韩顺平玩转oracle10g实战第4讲精要.pptVIP

sqlconn scott/tiger@accp sqlrevoke select on emp from blake 请大家思考,jones能否查询scott.emp表数据. 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ■ 介绍 我们如果采用角色就可以简化： 首先将create session , select on scott.emp, insert on scott.emp,update on scott.emp授予角色，然后将该角色授予a,b,c用户，这样就可以三次授权搞定. 角色分为预定义和自定义角色两类： 可以考虑使用自定义角色来解决问题的。 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ■ 预定义角色 预定义角色是指oracle所提供的角色,每种角色都用于执行一些特定的管理任务,下面我们介绍常用的预定义角色connect,resource,dba ㈠connect角色 connect角色具有一般应用开发人员需要的大部分权限,当建立了一个 用户后,多数情况下,只要给用户授予connect和resource角色就够了,那么，connect角色具有哪些系统权限呢? alter session create cluster create database link create sesssion create table create view create sequence 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ■ 预定义角色 ㈡resource角色 resource角色具有应用开发人员所需要的其它权限,比如建立存储过程、触发器等。这里需要注意的是resource角色隐含了 unlimited tablespace系统权限。 resource角色包含以下系统权限: create cluster create indextype create table create sequence create type create procedure create trigger 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ■ 预定义角色 ㈢dba角色 dba角色具有所有的系统权限，及with admin option选项,默认的dba用户为sys和system他们可以将任何系统权限授予其它用户.但是要注意的是dba角色不具备sysdba和sysoper的特权(启动和关闭数据库) 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ■ 自定义角色 顾名思义就是自己定义的角色，根据自己的需要来定义.一般是dba来建立，如果用的别的用户来建立，则需要具有create role的系统权限.在建立角色时可以指定验证方式(不验证，数据库验证等) ㈠建立角色(不验证) 如果角色是公用的角色，可以采用不验证的方式建立角色. create role 角色名 not identified; ㈡建立角色(数据库验证) 采用这样的方式时,角色名、口令存放在数据库中。当激活该角色时，必须提供口令.在建立这种角色时，需要为其提供口令 create role 角色名 identified by shunping 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ■ 角色授权 当建立角色时，角色没有任何权限,为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。 ㈠给角色授权 给角色授予权限和给用户授权没有太多区别，但是要注意，系统权限的 unlimited tablespace 和对象权限的with grant option 选项是不能授予角色的。 grant 对象权限 on 数据库对象 to 自定义角色名 [with admin option] 练习 : 1. 用system 给某个自定义角色 授予create session权限,要求该权限可以转授 2.用scott用于给某个自定义角色授予 查询权限 主讲 韩顺平 玩转oracle 10g实战教程 管理权限和角色—角色 ㈡分配角色给某个用户 一般分配角色是由dba来完成的，如果要以其它用户身份分配角色,则要求用户必须具有grant any role的系统权限。 sqlconn system/manager sqlgrant 角色名 to blake with admin option 因为我给了with admin option 选项所以，blake可以把system分配给它的角色分配给别的用户. ■ 删除角色 使用drop role,一般是dba来执行,如用其它用户则要求该用户具有drop any role系