《用戶權(quán)限和角色》PPT課件.ppt

Oracle SQL開發(fā)基礎(chǔ),課程結(jié)構(gòu),第十一章 用戶、權(quán)限和角色,目標(biāo): 本章旨在向?qū)W員介紹： 1) 用戶的概念及管理 2）權(quán)限的概念及管理 3）角色的概念及管理,時(shí)間： 2學(xué)時(shí) 教學(xué)方法：講授ppt上機(jī)練習(xí),本章要點(diǎn),用戶的概念及管理 權(quán)限的概念及管理 角色的概念及管理,第十一章 用戶、權(quán)限和角色,用戶、權(quán)限和角色: 11.1管理用戶 11.2權(quán)限 11.3角色,11.1管理用戶,用戶 用戶是數(shù)據(jù)庫的使用者。用戶相關(guān)的信息包括用戶的用戶名稱和密碼、用戶的配置信息（包括用戶的狀態(tài)，用戶的默認(rèn)表空間等）、用戶的權(quán)限、用戶對(duì)應(yīng)的方案中的對(duì)象等。 用戶一般是由DBA來創(chuàng)建和維護(hù)的。創(chuàng)建用戶后，用戶不可以執(zhí)行任何Oracle操作（包括登陸），只有賦予用戶相關(guān)的權(quán)限，用戶才能執(zhí)行相關(guān)權(quán)限允許范圍內(nèi)的相關(guān)操作。對(duì)用戶授權(quán)可以直接授權(quán)，也可以通過角色來間接授權(quán)。,11.1.1創(chuàng)建和修改用戶語法 1/11,創(chuàng)建用戶 創(chuàng)建用戶語法 Deafult tablespace 用戶的默認(rèn)表空間 Temporary tablespace 用戶的臨時(shí)表空間 Quota on 表示允許該用戶在表空間中使用的空間總大小?？梢栽O(shè)置多個(gè)不同的表空間 執(zhí)行該語句的用戶需要有“創(chuàng)建用戶”的權(quán)限，一般為系統(tǒng)的DBA用戶。,CREATE USER user IDENTIFIED BY password default tablespace 默認(rèn)表空間名 temp tablespace 臨時(shí)表空間名 quota 配額大小 on 表空間名,11.1.1創(chuàng)建和修改用戶語法 2/11,創(chuàng)建用戶示例 以SYSTEM用戶登陸。 用戶被創(chuàng)建后，沒有任何權(quán)限，包括登陸。,CREATE USER test IDENTIFIED BY test;,conn system 請(qǐng)輸入口令: * 已連接。,11.1.1創(chuàng)建和修改用戶語法 3/11,登陸權(quán)限 用戶如果想登陸，至少需要有“CREATE SESSION”的權(quán)限。,GRANT CREATE SESSION TO test;,11.1.1創(chuàng)建和修改用戶語法 4/11,用戶建表相關(guān)權(quán)限 對(duì)新建用戶，默認(rèn)情況，用戶對(duì)于其所擁有對(duì)象具有所有的數(shù)據(jù)的增刪改查權(quán)限，但沒有定義的權(quán)限（如創(chuàng)建表等）。用戶要想創(chuàng)建對(duì)象，需要有對(duì)象的創(chuàng)建權(quán)限CREATE TABLE、CREATE SEQUENCE等 以test用戶身份建表：,CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER); 返回權(quán)限不足。,11.1.1創(chuàng)建和修改用戶語法 5/11,用戶建表相關(guān)權(quán)限 賦予test用戶的創(chuàng)建表的權(quán)限。 test用戶身份執(zhí)行建表操作： 建表的相關(guān)權(quán)限： CREATE TABLE 空間使用權(quán)限，需要DBA來分配。,CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER); 返回錯(cuò)誤“表空間SYSTEM中無權(quán)限”,Conn system/oracle; GRANT CREATE TABLE TO test;,11.1.1創(chuàng)建和修改用戶語法 6/11,用戶空間分配和管理： 給用戶分配表空間的配額； 給用戶指定一個(gè)默認(rèn)的表空間，如果沒有特殊指定，則對(duì)象都是在該用戶默認(rèn)表空間中創(chuàng)建的。