第8章_用户、权限与角色.ppt

《第8章_用户、权限与角色.ppt》由会员分享，可在线阅读，更多相关《第8章_用户、权限与角色.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第八章第八章用户、权限与角色用户、权限与角色知识要点8.1 管理用户8.2 权限8.3 角色8.1 管理用户v当安装和建立Oracle数据库时，系统会自动建立一些用户（1）SYS：是数据库中具有最高权限的数据库管理员，可以启动、修改、关闭数据库，拥有数据字典；（2）SYSTEM：是一个辅助的数据库管理员，不能启动和关闭数据库，但可以进行其他一些管理工作，如创建用户、删除用户等。（3）SCOTT：是一个用于测试网络连接的用户，其口令是tiger;（4）PUBLIC：实质上是一个用户组，数据库中任何一个用户都属于该组成员。如果要为数据库中每个用户都授予某个权限，只需把权限授予PUBLIC就可以了。

2、8.1.1创建和修改用户创建和修改用户1、建立新用户、建立新用户用户名用户名口令口令临时表空间临时表空间默认表空间默认表空间密码过期密码过期账户加锁账户加锁CREATEUSER用户名用户名IDENTIFIEDBY口令口令DEFAULTTABLESPACE表空间名表空间名TEMPORARYTABLESPACE表空间名表空间名PASSWORDEXPIREACCOUNTLOCK|UNLOCK当建完用户后，必须给用户授权，用户才能连接到数据库，并对数据库中的对象进行操作。只有拥有CREATE SESSION权限的用户才能连接到数据库。SQLGRANT CREATE SESSION TO USER1;【

3、例例8-1】建立一个建立一个USER1用户，密码为用户，密码为USER1。该用户。该用户口令没有到期，账号也没有被锁住，默认表空间为口令没有到期，账号也没有被锁住，默认表空间为USERS，在该表空间的配额为，在该表空间的配额为10MB。SQLCREATE USER USER1IDENTIFIED BY USER1DEFAULT TABLESPACE USERSQUOTA 10M ON USERSACCOUNT UNLOCK;2、修改用户、修改用户使用使用ALTERUSER命令可以修改用户的默认表空间、临命令可以修改用户的默认表空间、临时表空间、修改用户的口令和口令期限、可以锁住或解锁用户时表空

4、间、修改用户的口令和口令期限、可以锁住或解锁用户帐号等。帐号等。ALTERUSER用户名用户名IDENTIFIEDBY口令口令DEFAULTTABLESPACE表空间名表空间名TEMPORARYTABLESPACE表空间名表空间名PASSWORDEXPIREACCOUNTLOCK|UNLOCKvOracle创建后自动创建那几个用户？v如何为scott用户解锁？v一旦scott密码忘记了，如何修改密码？【例例8-2】将将USER1用户的口令修改为用户的口令修改为TIGER并且将其口并且将其口令设置为到期。令设置为到期。SQLALTER USER USER1IDENTIFIED BY TIGERP

5、ASSWORD EXPIRE;【例例8-3】修改修改USER1用户的默认表空间和临时表空间。用户的默认表空间和临时表空间。SQLALTER USER USER1 DEFAULT TABLESPACE TEMPTEMPORARY TABLESPACE USER_DATA;8.1.2 删除用户v使用使用DROPUSER命令可以从数据库中删除命令可以从数据库中删除一个用户。假如用户拥有对象，必须指定一个用户。假如用户拥有对象，必须指定CASCADE关键字才能删除用户，否则返回关键字才能删除用户，否则返回一个错误。假如指定了一个错误。假如指定了CASCADE关键字，关键字，Oracle先删除该用户所拥

6、有的所有对象，然先删除该用户所拥有的所有对象，然后删除该用户。后删除该用户。【例例8-4】删除删除USER1用户。用户。SQLDROP USER USER1;注意：注意：一个当前连接到一个当前连接到Oracle服务器的用户是服务器的用户是不能被删除的。不能被删除的。删除用户的删除用户的语法语法如下：如下：DROPUSER用户名用户名CASCADE；8.1.3 查询用户信息查询用户信息v可通过查询数据字典视图或动态性能视图来获取用户信息。可通过查询数据字典视图或动态性能视图来获取用户信息。（1）ALL_USERS：包含数据库所有用户的用户名、用户ID和用户创建时间。（2）DBA_USERS：包含

