10 管理用户权限及角色.ppt

1、辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,第十章 管理用户权限及角色,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.1 系统权限的授予与撤消,对于系统权限而言： 开发者具有创建和删除数据对象的权限： CLUSTER,PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM ，DATABASE LINK ，PUBLIC S

2、YNONYM，SEQUENCE ，SNAPSHOTP ，TYPE ， LIBRARY DBA具有上述数据对象的any 权限，即在其他用户对象模式下，创建上述对象和删除上述对象的权限。此外，还具有对用户和角色的管理权限。 此外，DBA还具有对数据库的维护权限。 上述权限详见教材152-154页。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.2 对象权限的授权与撤消,一般情况下，我们先将对象的访问权授予某个角色，然后把角色授予用户 一般来说，如果系统并不复杂时常采用无角色的授权。 建

3、议采用角色授权与用户授予角色的授权方式来管理系统。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.2 权限的授予与撤消,GRANT system_privilege | role TO user | role | PUBLIC WITH ADMIN OPTION GRANT object_privilege | ALL column ON schema.object TO user | role | PUBLIC WITH GRANT OPTION,辽宁工程技术大学 软件工程系 E

4、-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.2 对象权限的授予与撤消,object_privilege:对象的权限，可以是： ALTER DELETE EXECUTE INDEX INSERT REFERENCES SELECT UPDATE,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.2 对象权限的授予与撤消,例1： GRANT INSERT, UPDATE ON sales TO larry

5、WITH GRANT OPTION; 例2 GRANT ALL TO PUBLIC;,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,例3： GRANT select ON dept TO stu10 , stu11 ; 例4： GRANT select , insert(empno , ename) , update(ename) ON emp TO scott WITH GRANT OPTION ;,10.2 对象权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2

6、000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,对象特权的回收： 例1： REVOKE select ON dept FROM stu10 , stu11 ; 例2： REVOKE all ON emp FROM scott ;,10.2 对象权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.2 对象权限的授予与撤消,本章难点： 权限的级联授予 级联授权通过参数来实现，它们是： 系统权限：with admin opt

7、ion 对象权限：with grant option,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,回收对象特权的连锁反映分析：,GRANT,10.2 对象权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,回收对象特权的连锁反映分析：,REVOKE,10.2 对象权限的授予与撤消,?,C,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BL

8、OG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.2 对象权限的授予与撤消,实践是检验真理的唯一标准 课堂实验： 对象级联授权的实验,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,回收对象特权的连锁反映分析：,A,C,B,RESULT,A,C,B,10.2 对象权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,学生练习案例：对象级联授权,

9、连接到system用户，并创建一个新用户marry，smith 赋予新用户mary和smith的create session权限 连接到scott用户，并将在emp表上的update和select权限赋给marry 连接到marry，将在emp表上的update和select权限赋给smith 重新连接回scott，把在emp表上的select和update权限收回 连接回smith用户，用select命令查询时候具有相同的权限 给出结论,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,行

10、命令回收系统特权或角色： REVOKE FROM,，,，,角色名,系统特权名,用户名,角色名,public,10.3 系统权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系统权限的授予与撤消,GRANT system_privilege | role TO user | role | PUBLIC WITH ADMIN OPTION,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/

11、MY_VIEW.HTM,例：从用户Bill和Mary回收DROP ANY TABLE系统特权。 REVOKE drop any table FROM bill , mary ;,10.3 系统权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,回收系统特权的连锁反映分析：,10.3 系统权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,回收系统特权的连锁反

12、映分析：,10.3 系统权限的授予与撤消,REVOKE,?,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系统权限的授予与撤消,实践是检验真理的唯一标准 课堂实验： 系统权限级联授权的实验,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系统权限的授予与撤消,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG

13、.CAT898.COM/MY_VIEW.HTM,学生练习案例：证明系统权限的级联的回收,连接到system用户，并创建一个新用户marry，smith 赋予新用户mary和smith的create session权限 把在emp表上的create any view权限赋给marry 连接到marry，将在emp表上create any view权限赋给smith 连接到smith，创建一个仅有30部门员工的员工号，姓名，工资的视图 重新连接回system，把在emp表上的create any view权限收回 连接回smith用户，创建一个仅有20部门员工的员工号，姓名，工资的视图 给出结论,

14、辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,与特权有关的数据字典视图： DBA_SYS_PRIVS TABLE_PRIVILEGES COLUMN_PRIVILEGES ALL/USER_TAB_PRIVS ALL/USER_TAB_PRIVS_MADE ALL/USER_TAB_PRIVS_RECD ALL/USER_COL_PRIVS ALL/USER_COL_PRIVS_MADE ALL/USER_COL_PRIVS_RECD,10.4 权限的授予与撤消,辽宁工程技术大学 软件工

