《用户权限和角色.ppt》由会员分享,可在线阅读,更多相关《用户权限和角色.ppt(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1Oracle SQL开发基础开发基础2课程结构课程结构内容内容课时(课时(H H)第一章 Oracle数据库基础1.8第二章 编写简单的查询语句1.2第三章 限制数据和对数据排序1.5第四章 单行函数2.5第五章 多表查询2第六章 分组函数2第七章 子查询2第八章 数据操作与事务控制3.5第九章 表和约束4第十章 其他数据库对象2.53第第十一十一章章 用户、权限和角色用户、权限和角色目标目标:本章旨在向学员介绍:本章旨在向学员介绍:1)用户的概念及管理用户的概念及管理2)权限的概念及管理)权限的概念及管理3)角色的概念及管理)角色的概念及管理时间:时间:2学时学时教学方法:教学方法:讲授讲
2、授ppt上机练习上机练习4本章要点本章要点用户的概念及管理权限的概念及管理角色的概念及管理5第第十一十一章章 用户、权限和角色用户、权限和角色用户、权限和角色:11.1管理用户11.2权限11.3角色611.1管理用户管理用户用户用户是数据库的使用者。用户相关的信息包括用户的用户名称和密码、用户的配置信息(包括用户的状态,用户的默认表空间等)、用户的权限、用户对应的方案中的对象等。用户一般是由DBA来创建和维护的。创建用户后,用户不可以执行任何Oracle操作(包括登陆),只有赋予用户相关的权限,用户才能执行相关权限允许范围内的相关操作。对用户授权可以直接授权,也可以通过角色来间接授权。7创建
3、和修改用户语法创建和修改用户语法 1/11创建用户创建用户语法Deafult tablespace 用户的默认表空间Temporary tablespace 用户的临时表空间Quota on 表示允许该用户在表空间中使用的空间总大小。可以设置多个不同的表空间执行该语句的用户需要有“创建用户”的权限,一般为系统的DBA用户。CREATE USER user IDENTIFIED BY password default tablespace 默认表空间名 temp tablespace 临时表空间名 quota 配额大小 on 表空间名8创建和修改用户语法创建和修改用户语法 2/11创建用户示例以
4、SYSTEM用户登陆。用户被创建后,没有任何权限,包括登陆。CREATE USER test IDENTIFIED BY test;conn system请输入口令:*已连接。9创建和修改用户语法创建和修改用户语法 3/11登陆权限用户如果想登陆,至少需要有“CREATE SESSION”的权限。GRANT CREATE SESSION TO test;10创建和修改用户语法创建和修改用户语法 4/11用户建表相关权限对新建用户,默认情况,用户对于其所拥有对象具有所有的数据的增删改查权限,但没有定义的权限(如创建表等)。用户要想创建对象,需要有对象的创建权限CREATE TABLE、CREAT
5、E SEQUENCE等以test用户身份建表:CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER);返回权限不足。11创建和修改用户语法创建和修改用户语法 5/11用户建表相关权限赋予test用户的创建表的权限。test用户身份执行建表操作:建表的相关权限:CREATE TABLE空间使用权限,需要DBA来分配。CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER);返回错误“表空间SYSTEM中无权限”Conn system/oracle;
6、GRANT CREATE TABLE TO test;12创建和修改用户语法创建和修改用户语法 6/11用户空间分配和管理:给用户分配表空间的配额;给用户指定一个默认的表空间,如果没有特殊指定,则对象都是在该用户默认表空间中创建的。如果不指定默认表空间,则系统缺省默认表空间是SYSTEM,默认情况下,SYSTEM表空间也没有给任何普通用户分配配额(SYS和SYSTEM用户除外。查询数据库表空间。以SYSTEM用户身份:SELECT*FROM v$tablespace;13创建和修改用户语法创建和修改用户语法 7/11修改默认表空间和配额语法ALTER USER 用户名QUOTA 10m ON
