Oracle数据库开发实用教程刘竹林电子教案 第9章.pptVIP

第9章 权限、角色与用户 本章主要内容 数据库的安全性 权限管理 角色管理 用户管理 审计 9.1 数据库的安全性 数据库安全可分为两类：系统安全性和数据安全性。 系统安全性是指在系统级控制数据库的存取和使用的机制，包含有效的用户名/口令的组合；用户是否授权可连接数据库；用户对象可用的磁盘空间的数量；用户的资源限制；数据库审计是否是有效的；用户可执行哪些系统操作。 Oracle数据库的安全体系包括如下几个方面： （1）物理层的安全性。 （2）用户层的安全性。 （3）操作系统层的安全性。 （4）网络层的安全性。 （5）数据库系统层的安全性。 对象权限是在数据库对象（如：指定的表、视图、序列、过程、函数或包）上执行特殊动作的权利。对于不同类型的对象，有不同类型的对象权限。如表9-2所示。 9.2.2 授予权限 1．授予系统权限 授权语句如下： GRANT {system_privilege|role} [,{system_privilege|role} ]… TO {user|role|PUBLIC} [,{user|role|PUBLIC} ]… [WITH ADMIN OPTION] 其中： （1）system_privilege：要授予的系统权限。 （2）role：被授权的角色名字。 （3）PUBLIC：把系统权限授予所有用户。 （4）WITH ADMIN OPTION：可以把被授予的权限再进一步授予其他用户或角色。 2．授对象权限 语句如下： GRANT { object_privilege [(column_list)] [,object_privilege [(column_list)] ]… |ALL [PRIVILEGES]} ON [schema.]object TO {user|role|PUBLIC}[,{user|role|PUBLIC} ]… [WITH GRANT OPTION] 其中： （1）object_privilege：要授予的对象权限。 （2）column_list：表或者视图的列名（只有授权 INSERT，REFERENCES，UPDATE的时候才使用）。 （3）ALL：授予对象的所有权限，并且有 WITH GRANT OPTION权限。 （4）ON object：对象名字。 （5）WITH GRANT OPTION：可以把对象权限授予其他的用户或者角色。 9.2.3 取消权限 【例9-5】取消用户herry的 CREATE TABLE 权限。 SQLREVOKE CREATE TABLE FROM herry; 说明：取消其他用户的权限时必须拥有系统管理员DBA 权限。 9.2.4 获取与权限有关的信息 通过数据视图DBA_SYS_PRIVS，SESSION_PRIVS，DBA_TAB_PRIVS，DBA_COL_PRIVS获取对象权限信息。 9.3 角色管理 一般地，建立角色有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。 应用角色是授予的运行数据库应用所需的全部权限。一个应用角色可授予其他角色或指定用户。一个应用可有几种不同的角色，具有不同权限组的每一个角色在使用应用时可进行不同的数据存取。 用户角色是为具有公开权限需求的一组数据库用户而建立的。用户权限受应用角色或授权的用户角色所控制，然后将用户角色授权给相应的用户。 Oracle为了提供与以前版本的兼容性，预定义下列角色：CONNECT、RESOURCE、DBA、EXP-FULL-DATABASE和IMP-FULL-DATABASE。表9-3给出了预定义的角色。 9.3.1 角色与用户和权限的关系 数据库角色包含下列功能： 一个角色可授予系统权限或对象权限。 一个角色可授权给其他角色，但不能循环授权。 任何角色可授权给任何数据库用户。 授权给一个用户的每一角色可以是使能的或者使不能的。一个用户的安全域仅包含当前对该用户使能的全部角色的权限。 一个间接授权角色（授权给另一角色的角色）对一用户可显式地使其能或使不能。 9.3.2 创建角色 创建角色的语句格式如下： CREATE ROLE 角色名 [IDENTIFIED BY| IDENTIFIED EXTERNALLY ]; 其中： （1）IDENTIFIED BY：数据库验证。本角色由数据库验证。 （2）IDENTIFIED EXTERNALLY：外部验证。表明是创建一个外地角色，该角色由外部服务程序（操作系统或远程服务器）验证。 9.3.3 修改角色 修改角色的语法格式如下： SQLALTER ROLE 角色名