《用戶權(quán)限和角色》PPT課件.ppt

《《用戶權(quán)限和角色》PPT課件.ppt》由會員分享，可在線閱讀，更多相關(guān)《《用戶權(quán)限和角色》PPT課件.ppt（50頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、Oracle SQL開發(fā)基礎(chǔ),課程結(jié)構(gòu),第十一章 用戶、權(quán)限和角色,目標: 本章旨在向?qū)W員介紹： 1) 用戶的概念及管理 2）權(quán)限的概念及管理 3）角色的概念及管理,時間： 2學時 教學方法：講授ppt上機練習,本章要點,用戶的概念及管理 權(quán)限的概念及管理 角色的概念及管理,第十一章 用戶、權(quán)限和角色,用戶、權(quán)限和角色: 11.1管理用戶 11.2權(quán)限 11.3角色,11.1管理用戶,用戶 用戶是數(shù)據(jù)庫的使用者。用戶相關(guān)的信息包括用戶的用戶名稱和密碼、用戶的配置信息（包括用戶的狀態(tài)，用戶的默認表空間等）、用戶的權(quán)限、用戶對應的方案中的對象等。 用戶一般是由DBA來創(chuàng)建和維護的。創(chuàng)建用戶后，用戶

2、不可以執(zhí)行任何Oracle操作（包括登陸），只有賦予用戶相關(guān)的權(quán)限，用戶才能執(zhí)行相關(guān)權(quán)限允許范圍內(nèi)的相關(guān)操作。對用戶授權(quán)可以直接授權(quán)，也可以通過角色來間接授權(quán)。,11.1.1創(chuàng)建和修改用戶語法 1/11,創(chuàng)建用戶 創(chuàng)建用戶語法 Deafult tablespace 用戶的默認表空間 Temporary tablespace 用戶的臨時表空間 Quota on 表示允許該用戶在表空間中使用的空間總大小。可以設(shè)置多個不同的表空間 執(zhí)行該語句的用戶需要有“創(chuàng)建用戶”的權(quán)限，一般為系統(tǒng)的DBA用戶。,CREATE USER user IDENTIFIED BY password default tab

3、lespace 默認表空間名 temp tablespace 臨時表空間名 quota 配額大小 on 表空間名,11.1.1創(chuàng)建和修改用戶語法 2/11,創(chuàng)建用戶示例 以SYSTEM用戶登陸。 用戶被創(chuàng)建后，沒有任何權(quán)限，包括登陸。,CREATE USER test IDENTIFIED BY test;,conn system 請輸入口令: * 已連接。,11.1.1創(chuàng)建和修改用戶語法 3/11,登陸權(quán)限 用戶如果想登陸，至少需要有“CREATE SESSION”的權(quán)限。,GRANT CREATE SESSION TO test;,11.1.1創(chuàng)建和修改用戶語法 4/11,用戶建表相關(guān)權(quán)限

4、 對新建用戶，默認情況，用戶對于其所擁有對象具有所有的數(shù)據(jù)的增刪改查權(quán)限，但沒有定義的權(quán)限（如創(chuàng)建表等）。用戶要想創(chuàng)建對象，需要有對象的創(chuàng)建權(quán)限CREATE TABLE、CREATE SEQUENCE等 以test用戶身份建表：,CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER); 返回權(quán)限不足。,11.1.1創(chuàng)建和修改用戶語法 5/11,用戶建表相關(guān)權(quán)限 賦予test用戶的創(chuàng)建表的權(quán)限。 test用戶身份執(zhí)行建表操作： 建表的相關(guān)權(quán)限： CREATE TABLE 空間使用權(quán)限，需要DBA來分配。,CREATE T

5、ABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER); 返回錯誤“表空間SYSTEM中無權(quán)限”,Conn system/oracle; GRANT CREATE TABLE TO test;,11.1.1創(chuàng)建和修改用戶語法 6/11,用戶空間分配和管理： 給用戶分配表空間的配額； 給用戶指定一個默認的表空間，如果沒有特殊指定，則對象都是在該用戶默認表空間中創(chuàng)建的。如果不指定默認表空間，則系統(tǒng)缺省默認表空間是SYSTEM，默認情況下，SYSTEM表空間也沒有給任何普通用戶分配配額（SYS和SYSTEM用戶除外。 查詢數(shù)據(jù)庫表空間。以S