15、程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,角色是一个数据库实体，它包括一组权限。即角色是包括一个或多个权限的集合。 它不被哪个用户拥有，它只能授予某些用户。 这些角色不要与用户名相同。 根据各个用户的情况（比如他们所担当的工作）来授予不同的角色。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,无角色管理的授权示意图,辽宁工程技术大学 软件工程系 E-MAIL

16、:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,对象权限列表：,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,常见的系统角色,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLO

17、G:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,1.CREATE ROLE语法 CREATE ROLE role NOT IDENTIFIED|IDENTIFIED BY password| EXTERNALLY|GLOBALLY ; role 角色名 IDENTIFIED BY password 角色口令 IDENTIFIED BY EXETERNALLY 角色名在操作系统下验证。 IDENTIFIED GLOBALLY 用户是ORACLE 安全域中心服务器来验证，此角色有全局用户来使用。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL20

18、00TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,示例： CREATE ROLE vendor IDENTIFIED GLOBALLY; CREATE ROLE teller IDENTIFIED BY cashflow;,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,2 给角色授权 一旦角色建立完成，就可以对角色进行授权。给角色授权用GRANT语句实现。如果系统管理员具有GRANT_ANY_PR

19、IVILEGE权限，则可以对某个角色进行授权。 示例： GRANT CREATE SESSION,CREATE DATABASE LINK to Manager;,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,3 授予用户权限与角色 对用户进行授权，包括给用户授予系统预定义的权限，也包括自定义的角色。用GRANT命令来实现给用户的权限与角色的授予。 例1.下面语句将系统权限CREATE SESSION和ACCTS_PAY角色给JWARD用户： GRANT CREAT

20、E SESSION, accts_pay TO jward; 例2.下面语句将SELECT, INSERT和 DELETE 授给jfee, tsmith用户： GRANT SELECT, INSERT, DELETE ON emp TO jfee, tsmith;,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,删除角色 只要具有相应权限，就可以用DROP ROLE命令删除角色。如： DROP ROLE Manager;,辽宁工程技术大学 软件工程系 E-MAIL:Y

21、GHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色与授权,角色的查询 1.确定角色的权限 授予用户某个角色，则角色的权限也就授予了用户，管理员需了解角色被授予那些权限，以便知道哪些角色是够用，或者应撤消哪些权限。 ROLE_TAB_PRIVS 授予角色的对象权限 ROLE_ROLE_PRIVS 授予另一角色的角色 ROLE_SYS_PRIVS 授予角色的系统权限,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.5

22、 角色与授权,2.确定用户所授予的权限 为了维护用户，必须知道哪写 ORACLE 帐户被授予哪些权限，这些权限可能是直接授予，也可能是通过角色授予的。 DBA_TAB_PRIVS 包含直接授予用户帐户的对象权限 DBA_ROLE_PRIVS 包含授予用户帐户的角色 DBA_SYS_PRIVS 包含授予用户帐户的系统权限,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.6 有关的数据字典,与用户、角色权限有关的数据字典: DBA_USERS 实例中有效的用户及相应信息。 DBA_TS_

23、QUOTAS 用户对表空间的使用限制信息。 USER_RESOURCE_LIMITS 用户资源的使用限制信息。 DBA_PROFILES 系统所有资源文件信息。 RESOURCE_COST 系统每个资源的代价。 V$SESSION 实例中会话的信息。 V$SESSTAT 实例中会话的统计。 V$STATNAME 实例中会话的统计代码名字。 DBA_ROLES 实例中已经创建的角色的信息。 ROLE_TAB_PRIVS 授予角色的对象权限。 ROLE_ROLE_PRIVS 授予另一角色的角色。 ROLE_SYS_PRIVS 授予角色的系统权限。 DBA_ROLE_PRIVS 授予用户和角色的角色

24、。 SESSION_ROLES 用户可用的角色的信息。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.7 锁的定义及管理,掌握锁定的概念及其实现用法,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.7 锁的定义及管理,锁是一种机制，当多个事务可能会并发地访问一个数据库对象时，该机制可以实现对并发访问的控制。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TO

25、M.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,锁的定义及管理,主要功能： 在事务处理期间，使数据和对象保持一致性和完整性。 当数据或对象不是立即可用时，提供一种队列结构，允许将等待的会话加入到该队列中进行等待。 DBMS自动处理锁机制。 一般地，事务的开始和结束决定了锁的自动持有和释放的时间。 不同的操作、访问可能对应不同的锁，即锁定的粒度不同、强度不同。,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,10.7 锁的定义及管理,表级锁 保护表的数据 在多个用户同时访问数据时确保数据的完整性 可以设置为三种模式：共享、共享更新和排他 语法： LOCK TABLE schema.table_name IN lock_mode MODE NOWAIT; mode：SHARE; EXCLUSIVE；NOWAIT,辽宁工程技术大学 软件工程系 E-MAIL:YGHL2000TOM.COM BLOG:HTTP:/BLOG.CAT898.COM/MY_VIEW.HTM,辽宁工程技术大学 软件工