第10章安全管理.ppt

* * * 系统权限 对象权限 回收权限 任何管理员 所有进行过授权的管理员 回收传递性 先回收权限，再重新授权 （相同） 回收对传递授权的影响 无 同时回收 * * 11.3.4 查询权限信息 DBA_TAB_PRIVS：包含数据库所有对象的授权信息 ALL_TAB_PRIVS：包含数据库所有用户和PUBLIC用户组的对象授权信息 USER_TAB_PRIVS：包含当前用户对象的授权信息 DBA_COL_PRIVS：包含所有字段已授予的对象权限 ALL_COL_PRIVS：包含所有字段已授予的对象权限信息 USER_COL_PRIVS：包含当前用户所有字段已授予的对象权限信息。 DBA_SYS_PRIVS：包含授予用户或角色的系统权限信息 USER_SYS_PRIVS：包含授予当前用户的系统权限信。 * * 11.4 角色管理 角色概述：一组相关的权限的集合 可以同时包含系统权限和对象权限 角色的分类 数据库系统预定义角色 用户自定义角色 角色的管理 定义、授权、修改、生效与失效、删除、查询 利用角色对用户间接授权 * 11.4.1 Oracle角色 角色：一系列（系统、对象）权限的集合 * 11.4.2 Oracle角色类型 系统预定义角色：30多个 CONNECT RESOURCE DBA 查询系统所有的角色 SELECT * FROM DBA_ROLES; 查询角色包含的权限 SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE=’DBA’ 用户自定义角色 * 查询SCOTT所属的角色 select * from user_role_privs; select * from dba_role_privs where grantee=SCOTT; * 11.4.3 自定义角色 创建角色 CREATE ROLE role_name [NOT IDENTIFIED ][ IDENTIFIED BY password ] 密码： 授予角色需要角色密码； 获得角色还不够，管理/使用角色需要输入密码：set role 示例 CREATE ROLE high_manager_role CREATE ROLE middle_manager_role IDENTIFIED BY middlerole; * * 角色权限的授予与回收 给角色授予系统权限、对象权限或已有角色。 数据库运行中，可以为角色增加/回收权限。 GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role; GRANT CONNECT,RESOURCE,DBA TO high_manager_role; GRANT SELECT,UPDATE,INSERT,DELETE ON scott.emp TO high_manager_role; * * 修改角色：修改角色的认证方式 ALTER ROLE role_name [ NOT IDENTIFIED ][ IDENTIFIED BY password ] ； 角色的激活与禁用：只针对当前会话 角色的禁用：角色暂时不可用。 角色修改/激活/禁用时，用户从角色中获得的权限相应修改/激活/禁用。 SET ROLE [role_name [ IDENTIFIED BY password ] ] | [ ALL [ EXCEPT role_name ] ] | [ NONE ]; * 删除角色 语法结构 DROP ROLE role_name; * * 给用户或角色授予角色 GRANT role_list TO user_list|role_list； 从用户或角色回收角色 REVOKE role_list FROM user_list|role_list； 用户角色的激活或屏蔽 ALTER USER user_name DEFAULT ROLE [ role_name ] | [ ALL [ EXCEPT role_name ] ] | [ NONE ]; 11.4 利用角色进行权限管理 * * 用户角色（可有多个）的激活或屏蔽 屏蔽所有角色 ALTER USER user1 DEFAULT ROLE NONE; 激活某些角色 ALTER USER user1 DEFAULT ROLE CONNECT,DBA; 激活所有角色 ALTER USER user1 DEFAULT ROLE ALL; 激活某个角色外的其他所有角色 ALTER USER user1 DEFAULT ROLE ALL EXCEPT DBA; * 注意 给用户（或角色）授权或回收权限：立刻生