Oracle用户和权限管理.ppt

二、给角色授权 选中角色，在右边的TAB页中，给该角色授予角色、系统权限、对象权限等。 三、把角色授予用户 选中某角色点右键，选择“显示被授予者”，可以把该角色授予角色或用户。 本章结束 谢 谢！ 角色 角色是一组用户权限和角色的集合，从本质上来说是权限的集合。 把角色分配给用户，实际上就是把角色所代表的权限分配给用户。 角色也可以是其他角色的集合。通过把几个不同的角色组合成一个具有更多权限的角色，从而进一步简化对用户权限的管理工作。 使用角色可以简化权限管理，因为通过角色可以一次把一组权限授予用户，或者从用户处收回。 使用角色的优点 减少权限管理的工作量 多种权限给角色，再将角色给用户。 实现权限的动态管理 可以调整分配给角色的权限。 有选择地使用权限 可以给一个用户授予多个角色，也可以启用或禁用其中的某些角色。 角色的分类 预定义角色：指在创建Oracle数据库时，系统自动创建的角色。 查询权限：select * from role_sys_privs where role=角色名; 自定义角色：指用户自己创建的角色。 【说明】自定义角色和预定义角色在本质上没有区别，也是一组用户特权的集合，只是它们的创建者不同而已。通过自定义角色，用户可以按自己的实际需要定义权力集合。 6.4.1 预定义角色 常用的系统预定义角色 一、（为了满足向后兼容性而保留） connect：连接 resource：资源 dba：管理员 这些预定义角色主要是用于数据库管理。oracle建议用户自己设计数据库管理和安全的权限规划。 二、 exp_full_database 导出数据库权限 imp_full_database 导入数据库权限 这两个角色用于数据导入导出工具的使用。 三、 delete_catalog_role 在数据字典上的删除权限 execute_catalog_role 在数据字典包上的execute 权限 select_catalog_role 在数据字典上的查询权限 这些角色主要用于访问数据字典视图和包。 Connect角色 向用户提供登录和执行基本操作的能力，是授予用户的典型权利。其系统权限如下： ALTER SESSION --修改会话 CREATE CLUSTER --建立聚簇 CREATE DATABASE LINK --建立数据库链接 CREATE SEQUENCE --建立序列 CREATE SESSION --建立会话 （10g后只有此权限） CREATE SYNONYM --建立同义词 CREATE TABLE--建立表 CREATE VIEW --建立视图 对于一般的用户，通常只授予其Connect角色或者CREATE SESSION 系统权限即可。 RESOURCE 角色 一般授予数据库的高级用户或者开发人员，具有的系统权限如下： CREATE CLUSTER --建立聚簇 CREATE PROCEDURE --建立过程 CREATE SEQUENCE --建立序列 CREATE TABLE --建表 CREATE TRIGGER --建立触发器 CREATE TYPE --建立类型 CREATE INDEXTYPE --建立索引 CREATE OPERATOR --建立运算符 【说明】当授予resource 角色后，自动拥有unlimited tablespace系统权限，但仍需再授予Connect角色或CREATE SESSION 权限才能连接到数据库。 6.4.2 自定义角色 一、创建自定义角色 语法结构 CREATE ROLE 角色名称 {[Not IDENTIFIED]| [IDENTIFIED BY password ]| [IDENTIFIED EXTERNALLY]}； （1）为了创建角色，用户必须具有CREATE ROLE系统权限。 （2）若选用IDENTIFIED BY password，要求用户在启用角色之前，先确认密码。 （3）若选用IDENTIFIED EXTERNALLY，要求用户在启用角色之前，先通过外部服务进行验证。 示 例 CREATE ROLE high_manager_role CREATE ROLE middle_manager_role IDENTIFIED BY middlerole; CREATE ROLE role3 IDENTIFIED EXTERNALLY; 二、给角色授权 新创建的角色并不具有任何权限，需要对其授予系统权限或对象权限。给角色授权与给用户授权的语法相同。 Grant 系统权限|A