7、数据库所有用户的详细信息。（3）USER_USERS：包含当前用户的详细信息。（4）V$SESSION：包含用户会话信息。（5）V$OPEN_CURSOR:包含用户执行的SQL语句信息。v普通用户只能查询普通用户只能查询USER_USERS数据字典，只有拥有数据字典，只有拥有DBA权限的用户才能查询权限的用户才能查询DBA_USERS数据字典。数据字典。【例8-5】查询当前用户的详细信息。SQLCONNEDU输入口令输入口令:*已连接。已连接。SQLSELECTUSERNAME,DEFAULT_TABLESPACE,TEMPORARY_TABLESPACE,ACCOUNT_STATUS,EXP

8、IRY_DATEFROMUSER_USERS；v自己动动手吧，创建一个属于自己的用户。用户名为你的姓名缩写，密码随便设置（必须要记住），设置默认表空间以及临时表空间。为用户进行锁设置并进行密码过期。v创建完毕后登录看看，是否可以登录哦？8.2 权限v数据库中的权限可以控制对数据的访问，以及限制数据库中的权限可以控制对数据的访问，以及限制用户可以执行的动作。权限决定了一个用户所能访用户可以执行的动作。权限决定了一个用户所能访问的数据。问的数据。vOracle有两种类型的权限：有两种类型的权限：系统权限、对象权限系统权限、对象权限。v（1）系统权限：）系统权限：允许用户在数据库上执行特定操作允许用

9、户在数据库上执行特定操作所需要的权限称为系统权限。所需要的权限称为系统权限。v（2）对象权限：）对象权限：允许用户访问一个特定对象并对特允许用户访问一个特定对象并对特定对象执行特定操作所需要的权限称为对象权限定对象执行特定操作所需要的权限称为对象权限系统权限的分类可划分成下列三类：系统权限的分类可划分成下列三类：（1）允许在系统范围内操作的权限。）允许在系统范围内操作的权限。如：如：CREATESESSION、CREATETABLESPACE等与用户无关的权限。等与用户无关的权限。（2）允许在用户自己的帐号内管理对象的权限。）允许在用户自己的帐号内管理对象的权限。如：如：CREATETABLE

10、等建立、修改、删除指定对象的权限。等建立、修改、删除指定对象的权限。（3）允许在任何用户帐号内管理对象的权限。）允许在任何用户帐号内管理对象的权限。如：如：CREATEANYTABLE等带等带ANY的权限，允许用户在任何用户帐号下的权限，允许用户在任何用户帐号下建表。建表。8.2.1系统权限概念及分类系统权限概念及分类1、系统权限的授予、系统权限的授予使用使用GRANT命令可以将系统权限授予给一个用户、角命令可以将系统权限授予给一个用户、角色或色或PUBLIC。WITHADMINOPTION从句给了受权者将此从句给了受权者将此权限再授予给另一个用户、角色或权限再授予给另一个用户、角色或PUBL

11、IC的权力。的权力。8.2.2 授予和回收系统权限GRANT系统权限系统权限|角色角色，系统权限系统权限|角色角色TO用户用户|角色角色|PUBLIC，用户用户|角色角色|PUBLICWITHADMINOPTION【例例8-8】为为PUBLIC用户授予用户授予CREATESESSION系统权限。系统权限。SQL CONN SYSTEM输入口令:*已连接。SQL GRANT CREATE SESSION TO PUBLIC;例题分析：例题分析：课堂小练习1中已经创建了USER2用户，但是在登录的时候被拒绝。系统提示：user USER2 lacks CREATE SESSION privileg

