Oracle数据库实用教程 教学课件 作者 吴思远 第9章 安全性与SQL的数据控制语言DCL.pptVIP

授予角色权限 先向角色hr_junior授予对employees表、departments表执行SELECT操作的对象权限： SQLGRANT SELECT ON hr.employees TO hr_junior; SQLGRANT SELECT ON hr.departments TO hr_junior; 再向角色hr_senior授予对employees表、departments表执行INSERT、DELETE、UPDATE操作的对象权限和CREATE USER系统权限： SQLGRANT INSERT,DELETE,UPDATE ON hr.employees TO hr_senior; SQLGRANT INSERT,DELETE,UPDATE ON hr.departments TO hr_senior; SQLGRANT CREATE USER TO hr_senior; 将角色授予用户 SQL GRANT hr_junior TO siyuan; 这时，用户siyuan就拥有了角色hr_junior的权限，能对employees表、departments表执行SELECT操作了。下面例子用siyuan用户连接数据库，查询employees表的前三列信息： SQLCONNECT siyuan/wenjing; SQLSELECT EMPLOYEE_ID,first_name,last_name FROM HR.EMPLOYEES; EMPLOYEE_ID FIRST_NAME LAST_NAME ----------- ------------------ ------------ 100 Steven King 101 Neena Kochhar 102 Lex De Haan 103 Alexander Hunold 104 Bruce Ernst ...... 从用户回收角色 SQLCONNECT hr/hr; SQLREVOKE hr_junior FROM siyuan; 这时，用户siyuan失去了对employees表、departments表执行SELECT操作权限，进行查询时，会出现权限不足的错误。 SQLCONNECT siyuan/wenjing; SQLselect * from hr.employees; select * from hr.employees * ERROR at line 1: ORA-01031: insufficient privileges 删除角色 先以hr用户的身份连接到数据库上： SQLCONNECT hr/hr; SQLDROP ROLE hr_junior; SQLDROP ROLE hr_senior; 审计 执行审计需要的特权 用户在发出AUDIT语句之前，必须被授予某些特权： 数据库审计时，用户必须具有AUDIT SYSTEM特权。高级别操作的一个例子是发出任何SELECT语句，与涉及的表无关。 基于值的审计、细粒度审计时，要么用户必须拥有AUDIT ANY特权，要么数据库对象必须在它们的模式中。特定数据库对象操作的一个例子是对特定的表发出SELECT语句。 下面这个例子以sys用户的身份连接到数据库上，并将AUDIT SYSTEM和AUDIT ANY权限授予hr用户： SQLCONNECT sys/manager as sysdba; SQLGRANT AUDIT SYSTEM TO hr; SQLGRANT AUDIT ANY TO hr; 审计示例 SQLCONNECT hr/hr; SQLAUDIT CREATE TABLE; 此AUDIT语句将审计执行的任何CREATE TABLE语句。例如，下面这个语句创建一个简单的测试表： SQL create table test_audit( id number(4) ); 表已创建。 审计示例 通过USER_AUDIT_TRAIL视图可