3. 一个失效的角色对用户使无用一个失效的角色对用户使无用(w yn)的的4. 可以要求有口令确认。可以要求有口令确认。第32页/共39页第三

11、十二页，共40页。SET ROLE roleIDENTIFIED BY passwordALLEXCEPTRoleNONE使角色(ju s)失效或生效第33页/共39页第三十三页，共40页。SQL set role none； Role set. 使角色失效(sh xio)或生效第34页/共39页第三十四页，共40页。SQLset role connect,tax_members identified by tax_members；Role set.SQL set role all except tax_members；Role set.SQLset role all；角色(ju s)失效或生

12、效第35页/共39页第三十五页，共40页。修改(xigi)用户使角色失效或生效第36页/共39页第三十六页，共40页。修改用户使角色失效(sh xio)或生效SQL alter user tax01 default role none；User altered.第37页/共39页第三十七页，共40页。修改用户使角色失效(sh xio)或生效将用户将用户tax01的缺省角色的缺省角色(ju s)全部生效：全部生效：SQL alter user tax01 default role all；除除tax_members角色角色(ju s)外，其他角色外，其他角色(ju s)设置为生效：设置为生效：SQL alter user tax01 default role all except tax_members； 第38页/共39页第三十八页，共40页。39感谢您的观看(gunkn)！第39页/共39页第三十九页，共40页。NoImage内容(nirng)总结数据库权限分类(fn li)。ANY特权：查询、修改、删除