12、e。上例中我们为PUBLIC授权了系统权限CREATE SESSION，此时USER2账户便可顺利登录。【例例8-9】为用户为用户USER1授予授予CREATETABLE,CREATEVIEW系系统权限。统权限。SQL GRANT CREATE TABLE,CREATE VIEW TO USER1;【例例8-10】为用户为用户USER2授予授予CREATETABLE,CREATEVIEW系统权限。系统权限。USER2获得权限后，为用户获得权限后，为用户USER3授予授予CREATETABLE,CREATEVIEW系统权限。系统权限。SQL CONN SYSTEM输入口令:*已连接。SQL GR

13、ANT CREATE TABLE,CREATE VIEW TO USER2 WITH ADMIN OPTION;SQL CONN USER2输入口令:*已连接。SQL GRANT CREATE TABLE,CREATE VIEW TO USER3;2、系统权限的回收、系统权限的回收回收系统权限的回收系统权限的语法语法如下：如下：REVOKE系统权限系统权限|角色角色，系统权限系统权限|角色角色FROM用户名用户名|角色角色|PUBLIC，用户名用户名|角色角色|PUBLIC当一个系统权限回收时没有级联影响，不管在权限当一个系统权限回收时没有级联影响，不管在权限授予时是否带授予时是否带WITHA

14、DMINOPTION从句。从句。8.2.3对象权限概念及分类对象权限概念及分类对象权限的分类对象对象 对象权限对象权限TABLECOLUMNVIEWSEQUENCEPROCEDURE/FUNCTION/PACKAGEALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATEREAD1、对象权限的授予、对象权限的授予授予对象权限的授予对象权限的语法语法如下：如下：GRANT对象权限对象权限（列名（列名1，列名，列名2），对象权限，对象权限（列名（列名1，列名，列名2）|ALLPRIVILEGESON对象名对象名TO用户名用户名|角色名角色名|PUBLI

15、C，用户名用户名|角色名角色名|PUBLICWITHGRANTOPTION8.2.4授予和回收对象权限授予和回收对象权限【例8-12】EDU用户将EMPLOYEES表上LAST_NAME,SALARY列上的更新权限授予给USER1用户。SQL CONN EDU输入口令:*已连接。SQL GRANT UPDATE(LAST_NAME,SALARY)ON EMPLOYEES TO USER1;【例例8-13】EDU用户将用户将EMPLOYEES表的表的SELECT,UPDATE,INSERT权限权限授予给授予给USER2用户，并且允许用户，并且允许USER2用户再将这些权限授予给用户再将这些权限授

16、予给USER3用户。用户。SQL CONN EDU输入口令:*已连接。SQL GRANT SELECT,UPDATE,INSERT ON EMPLOYEES TO USER2WITH GRANT OPTION;SQL CONN USER2输入口令:*已连接。SQL GRANT SELECT,UPDATE,INSERTON EDU.EMPLOYEESTO USER32、对象权限的回收、对象权限的回收回收对象权限的回收对象权限的语法语法如下：如下：REVOKE对象权限对象权限，对象权限，对象权限|ALLPRIVILEGESON对象名对象名FROM用户名用户名|角色角色|PUBLIC，用户名用户名|

17、角色角色|PUBLIC当使用当使用WITHGRANTOPTION从句授予对象权限时，从句授予对象权限时，一个对象权限回收时存在级联影响。一个对象权限回收时存在级联影响。【例例8-14】EDU用户从用户从USER1用户上回收用户上回收EMPLOYEES表上表上LAST_NAME,SALARY列上的更新权限。列上的更新权限。SQL REVOKE UPDATE(LAST_NAME,SALARY)ON EMPLOYEES FROM USER1;与系统权限回收类似，在进行对象权限回收时应注意以下几点：（1）多个管理员者授予用户同一个对象权限后，其中一个管理员回收其授予该用户的对象权限时，不影响该用户从其

