管理用户权限及角色.pptVIP

第十章 管理用户权限及角色 10.1 系统权限的授予与撤消 对于系统权限而言： 开发者具有创建和删除数据对象的权限： CLUSTER,PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM ，DATABASE LINK ，PUBLIC SYNONYM，SEQUENCE ，SNAPSHOTP ，TYPE ， LIBRARY DBA具有上述数据对象的any 权限，即在其他用户对象模式下，创建上述对象和删除上述对象的权限。此外，还具有对用户和角色的管理权限。 此外，DBA还具有对数据库的维护权限。 上述权限详见教材152-154页。 10.2 对象权限的授权与撤消 一般情况下，我们先将对象的访问权授予某个角色，然后把角色授予用户 一般来说，如果系统并不复杂时常采用无角色的授权。 建议采用角色授权与用户授予角色的授权方式来管理系统。 10.2 权限的授予与撤消 GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] GRANT object_privilege | ALL column ON schema.object TO user | role | PUBLIC WITH GRANT OPTION 10.2 对象权限的授予与撤消 object_privilege:对象的权限，可以是： ALTER DELETE EXECUTE INDEX INSERT REFERENCES SELECT UPDATE 10.2 对象权限的授予与撤消 例1： GRANT INSERT, UPDATE ON sales TO larry WITH GRANT OPTION; 例2 GRANT ALL TO PUBLIC; 10.2 对象权限的授予与撤消 本章难点： 权限的级联授予 级联授权通过参数来实现，它们是： 系统权限：with admin option 对象权限：with grant option 10.2 对象权限的授予与撤消 实践是检验真理的唯一标准 课堂实验： 对象级联授权的实验 学生练习案例：对象级联授权 连接到system用户，并创建一个新用户marry，smith 赋予新用户mary和smith的create session权限 连接到scott用户，并将在emp表上的update和select权限赋给marry 连接到marry，将在emp表上的update和select权限赋给smith 重新连接回scott，把在emp表上的select和update权限收回 连接回smith用户，用select命令查询时候具有相同的权限 给出结论 10.3 系统权限的授予与撤消 GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] 10.3 系统权限的授予与撤消 实践是检验真理的唯一标准 课堂实验： 系统权限级联授权的实验 学生练习案例：证明系统权限的级联的回收 连接到system用户，并创建一个新用户marry，smith 赋予新用户mary和smith的create session权限 把在emp表上的create any view权限赋给marry 连接到marry，将在emp表上create any view权限赋给smith 连接到smith，创建一个仅有30部门员工的员工号，姓名，工资的视图 重新连接回system，把在emp表上的create any view权限收回 连接回smith用户，创建一个仅有20部门员工的员工号，姓名，工资的视图 给出结论 10.5 角色与授权 角色是一个数据库实体，它包括一组权限。即角色是包括一个或多个权限的集合。 它不被哪个用户拥有，它只能授予某些用户。 这些角色不要与用户名相同。 根据各个用户的情况（比如他们所担当的工作）来授予不同的角色。 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 1.CREATE ROLE语法 CREATE ROLE role [ [ NOT IDENTIFIED|IDENTIFIED] [ BY password| EXTERNALLY|GLOBALLY ]; role 角色名 IDENTIFIED BY password 角色口令 IDENTIFIED BY EXETERNALLY 角色名在操作系统下验证。 IDENTIFIED GLOBALLY 用户是ORACLE