13-管理权限与角色.pptVIP

第十三章 管理权限和角色 第十三章 管理权限和角色 第十三章 管理权限和角色 【任务描述】 13.1 概述 权限是用来执行某些特定SQL语句或存取另一用户的对象的权力 有两类权限: 系统权限 对象权限 13.1 概述 访问或使用数据库系统资源的权力。使用户在数据库中能够执行一些特定的操作 在系统级控制数据库的存取和使用的一种机制。 如，是否能启动、停止数据库，是否能修改数据库参数等。 系统权限可授权给用户或角色，一般，系统权限只授予管理人员和应用开发人员，终端用户不需要这些相关功能。 系统权限（部分） SYSDBA 和 SYSOPER权限 SYSDBA 和 SYSOPER权限 13.1 概述 维护数据库中对象的权力，使用户能够访问和维护某一特定的对象 是在对象级控制数据库的存取和使用的机制。 如，用户可以存取哪个方案中的对象，是否能对该对象进行查询、插入、更新等 Oracle系统中一共有8种对象权限 13.1 概述 Object priv. Table View Sequence Procedure ALTER ? ? DELETE ? ? EXECUTE ? INDEX ? INSERT ? ? REFERENCES? SELECT ? ? ? UPDATE ? ? 13.1 概述 角色是对权限进行集中管理（安排、授予、回收）的一种机制，是一组相关权限的组合，即将不同的权限集中在一起就形成了角色。 当把角色授予不同用户时，用户就具有了相同的权限 角色的权限改变，用户的权限也跟着改变 13.1 概述 减轻权限管理的负担 动态的权限管理 权限的选择可用性 可通过操作系统授予 13.1 概述 13.1 概述 角色分类 安全应用角色 DBA可以授予安全应用角色运行给定数据库应用时所有必要的权限。 然后将该安全应用角色授予其他角色或用户， 应用可以包含几个不同的角色，每个角色都包含不同的权限集合。 用户角色 DBA可以为数据库用户组创建用户角色，赋予一般需要的权限。 13.1 概述 13.1 概述 用户、权限与角色三者之间的关系如下： 1）每个用户可以拥有0个或多个权限或角色 2）每个权限可以分配给多个用户或角色 3）每个角色可以拥有0个或多个权限或者角色 4）每个角色可以分配给多个用户或角色 5）角色不能与用户同名 13.1 概述 13.2 管理角色 1.创建角色 2.修改角色 3.删除角色 4.获取角色信息 13.2.1 创建角色 1.使用 CREATE ROLE创建角色语法格式： CREATE ROLE role_name [NOT IDENTIFIED] [IDENTFIED BY Password | EXTERNALLY | GLOBALLY] 13.2.1 创建角色 13.2.2 修改角色 13.2.3 建立默认角色 13.2.3 建立默认角色 default role子句只适用于那些使用grant语句直接授予用户的角色，在下列情况下不能使用： 通过其他角色授予的角色 没有直接授予该用户的角色 通过外部服务（如操作系统）管理的角色 13.2.4 激活和禁用角色 禁止一个角色，可临时地从一个用户收回该角色。 激活一个角色，可临时地授予该角色。 SET ROLE 命令激活和禁止角色。 默认角色在用户登录时激活。 在激活一个角色时可能需要口令。 13.2.4 激活和禁用角色 SET ROLE hr_clerk; 删除角色: 从所有用户和所授权的角色那删除该角色。 从数据库中删除该角色。 需要 ADMIN OPTION 或 DROP ANY ROLE 权限 删除一个角色: 13.2.6 获得角色的信息 13.3 授予权限或角色 可以按工作性质、技术水平、道德修养、项目进展情况等将用户分类，给不同类型的用户授予不同的权限 使用GRANT语句可以将角色、系统权限、对象权限授予指定的用户、角色、public公共用户组，其语法如下： GRANT [角色] | [系统权限] | [,] TO[用户] |[角色] | [PUBLIC] |[,] [WITH ADMIN OPTION]; GRANT [对象权限] | [,] ON 对象名 TO [用户] |[角色] | [PUBLIC] |[,] [WITH GRANT OPTION]; 1.授予系统权限 如果在GRANT 命令中使用了with ADMIN option子句，被授予权限的人可以进一步将这些系统权限授予其他人。 在grant语