管理用户权限及角色

1、辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM第十章第十章 管理用户权限及角色管理用户权限及角色 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.1 系统权限的授予与撤消l ORACLE ORACLE 把用户分为三级。把用户分为三级。uConnectConnect：可以读写被授权的对象，但不能建立：可以读写被授权的对象，但不能建立对象。对象。uresource resource ：

2、可以读写数据，而且可以创建对象：可以读写数据，而且可以创建对象( (建表，建视图等建表，建视图等) )。uDBADBA：可以拥有访问系统中任可对象的权力：可以拥有访问系统中任可对象的权力. . 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.1 系统权限的授予与撤消对于系统权限而言：对于系统权限而言：u 开发者具有创建和删除数据对象的权限：开发者具有创建和删除数据对象的权限：CLUSTER,PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, CLUSTER,

3、PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM PUBLIC SYNONYM ，DATABASE LINK DATABASE LINK ，PUBLIC SYNONYMPUBLIC SYNONYM，SEQUENCE SEQUENCE ，SNAPSHOTP SNAPSHOTP ，TYPE TYPE ， LIBRARYLIBRARYu DBA DBA具有上述数据对象的具有上述数据对象的any any 权限，即在其他权限，即在其他用户对象模式下，创建上述对象和删除上述对象用户对象模式下，创建上述对象和删除上述对象的权限。此外，还具有对用户和

4、角色的管理权限。的权限。此外，还具有对用户和角色的管理权限。u此外，此外，DBADBA还具有对数据库的维护权限。还具有对数据库的维护权限。l 上述权限详见教材上述权限详见教材152-154152-154页。页。辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.2 对象权限的授权与撤消 l 一般情况下，我们先将对象的访问权授予某一般情况下，我们先将对象的访问权授予某个角色，然后把角色授予用户个角色，然后把角色授予用户l 一般来说，如果系统并不复杂时常采用无角一般来说，如果系统并不复杂时常采

5、用无角色的授权。色的授权。l 建议采用角色授权与用户授予角色的授权方建议采用角色授权与用户授予角色的授权方式来管理系统。式来管理系统。 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.2 对象权限的授予与撤消GRANT system_privilegeGRANT system_privilege | role TO user | | role TO user | role | PUBLICrole | PUBLICWITH ADMIN OPTIONWITH ADMIN OPTIONGR

6、ANT object_privilege | ALL column ON GRANT object_privilege | ALL column ON schema.objectschema.objectFROM user | role | PUBLIC WITH GRANT FROM user | role | PUBLIC WITH GRANT OPTIONOPTION辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.2 对象权限的授予与撤消object_privilegeobjec

7、t_privilege: :对象的权限，可以是：对象的权限，可以是：uALTERALTERuDELETEDELETEuEXECUTEEXECUTEuINDEXINDEXuINSERTINSERTuREFERENCESREFERENCESuSELECTSELECTuUPDATEUPDATE辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.2 对象权限的授予与撤消l 例子：例子：uGRANT CREATE TABLE TO gavaskarGRANT CREATE TABLE TO gava

8、skar; ;uGRANT team_leaderGRANT team_leader TO crystal; TO crystal;uGRANT INSERT, UPDATE ON sales TO GRANT INSERT, UPDATE ON sales TO larrylarry WITH GRANT OPTION; WITH GRANT OPTION;GRANT ALL TO PUBLIC; GRANT ALL TO PUBLIC; 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM1

9、0.2 对象权限的授予与撤消撤销权限：撤销权限：REVOKE system_privilegeREVOKE system_privilege | role FROM user | | role FROM user | role | PUBLICrole | PUBLICREVOKE system_privilegeREVOKE system_privilege | role FROM user | | role FROM user | role | PUBLICrole | PUBLICREVOKE object_privilege | ALL ON REVOKE object_privile

10、ge | ALL ON schema.objectschema.object FROM user | role | PUBLIC FROM user | role | PUBLIC CASCADE CONSTRAINTS CASCADE CONSTRAINTS 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.1 系统权限的授予与撤消示例示例：uREVOKE ALTER TABLESPACE FROM john;REVOKE ALTER TABLESPACE FROM john;uREV

11、OKE GRANT ANY ROLE FROM toddREVOKE GRANT ANY ROLE FROM todd; ;uREVOKE manager FROM imranREVOKE manager FROM imran; ;uREVOKE INSERT ON sales FROM javedREVOKE INSERT ON sales FROM javed; ;uREVOKE ALL ON marketing FROM terry;. REVOKE ALL ON marketing FROM terry;. 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM B

12、LOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权 无角色管理的授权示意图无角色管理的授权示意图用用 户户特特 权权辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权使用角色管理的授权示意图使用角色管理的授权示意图用用 户户特特 权权角角 色色辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权l 角色是一个数据

13、库实体，它包括一组权限。角色是一个数据库实体，它包括一组权限。即角色是包括一个或多个权限的集合。即角色是包括一个或多个权限的集合。l 它不被哪个用户拥有，它只能授予某些用户。它不被哪个用户拥有，它只能授予某些用户。l 这些角色不要与用户名相同。这些角色不要与用户名相同。l 根据各个用户的情况（比如他们所担当的工根据各个用户的情况（比如他们所担当的工作）来授予不同的角色。作）来授予不同的角色。 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权辽宁工程技术大学 软件工程系 E

14、-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权权限对 象 Alter Delete Execute Index Insert Read Reference Select UpdateDirectorynononononoyesnononofunctionnonoyesnonononononoProcedurenonoyesnonononononoPackagenonoyesnonononononoDB ObjectnonoyesnonononononoLibrarynonoyesnononononon