如果不指定默認(rèn)表空間，則系統(tǒng)缺省默認(rèn)表空間是SYSTEM，默認(rèn)情況下，SYSTEM表空間也沒有給任何普通用戶分配配額（SYS和SYSTEM用戶除外。 查詢數(shù)據(jù)庫表空間。以SYSTEM用戶身份：,SELECT * FROM v$tablespace;,11.1.1創(chuàng)建和修改用戶語法 7/11,修改默認(rèn)表空間和配額 語法,ALTER USER 用戶名 QUOTA 10m ON 表空間名;,ALTER USER 用戶名 DEFAULT TABLESPACE 默認(rèn)表空間名;,11.1.1創(chuàng)建和修改用戶語法 8/11,修改默認(rèn)表空間和配額 以SYSTEM用戶身份執(zhí)行： 以test用戶身份執(zhí)行 以SYSTEM用戶身份執(zhí)行，給test分配配額。,ALTER USER test QUOTA 10m ON example;,CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER); 返回錯(cuò)誤“ 表空間EXAMPLE中無權(quán)限”。,ALTER USER test DEFAULT TABLESPACE example;,11.1.1創(chuàng)建和修改用戶語法 9/11,修改默認(rèn)表空間及配額 以test用戶身份執(zhí)行建表命令。 上例顯示了test用戶在表空間“example”上分配了10m的空間使用權(quán)限，用戶在該表空間上只有10M的使用權(quán)限，如果超過該限度，用戶的相關(guān)操作執(zhí)行失敗。,CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER); 表已創(chuàng)建。,11.1.1創(chuàng)建和修改用戶語法 10/11,修改用戶密碼 語法 DBA可以修改任何普通用戶的密碼，而不需要知道用戶的舊密碼。 在sqlplus下執(zhí)行password命令來修改登陸用戶自己的密碼，提示會(huì)輸入舊密碼和新密碼。,ALTER USER user IDENTIFIED BY 新密碼；,11.1.1創(chuàng)建和修改用戶語法 11/11,用戶狀態(tài) 用戶狀態(tài)：OPEN、EXPIRED、LOCKED。 OPEN表正常狀態(tài)，為用戶帳號(hào)初始創(chuàng)建后狀態(tài)。 EXPIRED表示密碼過期，用戶下次登陸的時(shí)候需要修改密碼； LOCKED表示該帳戶已被鎖定，不能執(zhí)行任何Oracle相關(guān)操作（即使擁有相關(guān)的權(quán)限）。 狀態(tài)管理語句：,ALTER USER user PASSWORD EXPIRE;-密碼過期 ALTER USER user ACCOUNT LOCKUNLOCK;-帳戶鎖定/解鎖,11.1.2刪除用戶,刪除用戶 刪除用戶語法 CASCADE表示系統(tǒng)先自動(dòng)刪除該用戶下的所有對(duì)象，然后再刪除該用戶的定義。 已經(jīng)登陸的用戶是不允許被刪除的。,DROP USER user CASCADE,11.1.3查詢用戶信息,數(shù)據(jù)字典視圖 與用戶信息相關(guān)的數(shù)據(jù)字典視圖有 DBA_USERS是關(guān)于用戶的屬性信息 DBA_TS_QUOTAS是用戶的相關(guān)表空間的配額信息。 數(shù)據(jù)字典視圖一般是以SYSTEM用戶身份執(zhí)行：,SELECT username,account_status,default_tablespace FROM dba_users;,SELECT * FROM dba_ts_quotas;,第十一章 用戶、權(quán)限和角色,用戶、權(quán)限和角色: 11.1管理用戶 11.2權(quán)限 11.3角色,11.2.1系統(tǒng)權(quán)限概念及分類 1/6,權(quán)限管理 Oracle中存在兩種權(quán)限 系統(tǒng)權(quán)限（SYSTEM PRIVILEGE）：允許用戶在數(shù)據(jù)庫中執(zhí)行指定的行為，一般可以理解成比較通用的一類權(quán)限。 對(duì)象權(quán)限（OBJECT PRIVILEGE）：允許用戶訪問和操作一個(gè)指定的對(duì)象，該對(duì)象是一個(gè)確切存儲(chǔ)在數(shù)據(jù)庫中的命名對(duì)象。