6、YSTEM用戶身份：,SELECT * FROM v$tablespace;,11.1.1創(chuàng)建和修改用戶語法 7/11,修改默認表空間和配額 語法,ALTER USER 用戶名 QUOTA 10m ON 表空間名;,ALTER USER 用戶名 DEFAULT TABLESPACE 默認表空間名;,11.1.1創(chuàng)建和修改用戶語法 8/11,修改默認表空間和配額 以SYSTEM用戶身份執(zhí)行： 以test用戶身份執(zhí)行 以SYSTEM用戶身份執(zhí)行，給test分配配額。,ALTER USER test QUOTA 10m ON example;,CREATE TABLE emp1(id NUMBER,

7、last_name VARCHAR2(20),salary NUMBER); 返回錯誤“ 表空間EXAMPLE中無權(quán)限”。,ALTER USER test DEFAULT TABLESPACE example;,11.1.1創(chuàng)建和修改用戶語法 9/11,修改默認表空間及配額 以test用戶身份執(zhí)行建表命令。 上例顯示了test用戶在表空間“example”上分配了10m的空間使用權(quán)限，用戶在該表空間上只有10M的使用權(quán)限，如果超過該限度，用戶的相關(guān)操作執(zhí)行失敗。,CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER);

8、 表已創(chuàng)建。,11.1.1創(chuàng)建和修改用戶語法 10/11,修改用戶密碼 語法 DBA可以修改任何普通用戶的密碼，而不需要知道用戶的舊密碼。 在sqlplus下執(zhí)行password命令來修改登陸用戶自己的密碼，提示會輸入舊密碼和新密碼。,ALTER USER user IDENTIFIED BY 新密碼；,11.1.1創(chuàng)建和修改用戶語法 11/11,用戶狀態(tài) 用戶狀態(tài)：OPEN、EXPIRED、LOCKED。 OPEN表正常狀態(tài)，為用戶帳號初始創(chuàng)建后狀態(tài)。 EXPIRED表示密碼過期，用戶下次登陸的時候需要修改密碼； LOCKED表示該帳戶已被鎖定，不能執(zhí)行任何Oracle相關(guān)操作（即使擁有相關(guān)

9、的權(quán)限）。 狀態(tài)管理語句：,ALTER USER user PASSWORD EXPIRE;-密碼過期 ALTER USER user ACCOUNT LOCKUNLOCK;-帳戶鎖定/解鎖,11.1.2刪除用戶,刪除用戶 刪除用戶語法 CASCADE表示系統(tǒng)先自動刪除該用戶下的所有對象，然后再刪除該用戶的定義。 已經(jīng)登陸的用戶是不允許被刪除的。,DROP USER user CASCADE,11.1.3查詢用戶信息,數(shù)據(jù)字典視圖 與用戶信息相關(guān)的數(shù)據(jù)字典視圖有 DBA_USERS是關(guān)于用戶的屬性信息 DBA_TS_QUOTAS是用戶的相關(guān)表空間的配額信息。 數(shù)據(jù)字典視圖一般是以SYSTEM用

10、戶身份執(zhí)行：,SELECT username,account_status,default_tablespace FROM dba_users;,SELECT * FROM dba_ts_quotas;,第十一章 用戶、權(quán)限和角色,用戶、權(quán)限和角色: 11.1管理用戶 11.2權(quán)限 11.3角色,11.2.1系統(tǒng)權(quán)限概念及分類 1/6,權(quán)限管理 Oracle中存在兩種權(quán)限 系統(tǒng)權(quán)限（SYSTEM PRIVILEGE）：允許用戶在數(shù)據(jù)庫中執(zhí)行指定的行為，一般可以理解成比較通用的一類權(quán)限。 對象權(quán)限（OBJECT PRIVILEGE）：允許用戶訪問和操作一個指定的對象，該對象是一個確切存儲在數(shù)據(jù)庫

