oracle用户权限管理

1、Oracle 11GOracle 11G数据库应用开发数据库应用开发v 用户管理用户管理v 权限管理权限管理v 角色管理角色管理v 概要文件概要文件第四讲用户权限管理第四讲用户权限管理Oracle 11GOracle 11G数据库应用开发数据库应用开发 用用 户户 定义：也叫方案，是一组逻辑对象的所有者。 验证方式：数据库验证和操作系统验证 表空间和临时表空间：表空间为用户创建数据对象的存储表空间；临时表空间用于创建临时段。 空间分配：表空间中，必须要为一个用户指派空间配额,用于存储数据库对象。Oracle 11GOracle 11G数据库应用开发数据库应用开发用户、角色、权限关系用户、角色、

2、权限关系用户用户权限权限角色角色UPDATE ON JOBSINSERT ON JOBS SELECT ON JOBS CREATE TABLECREATE SESSIONHR_CLERKHR_MGRABCOracle 11GOracle 11G数据库应用开发数据库应用开发创建用户创建用户密码认证密码认证OS认证认证默认表空间默认表空间临时表空间临时表空间在表空间上的使用配额在表空间上的使用配额概要文件概要文件是否密码过期是否密码过期是否锁上用户是否锁上用户Oracle 11GOracle 11G数据库应用开发数据库应用开发准备好网上购物系统的表空间和用户准备好网上购物系统的表空间和用户1、新

3、建一个网上购物系统的表空间tpshopping：数据文件初始10M大小，增量为10m,最大值为1G。2、新建一个用于网上购物系统管理的用户shoppingdba，其中默认表空间为tpshopping，角色为DBAOracle 11GOracle 11G数据库应用开发数据库应用开发 创建用户创建用户 语法: (简单方式) create user mary -用户名 identified by abc ;-密码说明：以上为创建用户的必须语句 默认表空间均为usersOracle 11GOracle 11G数据库应用开发数据库应用开发删除用户删除用户 删除用户： Drop user annie; 删

4、除拥有对象的用户： Drop user annie cascade; 注意：如果要删除的用户正在连接数据库，不能将其删除Oracle 11GOracle 11G数据库应用开发数据库应用开发查询用户查询用户 视图DBA_Users 查看所有用户名、用户ID、用户创建日期 视图all_Users 视图User_Users 查看当前用户信息 Oracle 11GOracle 11G数据库应用开发数据库应用开发权限权限 定义：控制用户在数据库中所能进行的操作 授予权限的方法： 1)直接授予用户： grant create session to annie; 2)先将权限授予角色，再将角色授予用户: C

5、reate role teach; grant select on class to teach; grant teach to annie;Oracle 11GOracle 11G数据库应用开发数据库应用开发权限权限(续续) 权限分类：系统权限和对象权限对象权限(objects Privilege) : 赋予在某一具体数据对象的操作能力 1) 9种对象权限： Select 、Update、Delete、Insert、Execute、Index、reference、Alter、Read 2) 对象权限传递权限: With Grant Option 被授予With Grant Option对象权

6、限的用户，可将该对象权限授予其他用户Oracle 11GOracle 11G数据库应用开发数据库应用开发权限权限(续续)3) 谁有权授予对象权限给其他人？v对象的所有者vDBAv被授予With grant option的用户 4) 权限可以授予给谁？v 其它用户v 角色v PublicOracle 11GOracle 11G数据库应用开发数据库应用开发系统权限系统权限 系统权限(system Privilege)：允许执行一组特定的命令 几点补充：连接到数据库需要create session权限删除其他用户的Table需要drop any table权限Select、insert、update

7、、delete是对象权限，而Select any、insert any、update any、delete any是系统权限使用 With admin option 进行系统权限传递Oracle 11GOracle 11G数据库应用开发数据库应用开发(续续) 例子： grant select any to annie; grant select any to annie with admin option;Oracle 11GOracle 11G数据库应用开发数据库应用开发权限回收权限回收 授予的对象权限和系统权限可以通过Revoke语句收回 例子： revoke select any fro

8、m annie;-回收系统权限 revoke select on class from annie; -回收对象权限Oracle 11GOracle 11G数据库应用开发数据库应用开发权限回收权限回收(续续) 注意：一个用户被多用户授予权限后，其中一个用户收回权限，不影响其他用户授予的权限收回With grant option 或 With admin option，要首先回收相应的权限，再重新授予该权限而不再授予With grant option 或 With admin option传递权限With admin option给其他用后，如果此系统权限被回收，其他用户仍然拥有该系统权限传递权

9、限With grant option给其他用后，如果此对象权限被回收，其他用户该对象权限也被收回Oracle 11GOracle 11G数据库应用开发数据库应用开发权限查询权限查询 视图USER_SYS_Privs:系统权限 视图USER_TAB_Privs:对象权限Oracle 11GOracle 11G数据库应用开发数据库应用开发角角 色色 定义：角色是一系列权限的集合 功能：简化权限管理 创建角色： Create role r_teach 为角色授权： grant select on class to r_ teach 回收角色权限 revoke select on class from