7、表空间名;ALTER USER 用户名DEFAULT TABLESPACE 默认表空间名;14创建和修改用户语法创建和修改用户语法 8/11修改默认表空间和配额以SYSTEM用户身份执行:以test用户身份执行以SYSTEM用户身份执行,给test分配配额。ALTER USER testQUOTA 10m ON example;CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER);返回错误“表空间EXAMPLE中无权限”。ALTER USER testDEFAULT TABLESPACE example;15创建和修
8、改用户语法创建和修改用户语法 9/11修改默认表空间及配额以test用户身份执行建表命令。上例显示了test用户在表空间“example”上分配了10m的空间使用权限,用户在该表空间上只有10M的使用权限,如果超过该限度,用户的相关操作执行失败。CREATE TABLE emp1(id NUMBER,last_name VARCHAR2(20),salary NUMBER);表已创建。16创建和修改用户语法创建和修改用户语法 10/11修改用户密码语法DBA可以修改任何普通用户的密码,而不需要知道用户的旧密码。在sqlplus下执行password命令来修改登陆用户自己的密码,提示会输入旧密码
9、和新密码。ALTER USER user IDENTIFIED BY 新密码;17创建和修改用户语法创建和修改用户语法 11/11用户状态用户状态:OPEN、EXPIRED、LOCKED。OPEN表正常状态,为用户帐号初始创建后状态。EXPIRED表示密码过期,用户下次登陆的时候需要修改密码;LOCKED表示该帐户已被锁定,不能执行任何Oracle相关操作(即使拥有相关的权限)。状态管理语句:ALTER USER user PASSWORD EXPIRE;-密码过期ALTER USER user ACCOUNT LOCKUNLOCK;-帐户锁定/解锁18删除用户删除用户删除用户删除用户语法CA
10、SCADE表示系统先自动删除该用户下的所有对象,然后再删除该用户的定义。已经登陆的用户是不允许被删除的。DROP USER user CASCADE19查询用户信息查询用户信息数据字典视图与用户信息相关的数据字典视图有DBA_USERS是关于用户的属性信息DBA_TS_QUOTAS是用户的相关表空间的配额信息。数据字典视图一般是以SYSTEM用户身份执行:SELECT username,account_status,default_tablespace FROM dba_users;SELECT*FROM dba_ts_quotas;20第第十一十一章章 用户、权限和角色用户、权限和角色用户、
11、权限和角色:11.1管理用户11.2权限11.3角色21系统权限概念及分类系统权限概念及分类 1/6权限管理 Oracle中存在两种权限系统权限(SYSTEM PRIVILEGE):允许用户在数据库中执行指定的行为,一般可以理解成比较通用的一类权限。对象权限(OBJECT PRIVILEGE):允许用户访问和操作一个指定的对象,该对象是一个确切存储在数据库中的命名对象。22系统权限概念及分类系统权限概念及分类 2/6系统权限包含100多种系统权限,其主要作用:执行系统端的操作,比如CREATE SESSION是登陆的权限,CREATE TABLESPACE创建表空间的权限管理某类对象,比如CR
12、EATE TABLE是用户建表的权限管理任何对象,比如CREATE ANY TABLE,ANY关键字表明该权限“权力”比较大,可以管理任何用户下的表,所以一般只有DBA来使用该权限,普通用户是不应该拥有该类权限的。23系统权限概念及分类系统权限概念及分类 3/6表的系统权限CREATE TABLE(建表)CREATE ANY TABLE(在任何用户下建表)ALTER ANY TABLE(修改任何用户的表的定义)DROP ANY TABLE(删除任何用户的表)SELECT ANY TABLE(从任何用户的表中查询数据)UPDATE ANY TABLE(更改任何用户表的数据)DELETE ANY
13、TABLE(删除任何用户的表的记录)。24系统权限概念及分类系统权限概念及分类 4/6索引及会话系统权限索引:CREATE ANY INDEX(在任何用户下创建索引)ALTER ANY INDEX(修改任何用户的索引定义)DROP ANY INDEX(删除任何用户的索引)会话:(SESSION)CREATE SESSION(创建会话,登陆权限)ALTER SESSION(修改会话)25系统权限概念及分类系统权限概念及分类 5/6表空间系统权限表空间CREATE TABLESPACE(创建表空间)ALTER TABLESPACE(修改表空间)DROP TABLESPACE(删除表空间)UNLIM