15、oOperatornonoyesnonononononoSequenceyesnoyesnonononoyesnoTableyesyesnoyesyesnoyesyesyesTypenonoyesnonononononoViewnoyesnonoyesnonoyesyes对象权限列表：对象权限列表：辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权角色名创建脚本说明CONNECTSQL.BSQ包括下面权限：ALTER SESSION, CREATE CLUSTER,CREA

16、TE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM, CREATE TABLE, CREATE VIEWRESOURCESQL.BSQ I包括下面权限：CREATE CLUSTER, CREATE INDEXTYPE,CREATE OPERATOR, CREATEPROCEDURE, CREATE SEQUENCE,CREATE TABLE, CREATE TRIGGER,CREATE TYPEDBASQL.BSQ所有的管理权限常见的系统角色常见的系统角色辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000

17、TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权l 1.CREATE ROLE1.CREATE ROLE语法语法CREATE ROLE roleCREATE ROLE role NOT IDENTIFIED|IDENTIFIED BY password| NOT IDENTIFIED|IDENTIFIED BY password| EXTERNALLY|GLOBALLY ;EXTERNALLY|GLOBALLY ;urole role 角色名角色名uIDENTIFIED BY password IDENTIFIED BY pass

18、word 角色口令角色口令uIDENTIFIED BY EXETERNALLY IDENTIFIED BY EXETERNALLY 角色名在操作系统下验证。角色名在操作系统下验证。uIDENTIFIED GLOBALLY IDENTIFIED GLOBALLY 用户是用户是ORACLE ORACLE 安全域中心服务器安全域中心服务器来验证，此角色有全局用户来使用。来验证，此角色有全局用户来使用。辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权示例：示例：l CREATE

19、ROLE vendor IDENTIFIED GLOBALLY;CREATE ROLE vendor IDENTIFIED GLOBALLY;l CREATE ROLE teller IDENTIFIED BY CREATE ROLE teller IDENTIFIED BY cashflowcashflow; ;辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权2 2 给角色授权给角色授权一旦角色建立完成，就可以对角色进行授权。一旦角色建立完成，就可以对角色进行授权。给角

20、色授权用给角色授权用GRANTGRANT语句实现。如果系统管语句实现。如果系统管理员具有理员具有GRANT_ANY_PRIVILEGEGRANT_ANY_PRIVILEGE权限，则可权限，则可以对某个角色进行授权。以对某个角色进行授权。l 示例：示例： GRANT CREATE SESSION,CREATE DATABASE GRANT CREATE SESSION,CREATE DATABASE LINK to Manager; LINK to Manager; 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/

21、MY_VIEW.HTM10.3 角色与授权3 3 授予用户权限与角色授予用户权限与角色对用户进行授权，包括给用户授予系统预定义的权对用户进行授权，包括给用户授予系统预定义的权限，也包括自定义的角色。用限，也包括自定义的角色。用GRANTGRANT命令来实现命令来实现给用户的权限与角色的授予。给用户的权限与角色的授予。u例例1.1.下面语句将系统权限下面语句将系统权限CREATE SESSIONCREATE SESSION和和ACCTS_PAYACCTS_PAY角色给角色给JWARDJWARD用户：用户：GRANT CREATE SESSION, accts_pay TO jwardGRANT

22、CREATE SESSION, accts_pay TO jward; ;u例例2.2.下面语句将下面语句将SELECT, INSERTSELECT, INSERT和和 DELETE DELETE 授给授给jfee, tsmithjfee, tsmith用户：用户：GRANT SELECT, INSERT, DELETE ON emp TO jfee, GRANT SELECT, INSERT, DELETE ON emp TO jfee, tsmithtsmith; ;辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.C

23、OM/MY_VIEW.HTM10.3 角色与授权l 删除角色删除角色只要具有相应权限，就可以用只要具有相应权限，就可以用DROP ROLEDROP ROLE命令命令删除角色。如删除角色。如：DROP ROLE Manager; DROP ROLE Manager; 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3 角色与授权l 角色的查询角色的查询u1.1.确定角色的权限确定角色的权限授予用户某个角色，则角色的权限也就授予用户某个角色，则角色的权限也就授予了用户，管理员需了解角色被授

24、予那些授予了用户，管理员需了解角色被授予那些权限，以便知道哪些角色是够用，或者应撤权限，以便知道哪些角色是够用，或者应撤消哪些权限。消哪些权限。ROLE_TAB_PRIVS ROLE_TAB_PRIVS 授予角色的对象权限授予角色的对象权限ROLE_ROLE_PRIVS ROLE_ROLE_PRIVS 授予另一角色的角色授予另一角色的角色ROLE_SYS_PRIVS ROLE_SYS_PRIVS 授予角色的系统权限授予角色的系统权限 辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM10.3

25、角色与授权l 2.2.确定用户所授予的权限确定用户所授予的权限为了维护用户，必须知道哪写为了维护用户，必须知道哪写 ORACLE ORACLE 帐户被授帐户被授予哪些权限，这些权限可能是直接授予，也可予哪些权限，这些权限可能是直接授予，也可能是通过角色授予的。能是通过角色授予的。uDBA_TAB_PRIVS DBA_TAB_PRIVS 包含直接授予用户帐户的对象权限包含直接授予用户帐户的对象权限uDBA_ROLE_PRIVS DBA_ROLE_PRIVS 包含授予用户帐户的角色包含授予用户帐户的角色uDBA_SYS_PRIVS DBA_SYS_PRIVS 包含授予用户帐户的系统权限包含授予用户帐户的系统权限辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM1