用户角色及权限管理oracleg.pptx

2023/3/261管理用户、口令和资源用户、方案和profile1 用户 用户（也称为账户）是定义在数据库中的一个名称，它是oracle数据库的基本访问控制机制。当连接oracle数据库时，默认情况下必须提供用户名和口令。2 方案（schema)用户所拥有数据库对象的集合。对象是以用户来组织的，用户和方案是一一对应关系，并且二者名称相同。第1页/共67页2023/3/262管理用户、口令和资源用户、方案和profile（续）Scott用户拥有的对象属于scott方案，而system用户所拥有的对象属于system方案，访问数据库对象时应注意以下事项：（1）在同一个方案中不能存在同名对象，不同方案的对象可以同名；（2）用户可以直接访问自己方案对象，如果要访问其他方案对象，则必须具有对象权限；（3）当用户要访问其他方案对象时，必须加方案名作为前缀。第2页/共67页2023/3/263 用户管理(课本第14章)1 1 创建用户 在oracleoracle中创建用户，使用create user create user 语句，一般是具有dbadba（数据库管理员）的权限才可以使用。格式：create usercreate user username username identified byidentified by password password Username Username：要创建的用户名字 PasswordPassword：用户登录时的口令例：以scott scott 身份登录，并创建xiaomingxiaoming用户：create usercreate user xiaoming xiaoming identified byidentified by m123;m123;例：以system system 身份登录，并创建xiaoming1xiaoming1用户注：密码应该以字母开头。第3页/共67页2023/3/264用户管理1 创建用户（续）例：希望xiaoming查询emp表 select*from emp;提示：ERROR 位于第 1 行；ORA-00942:表或视图不存在 例：xiaoming 创建表 create table test1(userId varchar2(30),userName varchar2(30);提示：ERROR 位于第 1 行:ORA-01950:表空间SYSTEM中无权限原因在于：xiaoming不具有查询emp表和创建表的权限，即新创建的用户没有任何权限，甚至连登录的权限都没有。第4页/共67页2023/3/265用户管理2 给用户修改密码（1）若给自己修改密码直接使用：SQL password 用户名 或者直接用passw 如：password xiaoming;（2）若给别人修改密码，则须具有dba的权限，或是拥有alter user的系统权限，如：SQL alter user 用户名 identified by 新密码；第5页/共67页2023/3/266用户管理3 删除用户 一般以dba的身份去删除某个用户，如果其他用户去删除用户，则需具有drop user的权限。格式：drop user 用户名cascade 若希望删除一个用户时，将该用户所创建的表也一并删除，则需要带参数cascade。第6页/共67页2023/3/267用户管理4 用户管理的案例 新创建的用户没有任何权限，甚至连登录数据库的权限都没有，需为其指定相应的权限。给一个用户赋权限用grant，收回权限用revoke。授权的格式：Grant 权限名 to 用户名 例：xiaoming 登录数据库 conn xiaoming/m123;希望xiaoming 能登录数据库，需给他赋权：Grant connect to xiaoming 注意：system 和sys可以为xiaoming 赋权，scott不可以为其赋权，因此，应以system 或sys身份登录才可以赋权，而且connect 是一个角色不是权限。第7页/共67页2023/3/268用户管理5 特权用户（王 海 亮 p 2 2 8）特权用户：具有特殊权限（sysdba 或sysoper，sysoper 权限小于sysdba）的数据库用户，这类用户主要用于执行数据库维护操作，例如启动数据库、关闭数据库、建立数据库以及执行备份和恢复等操作。例：System用户以sysdba用户身份登录数据库：conn system/manager as sysdba;注：以sysdba身份登录就相当于sys用户例:conn system/yhf123 as sysdba show user;shutdown immediate;关闭数据库 startup;开启数据第8页/共67页2023/3/269用户管理数据库的关闭（补充）1、shutdown normal 这是数据库关闭SHUTDOWN命令的确省选项。也就是说如果你发出SHUTDOWN这样的命令，也即是SHUTDOWN NORNAL的意思。发出该命令后，任何新的连接都将再不允许连接到数据库。在数据库关闭之前，Oracle将等待目前连接的所有用户都从数据库中退出后才开始关闭数据库。采用这种方式关闭数据库，在下一次启动时不需要进行任何的实例恢复。但需要注意一点的是，采用这种方式，也许关闭一个数据库需要几天时间，也许更长。第9页/共67页2023/3/2610用户管理2、shutdown immediate 想很快地关闭数据库，常采用这种方式。当前正在被Oracle处理的SQL语句立即中断，系统中任何没有提交的事务全部回滚。如果系统中存在一个很长的未提交的事务，采用这种方式关闭数据库也需要一段时间（该事务回滚时间）。系统不等待连接到数据库的所有用户退出系统，强行回滚当前所有的活动事务，然后断开所有的连接用户。第10页/共67页2023/3/2611用户管理3、shutdown transactional 该选项仅在Oracle 8i后才可以使用。该命令常用来计划关闭数据库，它使当前连接到系统且正在活动的事务执行完毕，运行该命令后，任何新的连接和事务都是不允许的。在所有活动的事务完成后，数据库将和 shutdown immediate同样的方式关闭数据库。第11页/共67页2023/3/2612用户管理 4、shutdown abort 这是关闭数据库的最后一招，也是在没有任何办法关闭数据库的情况下才不得不采用的方式，一般不要采用。如果下列情况出现时可以考虑采用这种方式关闭数据库。1、数据库处于一种非正常工作状态，不能用shutdown normal或者shutdown immediate这样的命令关闭数据库;2、需要立即关闭数据库；3、在启动数据库实例时遇到问题；所有正在运行的SQL语句都将立即中止。所有未提交的事务将不回滚。Oracle也不等待目前连接到数据库的用户退出系统。下一次启动数据库时需要实例恢复，因此，下一次启动可能比平时需要更多的时间。第12页/共67页2023/3/2613用户管理权限 权限的分类：系统权限（140多）、对象权限（120多）系统权限：系统级控制数据库的存取和使用机制。决定是否可以连接到数据库，在数据库中可以进行哪些系统操作。授予系统权限是由DBA完成的，如果要以其他身份授予系统权限，则要求该用户必须具有grant any privlege系统权限，或者具有相应的系统权限及其转授系统权限（with admin option).授予系统权限用grant命令完成。第13页/共67页2023/3/2614用户管理权限 授予系统权限的语法格式如下：Grant system_priv,system_priv,to Grant system_priv,system_priv,to user|role|public,user|role|publicwith admin user|role|public,user|role|publicwith admin option;option;系统权限可以授予用户、角色和用户组public,public,当授予publicpublic后，使得所有用户都具有该系统权限，在授予系统权限时可以带有with admin option选项，带有该选项时，该用户或角色还可以将系统权限授予其他用户或角色。注意：unlimited tablespace unlimited tablespace 权限不能被授予角色。第14页/共67页2023/3/2615用户管理权限授予系统权限 为了让xiaoming具有创建表的权限，需用system登录并为其赋权：（1）Grant resource to xiaoming;-可以创建表 Grant create table to xiaoming;-仅授予次权限不可以创建表 （2）Conn xiaoming/m123;Resource是一个角色，此时xiaoming具有创建表的权限。若希望xiaoming具有将此角色赋予其他用户的权限可以带上with admin option.create table test1(userId varchar2(30),userName varchar2(30);Desc test;(查看表结构)第15页/共67页2023/3/2616用户管理权限授予系统权限例：以DBA身份登录，为blake用户授予create session、create table 和create view 权限，前两个权限带有with admin option选项，最后一个权限不带有该选项：grant create session,create talbe to blake with admin option;Grant create view to blake;第16页/共67页2023/3/2617用户管理权限显示系统权限1 显示所有系统权限 显示所有系统权限，dba和普通用户均可以通过查询数据字典视图system_privilege_map：select*from system_privilege_map order by name；2 显示用户具有的系统权限(管理员用户才可以执行该操作)select*from dba_sys_privs where grantee=xiaoming2;select*from dba_sys_privs where grantee=XIAOMING2;dba_sys_privs表中各字段的含义：Grantee:权限拥有者，既可以是用户，也可以是角色；PRIVILEGE：系统权限名；ADM：转授系统权限，yes 表示可以，no表示不可以。第17页/共67页2023/3/2618用户管理权限显示系统权限3 显示当前用户所具有的系统权限及转授系统权限选项查询数据字典视图dba_sys_privs（dba用户），普通用户查询user_sys_privs 视图。Select*from user_sys_privs ;4 显示当前会话所具有的系统权限，查询数据字典视图session_privs Select*from session_privs ;第18页/共67页2023/3/2619用户管理权限 收回系统权限 一般情况下，收回系统权限由DBA完成，如果要以其他身份收回系统权限，则要求该用户必须具有相应的系统权限及其转授系统权限选项（with admin option），语法如下：Revoke system_priv,system_privfrom user|role|public.user|role|public;注意：系统权限不级联收回例：conn system/yhf123;revoke create session from xiaoming2;第19页/共67页2023/3/2620用户管理权限对象权限：用于控制对指定数据库对象的访问，该权限 应该由该对象的拥有者为其他用户授权，非对象的拥有者不可以将对象权限授予其他用户，授权方式和系统权限的授权方式相同，即，用户对其他用户的数据对象（表，视图，存储过程）操作的授权。