第4章 安全管理 大型数据库技术 oracle 10g教学课件.ppt

第4章 安全管理 管理用户 管理权限 管理角色 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.1 管理用户 4.2 管理权限 权限是执行SQL语句或存取数据的权力。 Oracle有两类权限： 系统权限 对象权限 Oracle通过两种方法将权限授予用户： 直接将权限授予用户。 先将权限授予角色，然后再将角色授予用户。 4.2 管理权限 系统权限分类 在数据库系统范围内操作的权限 在用户自己模式内操作的权限 在任何模式内操作的权限 在数据库系统范围内操作的权限 在用户自己的模式内操作的权限 在所有模式内操作的权限 4.2 管理权限 授予系统权限 使用GRANT 命令可以将系统权限授予用户、角色或PUBLIC组。该语句的语法为： GRANT 系统权限 [, 系统权限... ] TO {用户 | 角色 | PUBLIC} [, {用户 | 角色 | PUBLIC}... ] [WITH ADMIN OPTION]; WITH ADMIN OPTION表示被授予者可以将该系统权限再授予其他用户。 4.2 管理权限 授予系统权限例子 例如，新创建的用户没有任何权限，这时DBA应首先授予CREATE SESSION系统权限，以便让用户能够创建会话，连接到数据库。 先用SYSTEM用户登录SQL*Plus，执行下列语句为用户授权： GRANT CREATE SESSION TO zhang； 4.2 管理权限 收回系统权限 使用REVOKE语句可以收回用户拥有的系统权限。该语句的语法为： REVOKE 系统权限 [, 系统权限...] FROM {用户 | 角色 | PUBLIC} [, {用户 | 角色 | PUBLIC} ...] 例如，从用户zhang收回CREATE SESSION系统权限。 REVOKE CREATE SESSION FROM zhang； 4.2 管理权限 收回系统权限时应注意以下原则 1. 能够收回某项系统权限的用户必须具有授予该权限的权力。 2. 如果只是想收回WITH ADMIN OPTION子句，那么可以先收回该系统权限，然后再使用不带WITH ADMIN OPTION子句的GRANT语句授予用户该项系统权限。 3. 如果用户使用系统权限执行了某项操作，收回该系统权限不会对操作的结果产生影响。例如，用户具有CREATE TABLE的系统权限，用户利用该权限创建了一些表，收回CREATE TABLE权限后，这些表仍然可以使用。 4. 如果用户A具有某项系统权限，A将该项系统权限授予了用户B，当收回用户A的这个系统权限时，B用户的该系统权限仍然保留。 4.2 管理权限 对象权限的管理 对象权限是指在指定的数据库对象上执行指定类型操作的权限。 Oracle的对象权限主要有8种，分别作用在7类对象上。 4.2 管理权限 授予对象权限 GRANT { 对象权限 [(列列表)] [,对象权限 [(列列表)] ...] |ALL [PRIVILEGES]} ON [模式.]对象 TO {用户 | 角色|PUBLIC} [, {用户 | 角色|PUBLIC}... ] [WITH GRANT OPTION]; 4.2 管理权限 授予对象权限时应注意以下原则 1. 模式对象的拥有者自动具有该模式对象的所有权限，无需再向其授予这些权限。 2. 如果某个模式对象不属于该用户，但是该用户具有这个模式对象的对象权限时，并且在授予权限的语句中使用了WITH GRANT OPTION子句，那么该用户可以将这个对象的权限授予其他的用户。 3. 模式对象的拥有者可以将该对象的任何对象权限授予其他用户。 4. WITH GRANT OPTION子句不能用在授予角色的GRANT语句中。 4.2 管理权限 授予对象权限例子 例如，将查询SCOTT用户的EMP表的对象权限授予zhang用户。 GRANT SELECT ON SCOTT.EMP TO zhang; 4.2 管理权限 收回对象权限 R