18、他管理员处获得的对象权限。（2）为了回收用户对象权限的传递性（授权时使用了WITH GRANT OPTION子句），必须先回收其对象权限，然后再授予其相应的对象权限。（3）如果一个用户获得的对象权限具有传递性（授权时使用了WITH GRANT OPTION子句），并且给其他用户授权，那么该用户的对象权限被回收后，其他用户的对象权限也被回收。对象权限有关的数据字典视图对象权限有关的数据字典视图8.2.5查询各种权限查询各种权限数据字典数据字典视图视图描述描述DBA_TAB_PRIVS：包含数据库所有对象的授权信息ALL_TAB_PRIVS：包含数据库所有用户和PUBLIC用户组的对象授权信息US

19、ER_TAB_PRIVS：包含当前用户对象的授权信息DBA_COL_PRIVS：包含所有字段已授予的对象权限ALL_COL_PRIVS：包含所有字段已授予的对象权限信息USER_COL_PRIVS：包含当前用户所有字段已授予的对象权限信息。DBA_SYS_PRIVS：包含授予用户或角色的系统权限信息USER_SYS_PRIVS：包含授予当前用户的系统权限信息。【例例8-15】查询当前用户所具有的系统权限。查询当前用户所具有的系统权限。SQL CONN SYSTEM输入口令:*已连接。SQL SELECT*FROM USER_SYS_PRIVS;【例例8-16】查询所有用户在列上所授予的权限。查

20、询所有用户在列上所授予的权限。SQL CONN SYSTEM输入口令:*已连接。SQLSELECT*FROM DBA_COL_PRIVS；角色是一组相关权限的集合，角色可以被授角色是一组相关权限的集合，角色可以被授予给用户或角色，使用角色可以减少授权工作，予给用户或角色，使用角色可以减少授权工作，动态地管理权限。动态地管理权限。8.3 角色8.3.1角色的作用及好处角色的作用及好处v角色拥有下列特性：角色拥有下列特性：1.角色的授予和回收与系统权限的授予和回收有相同的命令。2.角色可以授予给任何用户或除了自己以外的角色。3.角色必须授权后才是一组权限的集合。角色可以包含系统权限和对象权限。4.

21、角色不属于任何用户，角色的描述存储在数据字典中。8.3.2预定义角色预定义角色表8-4 Oracle 10g常用预定义角色角色名角色名描述描述CONNECT连接到数据库的权限，建立数据库链路、序列生成器、同义词、表、视图以及修改会话的权限RESOURCE建立表、序列生成器，以及建立过程、函数、包、数据类型、触发器的权限DBA带WITH ADMIN OPTION选项的所有系统权限可以被授予给数据库中其他用户或角色，DBA角色拥有最高级别的权限。EXP_FULL_DATABASE使用EXPORT工具执行数据库完全卸出和增量卸出的权限。IMP_FULL_DATABASE使用IMPORT工具执行数据库

22、完全装入的权限，这是一个功能非常强大的角色。【例例8-17】查询当前数据库的所有预定义角色。查询当前数据库的所有预定义角色。SQL CONN SYSTEM输入口令:*已连接。SQLSELECT*FROM DBA_ROLES；【例例8-18】查询查询DBA角色所具有的系统权限。角色所具有的系统权限。SQL CONN SYSTEM输入口令:*已连接。SQLSELECT*FROM DBA_SYS_PRIVS WHERE GRANTEE=DBA;8.3.3创建角色与授权角色权限创建角色与授权角色权限v1创建角色创建角色 使用CREATE ROLE命令可以建立角色，角色是属于整个数据库，而不属于任何用户

23、的。当建立一个角色时，该角色没有相关的权限，系统管理员必须将合适的权限授予给角色。此时，角色才是一组权限的集合。v语法：语法：CREATE ROLE 角色名 NOT IDENTIFIED|IDENTIFIED BY 口令【例例8-19】建立一个带口令建立一个带口令CLERK的角色的角色CLERK。SQL CREATE ROLE CLERK IDENTIFIED BY CLERK;2修改角色修改角色语法：语法：ALTER ROLE role_name NOT IDENTIFIED IDENTIFIED BY password ；v使用ALTER ROLE命令可以修改角色的口令，但不能修改角色名。