14、ITED TABLESPACE(不限制任何表空间的配额)注意:表空间的所有权限都不应该分配给普通用户。26系统权限概念及分类系统权限概念及分类 6/6系统特权系统特权权限SYSDBA和SYSOPERSYSOPER的权限:启动停止数据库,恢复数据库等SYSDBA的权限:所有SYSOPER功能的管理权限;创建数据库等权限。注意:以系统特权权限登陆的用户一般都是特权用户,或称为超级用户。以SYSDBA身份登陆的用户在ORACLE中是权限最大的用户,可以执行数据库的所有操作。这些特权权限是不应该随便赋予给普通用户的。27授予和回收系统权限授予和回收系统权限 1/3系统权限授予授予用户系统权限语法sys
15、_priv_list:是一个系统特权的列表,由逗号分隔是一个系统特权的列表,由逗号分隔User_list:User_list:是一个用户的列表,由逗号分隔是一个用户的列表,由逗号分隔WITH ADMIN OPTIONWITH ADMIN OPTION:允许权限的接受者再把此特权授予:允许权限的接受者再把此特权授予其他用户。其他用户。GRANT sys_priv_list TO user_list WITH ADMIN OPTION28授予和回收系统权限授予和回收系统权限 2/3系统权限授予授予test用户CREATE SESSION权限以test身份执行CREATE SESSION权限管理:G
16、RANT create session TO neu;GRANT create session TO test WITH ADMIN OPTION;29授予和回收系统权限授予和回收系统权限 3/3系统权限回收回收系统权限语法:REVOKE 系统权限列表 FROM user列表;只能回收使用GRANT授权过的权限,权限被回收后,用户就失去了原权限的使用权和管理权(如果有管理权限的话)。注意:使用WITH ADMIN OPTION选项授予的权限在回收时候的级联回收策略如下:如果用户A授予权限给用户B,同时带有选项WITH ADMIN OPTION,用户B又把该权限赋予给用户C;如果此时用户A把权限
17、从用户B处收回,那么用户B给予出去的权限(用户C对该权限的使用权)是否还继续存在。在系统权限的管理中,ORACLE的策略是继续保留权限,用户C继续拥有该权限的使用权。也就是说,系统权限不会级联回收。所以在权限回收时必须将获权用户的权限一一回收。30对象权限概念及分类对象权限概念及分类 1/3对象权限对象权限 是在指定的表、视图、序列或过程上执行指定动作的权限或权利。每个对象都有一个特殊的可授予的权限集。31对象权限概念及分类对象权限概念及分类 2/3对象权限对象权限的种类不是很多,但数量较大,因为具体对象的数量很多。对象权限的分类权限分类对象类型表(Table)视图(View)序列(Seque
18、nce)存储(Procedure)SELECT(选择)INSERT(插入)UPDATE(更改)DELETE(删除)ALTER(修改)INDEX(索引)REFERENCE(引用)EXECUTE(执行)32对象权限概念及分类对象权限概念及分类 3/3对象权限不同的对象有不同的对象权限不同的对象有不同的对象权限对象的所有者自动拥有包含在该用户的方案中的所有对象的所有权对象的所有者自动拥有包含在该用户的方案中的所有对象的所有权限限对象的所有者能够给予指定的权限到其他的帐户或者角色对象的所有者能够给予指定的权限到其他的帐户或者角色33授予和回收对象权限授予和回收对象权限 1/3授予对象权限object_
19、privobject_priv:是将被授予的对象权限是将被授予的对象权限ALLALL:指定所有对象权限指定所有对象权限ColumnsColumns:从从一一个个表表或或视视图图中中指指定定被被授授予予权权限限的的列列,但但需需要要注注意意,只只有有授授予予INSERTINSERT、REFERENCESREFERENCES或或UPDATEUPDATE特权时才可以指定列。特权时才可以指定列。ON ON objectobject:是权限被授予的对象是权限被授予的对象TOTO:指定权限被授予谁指定权限被授予谁PUBLICPUBLIC授予权限给所有用户授予权限给所有用户WITH GRANT OPTION
20、 WITH GRANT OPTION 允许被授予权限的人再授予对象权限给其他用户和角色允许被授予权限的人再授予对象权限给其他用户和角色SCHEMA:SCHEMA:指定用户名,如果省略,默认为当前用户指定用户名,如果省略,默认为当前用户GRANTobject_priv|ALL PRIVILEGES|(columns)ONschema.object TOuser|PUBLIC WITH GRANT OPTION;34授予和回收对象权限授予和回收对象权限 2/3授予对象权限授予对象权限的用户是对象的拥有者(OWNER)或其他有对象管理权限的用户(常为DBA)。以neu身份执行授权命令:GRANT s