,11.2.1系統(tǒng)權(quán)限概念及分類 2/6,系統(tǒng)權(quán)限 包含100多種系統(tǒng)權(quán)限，其主要作用： 執(zhí)行系統(tǒng)端的操作，比如CREATE SESSION是登陸的權(quán)限，CREATE TABLESPACE創(chuàng)建表空間的權(quán)限 管理某類對(duì)象，比如CREATE TABLE是用戶建表的權(quán)限 管理任何對(duì)象，比如CREATE ANY TABLE，ANY關(guān)鍵字表明該權(quán)限“權(quán)力”比較大，可以管理任何用戶下的表，所以一般只有DBA來使用該權(quán)限，普通用戶是不應(yīng)該擁有該類權(quán)限的。,11.2.1系統(tǒng)權(quán)限概念及分類 3/6,表的系統(tǒng)權(quán)限 CREATE TABLE（建表） CREATE ANY TABLE（在任何用戶下建表） ALTER ANY TABLE（修改任何用戶的表的定義） DROP ANY TABLE（刪除任何用戶的表） SELECT ANY TABLE（從任何用戶的表中查詢數(shù)據(jù)） UPDATE ANY TABLE（更改任何用戶表的數(shù)據(jù)） DELETE ANY TABLE（刪除任何用戶的表的記錄）。,11.2.1系統(tǒng)權(quán)限概念及分類 4/6,索引及會(huì)話系統(tǒng)權(quán)限 索引： CREATE ANY INDEX（在任何用戶下創(chuàng)建索引） ALTER ANY INDEX（修改任何用戶的索引定義） DROP ANY INDEX（刪除任何用戶的索引） 會(huì)話：（SESSION） CREATE SESSION（創(chuàng)建會(huì)話，登陸權(quán)限） ALTER SESSION（修改會(huì)話）,11.2.1系統(tǒng)權(quán)限概念及分類 5/6,表空間系統(tǒng)權(quán)限 表空間 CREATE TABLESPACE（創(chuàng)建表空間） ALTER TABLESPACE（修改表空間） DROP TABLESPACE（刪除表空間） UNLIMITED TABLESPACE（不限制任何表空間的配額） 注意： 表空間的所有權(quán)限都不應(yīng)該分配給普通用戶。,11.2.1系統(tǒng)權(quán)限概念及分類 6/6,系統(tǒng)特權(quán) 系統(tǒng)特權(quán)權(quán)限SYSDBA和SYSOPER SYSOPER的權(quán)限：啟動(dòng)停止數(shù)據(jù)庫，恢復(fù)數(shù)據(jù)庫等 SYSDBA的權(quán)限：所有SYSOPER功能的管理權(quán)限；創(chuàng)建數(shù)據(jù)庫等權(quán)限。 注意： 以系統(tǒng)特權(quán)權(quán)限登陸的用戶一般都是特權(quán)用戶，或稱為超級(jí)用戶。以SYSDBA身份登陸的用戶在ORACLE中是權(quán)限最大的用戶，可以執(zhí)行數(shù)據(jù)庫的所有操作。這些特權(quán)權(quán)限是不應(yīng)該隨便賦予給普通用戶的。,11.2.2授予和回收系統(tǒng)權(quán)限 1/3,系統(tǒng)權(quán)限授予 授予用戶系統(tǒng)權(quán)限語法 sys_priv_list：是一個(gè)系統(tǒng)特權(quán)的列表，由逗號(hào)分隔 User_list:是一個(gè)用戶的列表，由逗號(hào)分隔 WITH ADMIN OPTION：允許權(quán)限的接受者再把此特權(quán)授予其他用戶。,GRANT sys_priv_list TO user_list WITH ADMIN OPTION,11.2.2授予和回收系統(tǒng)權(quán)限 2/3,系統(tǒng)權(quán)限授予 授予test用戶CREATE SESSION權(quán)限 以test身份執(zhí)行CREATE SESSION權(quán)限管理：,GRANT create session TO neu;,GRANT create session TO test WITH ADMIN OPTION;,11.2.2授予和回收系統(tǒng)權(quán)限 3/3,系統(tǒng)權(quán)限回收 回收系統(tǒng)權(quán)限 語法：REVOKE 系統(tǒng)權(quán)限列表 FROM user列表; 只能回收使用GRANT授權(quán)過的權(quán)限，權(quán)限被回收后，用戶就失去了原權(quán)限的使用權(quán)和管理權(quán)（如果有管理權(quán)限的話）。 