对象权限包括alter、delete、execute、index、insert、reference、select、update八种。默认情况下，当直接授予对象权限时，会将访问所有列的权限都授予用户。如果只允许用户操作某些列，则需要授予列权限，只能在insert、update和references上授予列权限。第20页/共67页2023/3/2621用户管理权限授予对象权限语法：grant obj_priv(column1,column2),obj_priv_2 (column1,column2).|allprivileges ON schema.object TO user_1,user_2.|public with grant option即：（Grant 权限 on 对象名 to 用户名 with grant option）对象权限可以授予用户、角色和用户组public,当授予public后，使得所有用户都具有该对象权限，在授予对象权限时可以带有with grant option选项，带有该选项时，该用户还可以将系统权限授予其他用户，with grant option 不能授予角色。第21页/共67页2023/3/2622用户管理权限授予对象权限 授予对象权限是由对象的所有者来完成，DBA可以将任何对象上的对象权限授予其他用户，例：对象的拥有者给xiaoming2授予alter权限 Conn scott/tiger;Grant alter on emp to xiaoming2;例：dba给用户xiaoming2授予alter权限 Conn system/yhf123;Grant alter on scott.emp to xiaoming2;alter table scott.emp add id varchar2(4);-xiaoming修改scott.emp表 第22页/共67页2023/3/2623用户管理权限授予对象权限例:让Xiaoming拥有查询scott的emp表的权限 （1）grant select on emp to xiaoming;(scott,system,sys可以授权)（2）Select*from scott.emp;注：对象权限不仅仅限于视图或表，也可以在列上授权。例：授予Xiaoming在scott的emp表上对ENAME列的更新权限。grant update(ENAME)on scott.emp to xiaoming1;-修改某一列 grant update on scott.emp to xiaoming1;-修改所有的列 update scott.emp set emp.sal=emp.sal+100;第23页/共67页2023/3/2624用户管理权限授予对象权限 为用户授予多个权限，则可以在一个grant语句中指定多个权限，并且各个对象权限之间用逗号隔开。格式：grant 权限1，权限2,权限n on 表名 to 用户名例如：grant select,update,delete,insert on scott.emp to xiaoming2为用户授予所有对象权限：grant all on scott.emp to xiaoming；收回所有权限：Revoke all on scott.emp from xiaoming；第24页/共67页2023/3/2625用户管理权限授予对象权限例：对象的拥有者给xiaoming2授予列权限 conn scott/tiger;grant update(sal)on emp to blake;Update scott.emp set sal=sal*1.1 where deptno=10;例：使用with grant option 选项 conn scott/tiger;grant select on emp to blake with grant option;第25页/共67页2023/3/2626用户管理权限显示对象权限 用户可以访问其方案的所有对象，若需要访问其他方案的对象时，必须具有对象权限。查询dba_tab_privs，可以显示用户或角色所具有的对象权限。(1)通过查询user_tab_privs，当前用户查看自己的权限 Select *from user_tab_privs;(2)Sys通过查询数据字典视图dba_tab_privs，可以显示用户或角色所具有的对象权限。Select *from dba_tab_privs;select*from dba_tab_privs where grantee=XIAOMING;第26页/共67页2023/3/2627用户管理权限收回对象权限 收回权限是由对象的所有者来完成，DBA可以收回任何对象上的对象权限，如果要以其他身份收回对象权限，则要求该用户必须具有相应的对象权限及其转授系统权限选项（with grant option），语法如下：REVOKE object_privilege|ALL ON schema.object FROM user|role|PUBLIC CASCADE CONSTRAINTS;注：对象权限会被级联收回第27页/共67页2023/3/2628用户管理权限收回对象权限例：revoke select on emp from blake;Revoke all：撤销所有的权限；cascade constraints：如果用户在对象上定义了参照完整性约束，使用该选项可以取消对象上的权限，使oracle删除这些约束。第28页/共67页2023/3/2629角 色角色：具有名称的一组相关权限的组合，即将不同的权限集合在一起就形成了角色。可以使用角色为用户授权，也可以撤销角色。由于角色集合了多种权限，所以当为用户授予角色时，相当于为用户授予了多种权限。课本图14-27角色的分类：系统预定义角色、自定义角色。预定义角色：是在数据库安装后，系统自动创建的一些常用的角色。常见的有：connect、resource、dba、exp_full_database 和imp_full_database,详见P353 第29页/共67页2023/3/2630角 色未使用角色授权 使用角色授权用户权限第30页/共67页2023/3/2631角 色预定义角色（1）connect：具有一般应用开发人员所需要的大多数权限，可以读写被授权的对象，但不能建立对象。当建立用户之后，大多数情况下只要给用户授予connect 和resource角色就足够。（p353）（2）resource：具有开发人员所需要的其他权限，可以读写数据，而且可以创建对象(建表，建视图等)，如建立存储过程、触发器等。Resource隐含具有unlimited tablespace系统权限。第31页/共67页2023/3/2632角 色预定义角色（3）DBA：具有所有的系统权限以及with admin option选项。默认的DBA用户为SYS和SYSTEM，他们可以将任何系统权限授予其他用户，拥有访问系统中任何对象的权力但是DBA不具有sysdba和sysoper特权；第32页/共67页2023/3/2633角 色自定义角色 一 般由dba执行，如果要以其他用户身份建立角色，则要求用户具有create role系统权限。第33页/共67页2023/3/2634角 色自定义角色建立角色 格式：CREATE ROLE role_name not identified|identified by password;role_name：角色名identified by password：表示修改角色时，必须提供口令。not identified by password：表示修改角色时，不需要提供口令。第34页/共67页2023/3/2635角 色自定义角色1 创建角色并为其设置密码 Create role general_user identified by general;2 为角色授权 一旦角色建立完成，就可以对角色进行授权。给角色授权用GRANT语句实现。如果系统管理员具有GRANT_ANY_PRIVILEGE权限，则可以对某个角色进行授权:例：Grant create session,create table,create view,create any index to general_user;3 为用户授予角色 grant general_user to xiaoming;4 减少角色权限(收回部分权限)Revoke create session from general_user;第35页/共67页2023/3/2636角 色自定义角色错误案例：1 创建角色并为其设置密码 Create role general_user identified by general;2 为角色授权例：Grant connect,resource to general_user;3 为用户授予角色 grant general_user to xiaoming;4 让 xiaoming登录并创建表 conn xiaoming/yhf123;(成功)create table student(sno char(10),age number(4);（不成功）创建表时提示无表空间权限，这是因为，虽然resource具有创建表的权限，但是该权限不可授予角色，因此虽然general角色具有resource权限，但是将该角色授予用户也不能创建表。第36页/共67页2023/3/2637角 色将角色授予角色GRANT role_name1 TO role_name2 WITH ADMIN OPTION 可以将一个角色授予另一个角色，角色role_name2具有role_name1的权限，如果两角色的权限重复，也并不影响,但是不可以循环授权，所以此时不能将role_name2授予role_name1，若带有WITH ADMIN OPTION选项，则被授予者就就可以将此权限授予其他用户或角色。第37页/共67页2023/3/2638角 色回收角色的权限回收角色的权限 使用使用revokerevoke可以撤销用户所拥有的角色，具有可以撤销用户所拥有的角色，具有grant grant any roleany role权限的用户也可以撤销任何角色。格式为：权限的用户也可以撤销任何角色。格式为：Revoke roleRevoke role,role from user|role|public,role from user|role|public ,user|role|public ,user|role|public其中：其中：rolerole为要撤销的角色；为要撤销的角色；useruser为要撤销其系统权限或角色的用户；为要撤销其系统权限或角色的用户；publicpublic表示撤销所有用户的权限或角色。表示撤销所有用户的权限或角色。例例：systemsystem用户撤销用户撤销xiaoming xiaoming 的的connectconnect角色，之后角色，之后xiaomingxiaoming不能登录数据库不能登录数据库 conn system/yhf123;conn system/yhf123;revoke connect from xiaoming;revoke connect from xiaoming;第38页/共67页2023/3/2639角 色角色的查询1.1.确定角色的权限确定角色的权限授予用户某个角色，则角色的权限也就授予了用户，管理员需了解角色授予用户某个角色，则角色的权限也就授予了用户，管理员需了解角色被授予那些权限，以便知道哪些角色是否够用，或者应撤消哪些权限。被授予那些权限，以便知道哪些角色是否够用，或者应撤消哪些权限。（1)ROLE_TAB_PRIVS1)ROLE_TAB_PRIVS：可以查看授予角色的对象权限可以查看授予角色的对象权限 select*from select*from role_tab_privsrole_tab_privs where role=DBA;where role=DBA;-查看查看DBADBA角色所具有的对象权限，角色所具有的对象权限，select*from role_tab_privs where role=ROLE1;select*from role_tab_privs where role=ROLE1;-查看查看ROLE1ROLE1角色所具有的对象权限（普通用户也可以查询）角色所具有的对象权限（普通用户也可以查询）(2)ROLE_ROLE_PRIVS:(2)ROLE_ROLE_PRIVS:可以查看授予另一角色的角色可以查看授予另一角色的角色 select*from select*from ROLE_ROLE_PRIVSROLE_ROLE_PRIVS where role=DBA;where role=DBA;-查看查看dbadba角色具有哪些角色角色具有哪些角色(3)(3)用户登陆后，可以查询数据字典视图用户登陆后，可以查询数据字典视图ROLE_SYS_PRIVSROLE_SYS_PRIVS，了解用户，了解用户所具有的角色，以及该角色所包含的系统权限。所具有的角色，以及该角色所包含的系统权限。select*from select*from ROLE_SYS_PRIVSROLE_SYS_PRIVS where role=DBA;where role=DBA;-查看查看DBADBA具有那些权限，是否能转授这些权限。具有那些权限，是否能转授这些权限。第39页/共67页2023/3/2640角 色2.2.确定用户所授予的权限确定用户所授予的权限 为了维护用户，必须知道哪些为了维护用户，必须知道哪些 ORACLE ORACLE 帐户被授予哪些帐户被授予哪些权限，这些权限可能是直接授予，也可能是通过角色授予的。权限，这些权限可能是直接授予，也可能是通过角色授予的。DBA_TAB_PRIVSDBA_TAB_PRIVS：包含直接授予用户帐户的对象权限包含直接授予用户帐户的对象权限DBA_ROLE_PRIVSDBA_ROLE_PRIVS ：包含授予用户帐户的角色：包含授予用户帐户的角色DBA_SYS_PRIVSDBA_SYS_PRIVS：包含用户具有的角色和系统权限包含用户具有的角色和系统权限第40页/共67页2023/3/2641角 色角色的查询:(1)查询用户自己所拥有的角色（以xiaoming 身份登录，即是查xiaoming具有的角色）select*from user_role_privs;(2)查询dba授予用户帐户的角色(system,sys户可以查询)select*from dba_role_privs;select*from dba_role_privs where grantee=ABC;-查询abc用户具有的角色，用户名须为大写。第41页/共67页2023/3/2642角 色1 启用和禁用角色 为用户授予某个角色后，该用户将拥有角色包含的所有权限，即这个角色的权限对该用户是有效的。数据库管理员也可以禁用某个角色，使得权限对该用户是无效的，即该用户不再具有角色的权限。使用set role语句可以显示的启用和禁用角色，其语法格式如下：Set role role identified by password|,roleidentified by password|all except role,role|none;All：启用用户所有的角色，使用all选项的前提是该用户的所有角色不得设置密码；如果是DBA启用所有角色,其中有些角色具有密码,则不影响;如果是用户本身启用所有角色，则这些角色不得设置密码。except role：除指定角色外，启用其他全部角色；None：使用户的所有角色失效；第42页/共67页2023/3/2643角 色 禁用某一角色后，拥有该角色的用户将失去相应的权限。（1）用户禁用自己的所有角色 set role none；或者：exec dbms_session.set_role(NONE);注意：该语句对默认角色无用,用户自己禁用connet角色后，仍然可以登录数据库.例：通过数据字典视图session_roles查询该用户启用的角色：select *from session_roles;（2）DBA禁用用户的默认角色的格式 alter user user_name default role none;select*from user_role_privs;（当前用户可以查询自己拥有那些角色，以及哪些是默认角色）例：DBA 禁用xiaoming2的默认角色 conn system/m123;alter user xiaoming2 default role none;第43页/共67页2023/3/2644角 色启用和禁用角色：（1）sql connect abc/yhf123;(2)sql select*from user_role_privs;-得到如下结果：username granted_role default_role-ABC CONNECT YES ABC DOCTOR_CLERK YES -可以看出ABC具有的角色都是默认角色(3)conn system/yhf123;sql alter user abc default role none;-system将abc的默认角色禁用（4）conn abc/yhf123;-abc再次登录数据库，提示错误 -错误提示 Not logged on第44页/共67页2023/3/2645角 色角色的启用和禁用：例：在当前会话中启用角色doctor_clerk(当前用户将拥有角色doctor_clerk的权限)Set role doctor_clerk;(grant select on scott.emp to doctor_clerk;)例：在当前会话中启用除了unit_manager之外的所有角色 set role all except unit_manager;第45页/共67页2023/3/2646角 色启用角色：1 用户启用指定角色 只需在set role 语句中指定启用的角色名即可：set role none;select*from session_roles;-通过数据字典视图session_roles查询该用户启用的角色 Set role connect;或 exec dbms_session.set_role(CONNECT);select*from session_roles;-查看那些角色已经启用2 用户启用所有角色 Set role all 启用所有角色时，必须是所有的角色都不需要密码，若其中有一个角色需要密码，则启用失败。第46页/共67页2023/3/2647角 色 启用角色：3 启用某一个具体的角色：set role 角色名 set role DOCTOR_CLERK select*from session_roles;-通过数据字典视图session_roles查询该用户启用的角色4 用户启用某角色外的所有角色 set role all except 角色名5 用户启用需要密码的角色 格式：set role 角色名 identified by 密码6 DBA为用户启用角色 alter user 用户名 default role all;例：alter user xiaoming default role all;第47页/共67页2023/3/2648角 色默认角色：可以给一个用户分配多个角色，并且可以指定使用哪些角色，即默认角色，而其他角色不起作用。默认角色是用户的所有角色的一个子集，当该用户登录之后会自动启用默认角色。初始时授予该用户的角色都是默认角色，如rose有多重角色身份：doctor_clerk、unit_clerk、unit_manager等，如果rose被指定了默认角色doctor_clerk，那么rose登录后将只有doctor_clerk角色被启用，其他两个角色是被禁用的，也就不能使用这两个角色中对应的权限。如果没有指定，则三个角色全部自动启用。即在oracle数据库中，可以给一个用户分配多个角色。所谓默认角色是当用户登录时，自动启用的角色，此时用户拥有的其他角色将被禁用。第48页/共67页2023/3/2649角 色默认角色：如果没有指定默认角色，则所有的角色都被启用。设置默认角色一般由DBA来完成，如果其他用户有alter user系统权限，也可以设置默认角色。使用alter user 命令可以限制用户的默认角色的数目。第49页/共67页2023/3/2650角 色分配用户默认角色的语法：alter user user_name default role role1，role2|all except role,role|noneUser:是被授予角色的用户的名称;Role:是作为用户默认角色的角色；All:除except子句中列出的角色外，将授予用户的所有角色都设置为默认的角色；Except：表明后面角色不应该包括在默认角色中；None：授予用户的任何角色都不作为默认角色；第50页/共67页2023/3/2651角 色分配用户默认角色的语法：alter user user_name default role role1，role2|all except role,role|none（1）alter user user_name default role role1,role2,.-将role1和role2设置为默认角色（2）alter user user_name default role all -将所有角色设置为默认角色（3）alter user user_name default role all except role1,role2,-除角色role1,role2,外的角色设置为默认角色（4）alter user user_name default role none；-禁用所有的角色第51页/共67页2023/3/2652角 色分配用户的默认角色：例：给用户martha 指定默认角色unit_manager alter user martha default role unit_manager ;select*from user_role_privs 查询默认角色 Martha 原本拥有的角色是unit_manager 和unit_clerk，将martha的默认角色设置为unit_manager，此时martha登录后只有unit_manager角色被启用，unit_clerk被禁用。即unit_manager角色所对应的权限可以操作，而 unit_clerk所对应的权限不可操作。第52页/共67页2023/3/2653角 色修改用户时设置角色1 DBA将xiaoming的connect 角色设置为默认角色 Alter user xiaoming default role connect;2 DBA禁用默认角色 Alter user xiaoming default role none;注意：禁用用户的角色后，该用户角色的所有权限将全部丢失。即使再次向用户授予角色，角色也一样被禁用，需用Alter user 语句重新启用角色：alter user 用户名 default role all;第53页/共67页2023/3/2654角 色修改用户时设置角色3 DBA启用角色 （1）启用用户所有默认角色 Alter user user_name default role all;(2)启用某个角色之外的所有角色 al