21、elect on employees To test;35授予和回收对象权限授予和回收对象权限 3/3回收对象权限回收对象权限语法:对象的权限会级联回收。权限的查询DBA_SYS_PRIVS:查询所有的系统权限的授权情况。SESSION_PRIVS:能够查询出当前会话已经激活的所有系统权限。DBA_TAB_PRIVS:查询出表的对象权限的授权情况。REVOKE 对象权限种类 ON 对象名 FROM user36第第十一十一章章 用户、权限和角色用户、权限和角色用户、权限和角色:11.1管理用户11.2权限11.3角色37角色的作用及好处角色的作用及好处 1/2角色(ROLE)的目的就是为了简化
22、权限的管理。权限权限用户用户单独授予权限使用角色授予权限role38角色的作用及好处角色的作用及好处 2/2使用角色的好处简化权限的管理,而且易于以后的维护,使得维护成本降低。动态权限的管理权限的可选择性39创建角色创建角色/授予角色权限授予角色权限 1/4角色管理创建角色语法:以SYSTEM的用户身份建立测试角色tr。CREATE ROLE role;CREATE ROLE tr;40创建角色创建角色/授予角色权限授予角色权限 2/4角色管理为角色授权语法:给角色tr授予create sequence的权限。GRANT 权限列表 TO 角色列表GRANT create sequence TO
23、 tr;41创建角色创建角色/授予角色权限授予角色权限 3/4角色管理通过角色为用户授权语法:通过角色为用户test授权以test用户登陆,验证是否已拥有相关权限GRANT tr TO test;SELECT*FROM session_privs;GRANT 角色列表 To 用户列表;42创建角色创建角色/授予角色权限授予角色权限 4/4收回角色通过角色从用户收回权限语法:从角色收回权限语法:删除角色语法:REVOKE 权限 FROM 角色;REVOKE 角色 FROM 用户;DROP ROLE 角色;43预定义的角色预定义的角色 1/3预定义角色常用预定义角色:DBA角色。该角色中的权限通常
24、赋给数据库管理员。CONNECT角色。RESOURCE角色。CONNECT和RESOURCE是相对较安全的角色,角色中包含的权限仅限于用户自己的对象范围,因此,可使用CONNECT和RESOURCE来简化权限管理。两者区别是RESOURCE中没有登陆的权限,并增加了几种对象的创建权限。44预定义的角色预定义的角色 2/3查看预定义角色的权限角色DBA中包含的系统权限CONNECT角色的相关权限:RESOURCE角色中的权限:SELECT*FROM DBA_SYS_PRIVSWHERE GRANTEE=RESOURCE SELECT*FROM DBA_SYS_PRIVSWHERE GRANTEE
25、=CONNECTSELECT*FROM DBA_SYS_PRIVSWHERE GRANTEE=DBA45预定义的角色预定义的角色 3/3PUBLICPUBLIC对象既不是用户,也不是角色,代表公众,公开,PUBLIC中拥有的所有权限,所有数据库的用户都会自动拥有。为安全起见,PUBLIC中不应该拥有任何权限。给PUBLIC赋予权限所有的用户都会自动从public中获得登陆的权限。GRANT create session TO public;46获取角色信息获取角色信息角色相关的数据字典视图DBA_ROLES:数据库中的角色列表DBA_ROLE_PRIVS:查询把哪些角色赋予给哪些对象了(包括给
26、用户、角色、PUBLIC)SESSION_ROLES:当前用户激活的角色。47本章小结本章小结用户的管理权限的管理角色的管理48练习练习1.建立新用户user_neu2.给用户user_neu授权,使其能够登陆到数据库,能够查询neu下的employees表,能修改employees表的salary,last_name两个字段3.查询用户user_neu的权限4.回收用户user_neu的登陆权限5.回收用户user_neu的所有对象权限6.建立角色role_neu49练习(续)练习(续)7.给角色role_neu授权,使其能够登陆到数据库8.赋角色role_neu给用户user_neu9.删除角色role_neu10.删除用户user_neu50谢谢谢谢