注意：使用WITH ADMIN OPTION選項(xiàng)授予的權(quán)限在回收時(shí)候的級(jí)聯(lián)回收策略如下： 如果用戶A授予權(quán)限給用戶B，同時(shí)帶有選項(xiàng)WITH ADMIN OPTION，用戶B又把該權(quán)限賦予給用戶C；如果此時(shí)用戶A把權(quán)限從用戶B處收回，那么用戶B給予出去的權(quán)限（用戶C對(duì)該權(quán)限的使用權(quán)）是否還繼續(xù)存在。在系統(tǒng)權(quán)限的管理中，ORACLE的策略是繼續(xù)保留權(quán)限，用戶C繼續(xù)擁有該權(quán)限的使用權(quán)。 也就是說，系統(tǒng)權(quán)限不會(huì)級(jí)聯(lián)回收。所以在權(quán)限回收時(shí)必須將獲權(quán)用戶的權(quán)限一一回收。,11.2.3對(duì)象權(quán)限概念及分類 1/3,對(duì)象權(quán)限 對(duì)象權(quán)限 是在指定的表、視圖、序列或過程上執(zhí)行指定動(dòng)作的權(quán)限或權(quán)利。 每個(gè)對(duì)象都有一個(gè)特殊的可授予的權(quán)限集。,11.2.3對(duì)象權(quán)限概念及分類 2/3,對(duì)象權(quán)限 對(duì)象權(quán)限的種類不是很多，但數(shù)量較大，因?yàn)榫唧w對(duì)象的數(shù)量很多。 對(duì)象權(quán)限的分類,11.2.3對(duì)象權(quán)限概念及分類 3/3,對(duì)象權(quán)限 不同的對(duì)象有不同的對(duì)象權(quán)限 對(duì)象的所有者自動(dòng)擁有包含在該用戶的方案中的所有對(duì)象的所有權(quán)限 對(duì)象的所有者能夠給予指定的權(quán)限到其他的帳戶或者角色,11.2.4授予和回收對(duì)象權(quán)限 1/3,授予對(duì)象權(quán)限 object_priv：是將被授予的對(duì)象權(quán)限 ALL：指定所有對(duì)象權(quán)限 Columns：從一個(gè)表或視圖中指定被授予權(quán)限的列，但需要注意，只有授予INSERT、REFERENCES或UPDATE特權(quán)時(shí)才可以指定列。 ON object：是權(quán)限被授予的對(duì)象 TO：指定權(quán)限被授予誰 PUBLIC授予權(quán)限給所有用戶 WITH GRANT OPTION 允許被授予權(quán)限的人再授予對(duì)象權(quán)限給其他用戶和角色 SCHEMA:指定用戶名，如果省略，默認(rèn)為當(dāng)前用戶,GRANTobject_priv |ALL PRIVILEGES |(columns) ONschema.object TOuser|PUBLIC WITH GRANT OPTION;,11.2.4授予和回收對(duì)象權(quán)限 2/3,授予對(duì)象權(quán)限 授予對(duì)象權(quán)限的用戶是對(duì)象的擁有者(OWNER)或其他有對(duì)象管理權(quán)限的用戶(常為DBA)。 以neu身份執(zhí)行授權(quán)命令:,GRANT select on employees To test;,11.2.4授予和回收對(duì)象權(quán)限 3/3,回收對(duì)象權(quán)限 回收對(duì)象權(quán)限語法： 對(duì)象的權(quán)限會(huì)級(jí)聯(lián)回收。 權(quán)限的查詢 DBA_SYS_PRIVS：查詢所有的系統(tǒng)權(quán)限的授權(quán)情況。 SESSION_PRIVS：能夠查詢出當(dāng)前會(huì)話已經(jīng)激活的所有系統(tǒng)權(quán)限。 DBA_TAB_PRIVS：查詢出表的對(duì)象權(quán)限的授權(quán)情況。,REVOKE 對(duì)象權(quán)限種類 ON 對(duì)象名 FROM user,第十一章 用戶、權(quán)限和角色,用戶、權(quán)限和角色: 11.1管理用戶 11.2權(quán)限 11.3角色,11.3.1角色的作用及好處 1/2,角色（ROLE）的目的就是為了簡化權(quán)限的管理。