11、中的命名對象。,11.2.1系統(tǒng)權(quán)限概念及分類 2/6,系統(tǒng)權(quán)限 包含100多種系統(tǒng)權(quán)限，其主要作用： 執(zhí)行系統(tǒng)端的操作，比如CREATE SESSION是登陸的權(quán)限，CREATE TABLESPACE創(chuàng)建表空間的權(quán)限 管理某類對象，比如CREATE TABLE是用戶建表的權(quán)限 管理任何對象，比如CREATE ANY TABLE，ANY關(guān)鍵字表明該權(quán)限“權(quán)力”比較大，可以管理任何用戶下的表，所以一般只有DBA來使用該權(quán)限，普通用戶是不應該擁有該類權(quán)限的。,11.2.1系統(tǒng)權(quán)限概念及分類 3/6,表的系統(tǒng)權(quán)限 CREATE TABLE（建表） CREATE ANY TABLE（在任何用戶下建表）

12、 ALTER ANY TABLE（修改任何用戶的表的定義） DROP ANY TABLE（刪除任何用戶的表） SELECT ANY TABLE（從任何用戶的表中查詢數(shù)據(jù)） UPDATE ANY TABLE（更改任何用戶表的數(shù)據(jù)） DELETE ANY TABLE（刪除任何用戶的表的記錄）。,11.2.1系統(tǒng)權(quán)限概念及分類 4/6,索引及會話系統(tǒng)權(quán)限 索引： CREATE ANY INDEX（在任何用戶下創(chuàng)建索引） ALTER ANY INDEX（修改任何用戶的索引定義） DROP ANY INDEX（刪除任何用戶的索引） 會話：（SESSION） CREATE SESSION（創(chuàng)建會話，登陸權(quán)

13、限） ALTER SESSION（修改會話）,11.2.1系統(tǒng)權(quán)限概念及分類 5/6,表空間系統(tǒng)權(quán)限 表空間 CREATE TABLESPACE（創(chuàng)建表空間） ALTER TABLESPACE（修改表空間） DROP TABLESPACE（刪除表空間） UNLIMITED TABLESPACE（不限制任何表空間的配額） 注意： 表空間的所有權(quán)限都不應該分配給普通用戶。,11.2.1系統(tǒng)權(quán)限概念及分類 6/6,系統(tǒng)特權(quán) 系統(tǒng)特權(quán)權(quán)限SYSDBA和SYSOPER SYSOPER的權(quán)限：啟動停止數(shù)據(jù)庫，恢復數(shù)據(jù)庫等 SYSDBA的權(quán)限：所有SYSOPER功能的管理權(quán)限；創(chuàng)建數(shù)據(jù)庫等權(quán)限。 注意： 以

14、系統(tǒng)特權(quán)權(quán)限登陸的用戶一般都是特權(quán)用戶，或稱為超級用戶。以SYSDBA身份登陸的用戶在ORACLE中是權(quán)限最大的用戶，可以執(zhí)行數(shù)據(jù)庫的所有操作。這些特權(quán)權(quán)限是不應該隨便賦予給普通用戶的。,11.2.2授予和回收系統(tǒng)權(quán)限 1/3,系統(tǒng)權(quán)限授予 授予用戶系統(tǒng)權(quán)限語法 sys_priv_list：是一個系統(tǒng)特權(quán)的列表，由逗號分隔 User_list:是一個用戶的列表，由逗號分隔 WITH ADMIN OPTION：允許權(quán)限的接受者再把此特權(quán)授予其他用戶。,GRANT sys_priv_list TO user_list WITH ADMIN OPTION,11.2.2授予和回收系統(tǒng)權(quán)限 2/3,系統(tǒng)

