第九讲 Oracle 数据库用户与权限1

9999Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁第九讲数据库用户与权限9-9-9-9-2222Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁教学目标•创建用户•创建角色使得安全模式的设置和管理容易•使用GRANTGRANTGRANTGRANT和REVOKEREVOKEREVOKEREVOKE语句授予和撤销对象权限•创建和访问数据库链接9-9-9-9-3333Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁控制用户访问数据库管理员用户用户名和密码权限9-9-9-9-4444Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁控制用户访问•控制多用户数据库访问和使用的安全，可以用下面OracleOracleOracleOracle服务器提供的数据库安全措施：–控制数据库访问–在数据库中只允许访问指定的对象–用OracleOracleOracleOracle数据字典确认给予的和收回的权限–创建数据库对象的同义词9-9-9-9-5555Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁数据库安全的两个范畴•系统安全–系统安全在系统级别访问和使用数据库–例如，用户名和口令，分配给用户的磁盘空间和用户能够执行的系统操作；•数据安全–数据库安全包括访问和使用数据库对象–用户能够对数据库对象进行的操作9-9-9-9-6666Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁权限•数据库安全–系统安全–数据安全•系统权限：授权访问数据库•对象权限：操纵数据对象的内容•方案：对象的集合，例如表、视图和序列9-9-9-9-7777Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁权限•权限是执行特殊SQLSQLSQLSQL语句的权利•数据库管理员(DBA)(DBA)(DBA)(DBA)是一个具有授予用户访问数据库及其对象的能力的高级用户•用户需要系统权限来访问数据库，需要对象权限来操纵数据库中对象的内容•用户也可以将被授予的权限给其它用户或者角色•角色是相关权限的命名分组9-9-9-9-8888Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁方案•方案是对象的集合–例如，视图和序列的集合•方案被数据库多用户拥有•方案与用户有相同的名字9-9-9-9-9999Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁系统权限•有100100100100多个可用权限•数据管理员有执行任务的高级系统权限，例如：–创建新用户–删除用户–删除表–备份表9-9-9-9-10101010Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁典型的DBADBADBADBA权限受让人可以在任何方案中创建表。CREATEANYTABLECREATEANYTABLECREATEANYTABLECREATEANYTABLE受让人可以查询在任何方案中的表、视图或快照SELECTANYTABLESELECTANYTABLESELECTANYTABLESELECTANYTABLE受让人用导出实用程序可以备份在任何方案中的任何表。BACKUPANYTABLEBACKUPANYTABLEBACKUPANYTABLEBACKUPANYTABLE受让人可以删除在任意方案中的表。DROPANYTABLEDROPANYTABLEDROPANYTABLEDROPANYTABLE受让人可以删除另一个用户。DROPUSERDROPUSERDROPUSERDROPUSER受让人可以创建其他OracleOracleOracleOracle用户((((需要有DBADBADBADBA角色权限))))。CREATEUSERCREATEUSERCREATEUSERCREATEUSER授权的操作系统权限9-9-9-9-11111111Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁创建用户DBA用CREATEUSERCREATEUSERCREATEUSERCREATEUSER语句创建用户CREATEUSERscottCREATEUSERscottCREATEUSERscottCREATEUSERscottIDENTIFIEDBYtiger;IDENTIFIEDBYtiger;IDENTIFIEDBYtiger;IDENTIFIEDBYtiger;Usercreated.Usercreated.Usercreated.Usercreated.CREATEUSERscottCREATEUSERscottCREATEUSERscottCREATEUSERscottIDENTIFIEDBYtiger;IDENTIFIEDBYtiger;IDENTIFIEDBYtiger;IDENTIFIEDBYtiger;Usercreated.Usercreated.Usercreated.Usercreated.Usercreated.Usercreated.Usercreated.Usercreated.CREATEUSERCREATEUSERCREATEUSERCREATEUSERuseruseruseruserIDENTIFIEDBYIDENTIFIEDBYIDENTIFIEDBYIDENTIFIEDBYpasswordpasswordpasswordpassword;;;;9-9-9-9-12121212Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁使用系统权限•一旦一个用户被创建，DBADBADBADBA能够授予指定的系统权限给一个用户•应用程序的开发者，例如，可能有下面的系统权限::::–CREATESESSIONCREATESESSIONCREATESESSIONCREATESESSION–CREATETABLECREATETABLECREATETABLECREATETABLE–CREATESEQUENCECREATESEQUENCECREATESEQUENCECREATESEQUENCE–CREATEVIEWCREATEVIEWCREATEVIEWCREATEVIEW–CREATEPROCEDURECREATEPROCEDURECREATEPROCEDURECREATEPROCEDUREGRANTGRANTGRANTGRANTprivilegeprivilegeprivilegeprivilege[,[,[,[,privilegeprivilegeprivilegeprivilege...]...]...]...]TOTOTOTOuseruseruseruser[,[,[,[,user|role,PUBLICuser|role,PUBLICuser|role,PUBLICuser|role,PUBLIC...];...];...];...];GRANTGRANTGRANTGRANTprivilegeprivilegeprivilegeprivilege[,[,[,[,privilegeprivilegeprivilegeprivilege...]...]...]...]TOTOTOTOuseruseruseruser[,[,[,[,user|role,PUBLICuser|role,PUBLICuser|role,PUBLICuser|role,PUBLIC...];...];...];...];9-9-9-9-13131313Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁典型的用户权限在用户的方案中创建存储过程、函数或包CREATECREATECREATECREATEPROCEDUREPROCEDUREPROCEDUREPROCEDURE在用户的方案中创建视图CREATEVIEWCREATEVIEWCREATEVIEWCREATEVIEW在用户的方案中创建序列CREATESEQUENCECREATESEQUENCECREATESEQUENCECREATESEQUENCE在用户的方案中创建表CREATETABLECREATETABLECREATETABLECREATETABLE连接到数据库CREATESESSIONCREATESESSIONCREATESESSIONCREATESESSION授权的操作系统权限9-9-9-9-14141414Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁授予系统权限DBA能够授予用户指定的系统权限GRANTcreatesession,createtable,GRANTcreatesession,createtable,GRANTcreatesession,createtable,GRANTcreatesession,createtable,createsequence,createviewcreatesequence,createviewcreatesequence,createviewcreatesequence,createviewTOscott;TOscott;TOscott;TOscott;Grantsucceeded.Grantsucceeded.Grantsucceeded.Grantsucceeded.GRANTcreatesession,createtable,GRANTcreatesession,createtable,GRANTcreatesession,createtable,GRANTcreatesession,createtable,createsequence,createviewcreatesequence,createviewcreatesequence,createviewcreatesequence,createviewTOscott;TOscott;TOscott;TOscott;Grantsucceeded.Grantsucceeded.Grantsucceeded.Grantsucceeded.Grantsucceeded.Grantsucceeded.Grantsucceeded.Grantsucceeded.9-9-9-9-15151515Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁什么是角色?不用角色分配权限使用角色分配权限权限用户经理9-9-9-9-16161616Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁什么是角色？•角色是命名的可以授予用户的相关权限的组•角色使得授予、撤回和维护权限容易的多•一个用户可以使用几个角色•几个用户也可以被指定相同的角色•角色典型地为数据库应用程序创建9-9-9-9-17171717Copyright©SWFC-CISD,2009.Allrightsreserved.西南林学院计算机与信息科学系——鲁宁创建和分配角色•语法