《用户、角色与权限控制.ppt》由会员分享,可在线阅读,更多相关《用户、角色与权限控制.ppt(15页珍藏版)》请在三一办公上搜索。
1、第16章 用户、角色与权限控制,用户是数据库对象之一,只有使用了合法的用户登录之后,才可以对数据库进行各种操作。但是这些操作又必须是受限的,这就要求数据库对用户的权限进行控制。角色是权限的集合,用以更加高效、灵活地分配权限给用户。用户、权限和角色是Oracle数据库进行权限控制的主要手段。本章的主要内容包括:用户及用户的创建;权限及权限的分配;角色及角色的使用。通过本章的学习,读者将清晰的了解用户、权限和角色这三者的概念及相互关系,并掌握如何在Oracle数据库进行权限控制。,16.1 用户,Oracle用户分为两类:一类是具有系统管理权限的用户,称为系统用户;另一类为普通用户。从创建时机上讲
2、,Oracle数据库在创建时,会提供若干默认用户(如系统用户system);另外,系统用户可以在登录数据库后创建其他用户。这些用户共同组成了Oracle数据库的用户集合。本小节将讲述Oracle用户的概况,并讲解如何创建普通用户。,16.1.1 Oracle中的用户概况,在Oracle数据库中,存在着视图dba_users。该视图存储了所有用户的基本信息,我们搜寻视图内容来查看Oracle中的用户概况。,16.1.2 利用系统用户创建新的用户,对于开发人员来说,并不会经常使用系统用户登录数据库。因为系统用户的权限范围较大,如果出现失误,可能对数据库造成较大伤害。因此,往往开发人员会使用特定的用
3、户进行开发任务。创建新用户的语法如下所示:create user 用户名 identified by 密码 default tablespace 名称空间其中,create user命令用户创建新的用户,并指定用户名;identified by选项是必需的,用于指定新用户的密码;default tablespace用于指定新建用户的默认表空间,新用户登录之后,所有操作均默认在该名称空间进行。,16.1.3 用户的对象集合模式,模式(Schema)是用户的附属对象,依赖于对象的存在而存在。一个用户在数据库中所拥有的所有对象的集合即为该用户的模式。这些对象包括:表、索引、视图、存储过程等。,16.
4、1.4 系统用户system与sys,系统用户sys和system是Oracle数据库默认创建的用户。用户sys角色为sysdba(数据库管理员),是数据库中权限最高的用户,可以进行任意操作而不受限制。system用户角色为sysoper(数据库操作员),权限仅次于sys用户。我们在节中提到,一个用户的状态有可能是EXPIRED&LOCKED,即被锁定的。,16.2 权限,权限(Privilege)是Oracle中控制用户操作的主要策略。Oracle中的权限分为两种,系统权限和对象权限。本节将详细讲述系统权限和对象权限的概念及区别。,16.2.1 系统权限,系统权限是Oracle内置的、与具体
5、对象无关的权限类型。这些权限不指向具体对象,而是针对某种操作而言。例如,创建表的权限,当表未创建时,自然无从谈对针对特定表的权限。1获得系统权限信息2分配系统权限3admin option选项4收回用户的系统权限,16.2.2 对象权限,对象权限是指用户在已存在对象上的权限。这些权限主要包括以下几种:select:可用于查询表、视图和序列。insert:向表或视图中插入新的记录update:更新表中数据delete:删除表中数据execute:函数、存储过程、程序包等的调用或执行index:为表创建索引references:为表创建外键alter:修改表或者序列的属性,16.3 角色,利用gr
6、ant命令为用户分配权限是一件非常耗时的工作,尤其是当数据库中用户众多,而且权限关系比较复杂时。有鉴于此,Oracle提供了角色这一策略来协助数据库管理员来更加灵活地实现权限分配。角色是权限的集合。一个角色可能包含多个权限信息。在Oracle中,我们可以首先创建一个角色,该角色包含了多种权限。然后将角色分配给多个用户,从而在最大程度上实现复用性。,16.3.1 利用角色进行权限分配,创建角色应该使用create role命令。角色创建之后,会以对象的形式的存储在数据库中,并可以在数据字典中获得其信息。【示例16-7】在16.2节,我们使用了grant命令将多个权限分别赋予了用户test和tes
7、t_user。现假设用户test和test_user都应该具有表system.employees的select、update、insert和update权限。那么,可以首先创建一个角色,并将以上权限赋予该角色。,16.3.2 角色的延伸继承,一个角色可以继承其他角色的权限集合,这为某些角色的实现提供了更加便利的途径。例如,角色role_employee已经具备了表system.employees增删改查的权限。现希望创建一个新的角色role_test,该角色具有表system.employees增删改查权限之外,还希望拥有创建会话(create session)和创建表(create tabl
8、e)的权限。那么,可以利用已有角色role_employee来实现新角色。,16.3.3 禁用/启用角色,当用户登录数据库时,会话会自动加载当前用户的角色信息(如果该用户属于某个或某些角色的话)。可以通过视图session_roles来查看用户所具有的角色信息。C:sqlplus test/abc123tstSQL*Plus:Release 10.1.0.2.0-Production on 星期日 3月 14 00:16:50 2010Copyright(c)1982,2004,Oracle.All rights reserved.Connected to:Oracle Database 10
9、g Enterprise Edition Release 10.1.0.2.0-ProductionWith the Partitioning,OLAP and Data Mining options,16.4 本章实例,并非所有角色都需要用户手动创建。Oracle数据库提供了多个内置角色。其中最常见的为DBA、CONNECT和RESOURCE。其中,DBA是数据库管理员角色,我们利用该角色可以对数据库进行所有操作。本实例将讲述CONNECT和RESOURCE角色的主要权限。,16.5 本章小结,本章详细讲述了用户、权限和角色的创建及使用。在本章中尤其需要着重理解的是用户与模式的关系以及系统权限与对象权限的区别。对于一个用户众多的数据库,使用角色是最优策略。应该遵循以下步骤来实现整个数据库的权限划分。,
