第13章-用户权限与安全-zhy讲解.ppt

4.3 管理对象权限 对象权限的授予 Grant {object_priv[(column_list)][,object_priv [(column_list)]]… |ALL[PRIVILEGES]} ON [schema.]object To {user|role|PUBLIC} [,{user|role|PUBLIC}] … [with grant option] 说明： object_priv：对象权限 column_list：用于标识权限所对应列的列表 schema：模式名 with grant option：被授权用户可以将对象权限转授给其他用户。 该选项不能授予角色。 例如：grant update(sal) on scott.emp to qqq; 4.3 管理对象权限 对象权限的收回 revoke {object_priv[, object_priv,…]|ALL[PRIVILEGES]} ON [schema.]object From {user|role|PUBLIC }; 例如：revoke select on scott.emp from qqq; 注意：在回收对象权限时，经过传递获得对象权限的用户将会受到影响。例如，如果用户A将对象权限 a授予了用户B，用户B又将对象权限a授予了用户C。那么，当删除用户B或从用户B收回对象权限a后，用户C不再具有对象权限a，并且用户B和C中与该对象权限有关的对象都变为无效。 5 管理角色 Oracle的权限是非常繁多的，这就为DBA有效地管理数据库权限带来了困难。另外，数据库的用户经常由几十个、几百个、甚至成千上万。如果管理员为每个用户授予或者撤消相应的系统权限和对象权限，则这个工作量是非常庞大的。为简化权限管理，Oracle提供了角色的概念。 * 5.1 角色的概念 角色是具有名称的一组相关权限的组合，即将不同的权限组合在一起就成形成了角色。可以使用角色为用户授权，同样也可以从用户中回收角色。由于角色集合了多种权限，所以当为用户授予角色时，相当于为用户授予了多种权限。这样就避免了向用户逐一授权，从而简化了用户权限的管理。 * 用户 权限 用户 权限 角色 5.2 预定义角色 系统预定义角色就是在安装数据库后，由系统自动创建的一些的角色，这些角色已经由系统授予了相应的权限。管理员不再需要先创建预定义角色，就可以将它们授予用户。 常用的系统预定义角色的作用： * 1.CONNECT角色 2.RESOURSE角色 3.DBA角色 4.EXP_FULL_DATABASE角色 5.IMP_FULL_DATABASE角色 6.EXECUTE_CATALOG_ROLE 角色 7.DELETE_CATALOG_ROLE角色 8.SELECT_CATALOG_ROLE角色 9.RECOVERY_CATALOG_OWNER角色 5.3 管理自定义角色 自定义角色是在建立数据库之后由DBA用户建立的角色。该类角色初始没有任何权限，为了使角色起作用，可以为其授予相应的权限。角色不仅可以简化权限管理，还可以通过禁止或激活角色控制权限的可用性。 * (1).建立角色 Create role role_name not identified| identified by password 例如：create role my_role not identified; (2).授权角色 Grant PRIVILEGES to role_name 例如：Grant insert,update,delete on scott.emp to my_role; 5.3 管理自定义角色 (3).激活角色 为用户设置默认角色： Alter user user_name default role {role[,role]…|all[except role[,role]…]|none} 例如：Alter user QQQ default role my_role; 注意： 可以将多个角色授予一个用户。默认角色是指某角色在用户登录数据库时自动激活。 ALTER USER语句中的DEFAULT ROLE子句只适用于那些使用GRANT语句直接授予用户的角色。 DEFAULT ROLE子句在下列情况下是不能使用的： 通过其它角色授予的角色 没有直接授予该用户的角色 练习： （1）.创建用户martin并授予resource,connect角色 （2）.设置缺省的角色为NONE，登录 （3）.重置角色后登录 参考语句： CREATE USER martin IDENTIFIED BY abc; GRANT RESO