24、【例例8-20】修改角色修改角色CLERK使其没有口令。使其没有口令。SQL CONN SYSTEM输入口令:*已连接。SQL ALTER ROLE CLERK NOT IDENTIFIED;v3授权角色权限授权角色权限 建立完角色后需要给角色授权，授权后的角色才是一组权限的集合。因此，创建角色后，需要给角色授权，给角色授权实际是非角色授予适当的系统权限、对象权限或已有角色。在数据库运行过程中，可以为角色增加权限，也可以回收其权限。【例例8-21】将将EDU用户用户DEPARTMENTS表的表的SELECT、UPDATE和和INSERT权限的集合授予给角色权限的集合授予给角色CLERK。SQL

25、 CONN EDU输入口令:*已连接。SQL GRANT SELECT,UPDATE,DELETE ON DEPARTMENTS TO CLERK;8.3.4授予与回收角色授予与回收角色1给用户或角色授予角色给用户或角色授予角色 可以使用GRANT语句将角色授予用户或其他角色，语法为 GRANT role_list TO user_list|role_list；【例8-22】将CLERK角色授予给USER1用户。SQL CONN SYSTEM输入口令:*已连接。SQL GRANT CLERK TO USER1;例题分析：例题分析：将CLERK角色授予给USER1后，USER1就具有了相应的权限

26、。v2从用户或角色回收角色从用户或角色回收角色 可以使用REVOKE语句从用户或其他角色回收角色。语法：语法：REVOKE role_list FROM user_list|role_list；【例例8-23】将将CLERK角色从角色从USER1回收，回收，USER1就失就失去了相应的权限。去了相应的权限。SQL CONN SYSTEM输入口令:*已连接。SQL REVOKE CLERK FROM USER1;8.3.5删除角色删除角色v使用DROPROLE命令命令可以删除角色。即使此角色已经被授予给一个用户，数据库也允许用户删除该角色。【例例8-24】从数据库中删除从数据库中删除CLERK角

27、色。角色。SQL DROP ROLE CLERK;当删除一个角色时，Oracle服务器从所有已经被授予了该角色的用户和角色身上回收该角色，并且从数据库字典中删除该角色。8.3.6获取角色信息获取角色信息表表8-7与角色有关的数据字典视图与角色有关的数据字典视图数据字典数据字典视图视图描述描述DBA_ROLES：包含数据库中所有角色及其描述。DBA_ROLE_PRIVS：包含为数据库中所有用户和角色授予的角色信息。USER_ROLE_PRIVS：包含为当前用户授予的角色信息。ROLE_ROLE_PRIVS：为角色授予的角色信息。ROLE_SYS_PRIVS：为角色授予的系统权限信息。ROLE_T

28、AB_PRIVS：为角色授予的对象权限信息。SESSION_PRIVS：当前会话所具有的系统权限信息。SESSION_ROLES：当前会话所具有的角色信息。v【例例8-25】查询查询DBA_ROLES视图了解当前数据库中建立的所视图了解当前数据库中建立的所有角色，其中有角色，其中PASSWORD列指定了该角色的认证方法。列指定了该角色的认证方法。SQL SELECT*FROM DBA_ROLES；v【例例8-26】查询查询ROLE_ROLE_PRIVS视图列出授予给角色的视图列出授予给角色的所有角色。所有角色。SQL SELECT*FROM ROLE_ROLE_PRIVS WHERE ROLE=DBA;v【例例8-27】查询查询ROLE_SYS_PRIVS视图了解视图了解CONNECT角色角色所拥有的系统权限。所拥有的系统权限。SQL SELECT*FROM ROLE_SYS_PRIVS WHERE ROLE=CONNECT;本章小结本章小结 本章首先介绍了数据库用户的创建、修改、删除以及用户信息的查询；然后介绍了Oracle数据库中的系统权限与对象权限的概念、分类、授予与回收；最后介绍了角色的作用与好处，预定义角色与自定义角色的异同，还有角色的创建、授权与回收授权。