10、 r_ teach 将角色授予用户 Grant r_ teach to annieOracle 11GOracle 11G数据库应用开发数据库应用开发角色角色(续续) 从用户回收角色 Revoke annie from r_teach 将角色授予角色 Grant r_teach to r_stu with admin option 从角色回收角色 Revoke r_teach from r_stu 删除角色 drop role r_teachOracle 11GOracle 11G数据库应用开发数据库应用开发角色角色(续续) 数据库预定义角色: Connect (登录执行基本函数)、 Reso

11、urce（建立用户自己的数据对象）、 DBA（所有系统权限，包括无限的空间限额、给其他用户授予全部权限的能力） Select_CATALOG_ROLE、Execute_CATALOG_ROLE、 Delete_CATALOG_ROLE、Exp_Full_Database、 IMP_FULL_DataBase SYSDBA、SYSOPEROracle 11GOracle 11G数据库应用开发数据库应用开发角色角色(续续) 激活/屏蔽角色： 设置默认角色的4种方式： 1) Alter User Annie Default Role r_Teach 2) Alter User Annie Defau

12、lt Role All 3) Alter User Annie Default Role All Except Role r_Stu 4) Alter User Annie Default Role None Oracle 11GOracle 11G数据库应用开发数据库应用开发角色角色(续续) 查询角色信息视图DBA_Roles: 角色信息视图Role_role_privs:角色与传递权限信息视图Role_SYS_privs:角色系统权限视图Role_tab_privs:角色对象权限Oracle 11GOracle 11G数据库应用开发数据库应用开发角色角色(续续) 删除角色 Drop Rol

13、e r_teachOracle 11GOracle 11G数据库应用开发数据库应用开发 概要文件概要文件(续续) 功能： 控制用户对系统和数据库资源的使用，保证系统正常运行，防止用户消耗大量资源造成的系统性能下降。 方法： 设置预定义资源参数。 这些参数包含在概要文件中，如果没有为用户指定概要文件，则使用Default概要文件Oracle 11GOracle 11G数据库应用开发数据库应用开发 概要文件概要文件(续续) 概要文件控制资源内容：每个用户当前的会话数CPU使用的时间私有的SQL和PL/SQL区使用逻辑读取的实现用户连接到数据库的空闲时间注意：resource_limit = TRU

14、E时，启动资源限制。Oracle 11GOracle 11G数据库应用开发数据库应用开发连接数连接数临时表空间临时表空间在表空间上的使用配额在表空间上的使用配额概要文件概要文件Oracle 11GOracle 11G数据库应用开发数据库应用开发Oracle 11GOracle 11G数据库应用开发数据库应用开发 概要文件概要文件(续续) 控制资源参数： SESSIONS_PER_USER : 限制用户当前会话的数量 CPU_PER_SESSION： 限制一个会话使用的CPU时间 CPU_PER_CALL ：限制一个SQL语句使用的CPU时间 LOGICAL_READS_PER_SESSION：

15、限制每个会话读取的数据库数据块数，包括从内存和磁盘读取的总和 LOGICAL_READS_PER_CALL：限制SQL语句读取的数据库数据块数，包括从内存和磁盘读取的总和 PRIVATE_SGA ：SGA中私有区域的大小Oracle 11GOracle 11G数据库应用开发数据库应用开发 概要文件概要文件(续续) CONNECT_TIME ：指定一个会话连接到数据库的最大时间 IDLE_TIME DEFAULT：指定一个会话可以连续空闲的最长时间，单位：分钟 COMPOSITE_LIMIT：设置用户对系统资源的综合消耗。由： CPU_PER_SESSION、 LOGICAL_READS_PER

16、_SESSION、 PRIVATE_SGA、CONNECT_TIME综合决定Oracle 11GOracle 11G数据库应用开发数据库应用开发 概要文件概要文件(续续) FAILED_LOGIN_ATTEMPTS: 最大错误登录次数 PASSWORD_LOCK_TIME:登录失败后账户被锁天数 PASSWORD_LIFE_TIME:密码有效天数 PASSWORD_GRACE_TIME：用户密码被中止前多少天提醒用户修改密码 PASSWORD_REUSE_TIME：用户修改密码后多少天，用户才可以再次使用原来的密码 PASSWORD_REUSE_MAX：密码被重新使用后，可修改的次数PASSW

17、ORD_VERIFY_FUNCTION：密码复杂度审计函数Oracle 11GOracle 11G数据库应用开发数据库应用开发 概要文件概要文件(续续) 创建概要文件 CREATE PROFILE TEMPPROFILE LIMIT CPU_PER_SESSION 1000 CPU_PER_CALL 1000 CONNECT_TIME 30 IDLE_TIME DEFAULT SESSIONS_PER_USER 10 LOGICAL_READS_PER_SESSION 1000 LOGICAL_READS_PER_CALL 1000 PRIVATE_SGA 16K COMPOSITE_LIMI

18、T 1000000 FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 5 PASSWORD_GRACE_TIME 60 PASSWORD_LIFE_TIME 30 PASSWORD_REUSE_MAX DEFAULT PASSWORD_REUSE_TIME 30 PASSWORD_VERIFY_FUNCTION DEFAULTOracle 11GOracle 11G数据库应用开发数据库应用开发实训任务（四）：实训任务（四）： 设置一个用于网上购物系统的概要文件：当前回话最大用户数为6限制一个SQL语句使用的CPU时间为3分钟设置最大连接时间为4小时设置最大空闲连接时间为6分钟最大错