15、權(quán)限授予 授予test用戶CREATE SESSION權(quán)限 以test身份執(zhí)行CREATE SESSION權(quán)限管理：,GRANT create session TO neu;,GRANT create session TO test WITH ADMIN OPTION;,11.2.2授予和回收系統(tǒng)權(quán)限 3/3,系統(tǒng)權(quán)限回收 回收系統(tǒng)權(quán)限 語法：REVOKE 系統(tǒng)權(quán)限列表 FROM user列表; 只能回收使用GRANT授權(quán)過的權(quán)限，權(quán)限被回收后，用戶就失去了原權(quán)限的使用權(quán)和管理權(quán)（如果有管理權(quán)限的話）。 注意：使用WITH ADMIN OPTION選項授予的權(quán)限在回收時候的級聯(lián)回收策略如下：

16、如果用戶A授予權(quán)限給用戶B，同時帶有選項WITH ADMIN OPTION，用戶B又把該權(quán)限賦予給用戶C；如果此時用戶A把權(quán)限從用戶B處收回，那么用戶B給予出去的權(quán)限（用戶C對該權(quán)限的使用權(quán)）是否還繼續(xù)存在。在系統(tǒng)權(quán)限的管理中，ORACLE的策略是繼續(xù)保留權(quán)限，用戶C繼續(xù)擁有該權(quán)限的使用權(quán)。 也就是說，系統(tǒng)權(quán)限不會級聯(lián)回收。所以在權(quán)限回收時必須將獲權(quán)用戶的權(quán)限一一回收。,11.2.3對象權(quán)限概念及分類 1/3,對象權(quán)限 對象權(quán)限 是在指定的表、視圖、序列或過程上執(zhí)行指定動作的權(quán)限或權(quán)利。 每個對象都有一個特殊的可授予的權(quán)限集。,11.2.3對象權(quán)限概念及分類 2/3,對象權(quán)限 對象權(quán)限的種類不

17、是很多，但數(shù)量較大，因為具體對象的數(shù)量很多。 對象權(quán)限的分類,11.2.3對象權(quán)限概念及分類 3/3,對象權(quán)限 不同的對象有不同的對象權(quán)限 對象的所有者自動擁有包含在該用戶的方案中的所有對象的所有權(quán)限 對象的所有者能夠給予指定的權(quán)限到其他的帳戶或者角色,11.2.4授予和回收對象權(quán)限 1/3,授予對象權(quán)限 object_priv：是將被授予的對象權(quán)限 ALL：指定所有對象權(quán)限 Columns：從一個表或視圖中指定被授予權(quán)限的列，但需要注意，只有授予INSERT、REFERENCES或UPDATE特權(quán)時才可以指定列。 ON object：是權(quán)限被授予的對象 TO：指定權(quán)限被授予誰 PUBLIC授

18、予權(quán)限給所有用戶 WITH GRANT OPTION 允許被授予權(quán)限的人再授予對象權(quán)限給其他用戶和角色 SCHEMA:指定用戶名，如果省略，默認為當前用戶,GRANTobject_priv |ALL PRIVILEGES |(columns) ONschema.object TOuser|PUBLIC WITH GRANT OPTION;,11.2.4授予和回收對象權(quán)限 2/3,授予對象權(quán)限 授予對象權(quán)限的用戶是對象的擁有者(OWNER)或其他有對象管理權(quán)限的用戶(常為DBA)。 以neu身份執(zhí)行授權(quán)命令:,GRANT select on employees To test;,11.2.4授予

19、和回收對象權(quán)限 3/3,回收對象權(quán)限 回收對象權(quán)限語法： 對象的權(quán)限會級聯(lián)回收。 權(quán)限的查詢 DBA_SYS_PRIVS：查詢所有的系統(tǒng)權(quán)限的授權(quán)情況。 SESSION_PRIVS：能夠查詢出當前會話已經(jīng)激活的所有系統(tǒng)權(quán)限。 DBA_TAB_PRIVS：查詢出表的對象權(quán)限的授權(quán)情況。,REVOKE 對象權(quán)限種類 ON 對象名 FROM user,第十一章 用戶、權(quán)限和角色,用戶、權(quán)限和角色: 11.1管理用戶 11.2權(quán)限 11.3角色,11.3.1角色的作用及好處 1/2,角色（ROLE）的目的就是為了簡化權(quán)限的管理。,11.3.1角色的作用及好處 2/2,使用角色的好處 簡化權(quán)限的管理，而