,11.3.1角色的作用及好處 2/2,使用角色的好處 簡化權(quán)限的管理，而且易于以后的維護(hù)，使得維護(hù)成本降低。 動(dòng)態(tài)權(quán)限的管理 權(quán)限的可選擇性,11.3.2創(chuàng)建角色/授予角色權(quán)限 1/4,角色管理 創(chuàng)建角色語法： 以SYSTEM的用戶身份建立測試角色tr。,CREATE ROLE role；,CREATE ROLE tr;,11.3.2創(chuàng)建角色/授予角色權(quán)限 2/4,角色管理 為角色授權(quán)語法： 給角色tr授予create sequence的權(quán)限。,GRANT 權(quán)限列表 TO 角色列表,GRANT create sequence TO tr;,11.3.2創(chuàng)建角色/授予角色權(quán)限 3/4,角色管理 通過角色為用戶授權(quán)語法： 通過角色為用戶test授權(quán) 以test用戶登陸，驗(yàn)證是否已擁有相關(guān)權(quán)限,GRANT tr TO test;,SELECT * FROM session_privs;,GRANT 角色列表 To 用戶列表;,11.3.2創(chuàng)建角色/授予角色權(quán)限 4/4,收回角色 通過角色從用戶收回權(quán)限語法： 從角色收回權(quán)限語法： 刪除角色語法:,REVOKE 權(quán)限 FROM 角色；,REVOKE 角色 FROM 用戶；,DROP ROLE 角色;,11.3.3預(yù)定義的角色 1/3,預(yù)定義角色 常用預(yù)定義角色: DBA角色。該角色中的權(quán)限通常賦給數(shù)據(jù)庫管理員。 CONNECT角色。 RESOURCE角色。 CONNECT和RESOURCE是相對(duì)較安全的角色，角色中包含的權(quán)限僅限于用戶自己的對(duì)象范圍，因此，可使用CONNECT和RESOURCE來簡化權(quán)限管理。 兩者區(qū)別是RESOURCE中沒有登陸的權(quán)限，并增加了幾種對(duì)象的創(chuàng)建權(quán)限。,11.3.3預(yù)定義的角色 2/3,查看預(yù)定義角色的權(quán)限 角色DBA中包含的系統(tǒng)權(quán)限 CONNECT角色的相關(guān)權(quán)限： RESOURCE角色中的權(quán)限：,SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=RESOURCE,SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=CONNECT,SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=DBA,11.3.3預(yù)定義的角色 3/3,PUBLIC PUBLIC對(duì)象既不是用戶，也不是角色，代表公眾，公開，PUBLIC中擁有的所有權(quán)限，所有數(shù)據(jù)庫的用戶都會(huì)自動(dòng)擁有。為安全起見，PUBLIC中不應(yīng)該擁有任何權(quán)限。 給PUBLIC賦予權(quán)限 所有的用戶都會(huì)自動(dòng)從public中獲得登陸的權(quán)限。,GRANT create session TO public；,11.3.4獲取角色信息,角色相關(guān)的數(shù)據(jù)字典視圖 DBA_ROLES：數(shù)據(jù)庫中的角色列表 DBA_ROLE_PRIVS：查詢把哪些角色賦予給哪些對(duì)象了(包括給用戶、角色、PUBLIC) SESSION_ROLES：當(dāng)前用戶激活的角色。,本章小結(jié),用戶的管理 權(quán)限的管理 角色的管理,練習(xí),1.建立新用戶user_neu 2. 給用戶user_neu授權(quán),使其能夠登陸到數(shù)據(jù)庫，能夠查詢neu下的employees表，能修改employees表的salary,last_name兩個(gè)字段 3.查詢用戶user_neu的權(quán)限 4.回收用戶user_neu的登陸權(quán)限 5.回收用戶user_neu的所有對(duì)象權(quán)限 6.建立角色role_neu,練習(xí)（續(xù)）,7.給角色role_neu授權(quán),使其能夠登陸到數(shù)據(jù)庫 8.賦角色role_neu給用戶user_neu 9.刪除角色role_neu 10.刪除用戶user_neu,謝謝,