20、且易于以后的維護，使得維護成本降低。 動態(tài)權(quán)限的管理 權(quán)限的可選擇性,11.3.2創(chuàng)建角色/授予角色權(quán)限 1/4,角色管理 創(chuàng)建角色語法： 以SYSTEM的用戶身份建立測試角色tr。,CREATE ROLE role；,CREATE ROLE tr;,11.3.2創(chuàng)建角色/授予角色權(quán)限 2/4,角色管理 為角色授權(quán)語法： 給角色tr授予create sequence的權(quán)限。,GRANT 權(quán)限列表 TO 角色列表,GRANT create sequence TO tr;,11.3.2創(chuàng)建角色/授予角色權(quán)限 3/4,角色管理 通過角色為用戶授權(quán)語法： 通過角色為用戶test授權(quán) 以test用戶登陸

21、，驗證是否已擁有相關(guān)權(quán)限,GRANT tr TO test;,SELECT * FROM session_privs;,GRANT 角色列表 To 用戶列表;,11.3.2創(chuàng)建角色/授予角色權(quán)限 4/4,收回角色 通過角色從用戶收回權(quán)限語法： 從角色收回權(quán)限語法： 刪除角色語法:,REVOKE 權(quán)限 FROM 角色；,REVOKE 角色 FROM 用戶；,DROP ROLE 角色;,11.3.3預定義的角色 1/3,預定義角色 常用預定義角色: DBA角色。該角色中的權(quán)限通常賦給數(shù)據(jù)庫管理員。 CONNECT角色。 RESOURCE角色。 CONNECT和RESOURCE是相對較安全的角色，角

22、色中包含的權(quán)限僅限于用戶自己的對象范圍，因此，可使用CONNECT和RESOURCE來簡化權(quán)限管理。 兩者區(qū)別是RESOURCE中沒有登陸的權(quán)限，并增加了幾種對象的創(chuàng)建權(quán)限。,11.3.3預定義的角色 2/3,查看預定義角色的權(quán)限 角色DBA中包含的系統(tǒng)權(quán)限 CONNECT角色的相關(guān)權(quán)限： RESOURCE角色中的權(quán)限：,SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=RESOURCE,SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=CONNECT,SELECT * FROM DBA_SYS_PRIVS WHERE GRA

23、NTEE=DBA,11.3.3預定義的角色 3/3,PUBLIC PUBLIC對象既不是用戶，也不是角色，代表公眾，公開，PUBLIC中擁有的所有權(quán)限，所有數(shù)據(jù)庫的用戶都會自動擁有。為安全起見，PUBLIC中不應該擁有任何權(quán)限。 給PUBLIC賦予權(quán)限 所有的用戶都會自動從public中獲得登陸的權(quán)限。,GRANT create session TO public；,11.3.4獲取角色信息,角色相關(guān)的數(shù)據(jù)字典視圖 DBA_ROLES：數(shù)據(jù)庫中的角色列表 DBA_ROLE_PRIVS：查詢把哪些角色賦予給哪些對象了(包括給用戶、角色、PUBLIC) SESSION_ROLES：當前用戶激活的角色。,本章小結(jié),用戶的管理 權(quán)限的管理 角色的管理,練習,1.建立新用戶user_neu 2. 給用戶user_neu授權(quán),使其能夠登陸到數(shù)據(jù)庫，能夠查詢neu下的employees表，能修改employees表的salary,last_name兩個字段 3.查詢用戶user_neu的權(quán)限 4.回收用戶user_neu的登陸權(quán)限 5.回收用戶user_neu的所有對象權(quán)限 6.建立角色role_neu,練習（續(xù)）,7.給角色role_neu授權(quán),使其能夠登陸到數(shù)據(jù)庫 8.賦角色role_neu給用戶user_neu 9.刪除角色role_neu 10.刪除用戶user_neu,謝謝,