第4章 安全管理 大型数据库技术 知识 oracle 10g.pptVIP

4.3 管理角色 角色是一组相关权限的集合。DBA可以使用角色为用户授权，也可以从用户中收回角色。由于一个角色中可以具有多个权限，因此在授权时可以一次授予用户多个权限，同时，还可以将同一个角色授予不同的用户。 4.3 管理角色 Oracle数据库角色包含下列特点： 角色授予与收回语句同系统权限的授予与收回命令完全一样。 一个角色可拥有多个系统权限或对象权限。 一个角色可授权给其它角色，但不能自己授予自己，即使间接授予也不行。 任何角色都可以授权给任何数据库用户。 授权给用户的每一角色可以被激活或禁止。 在一个数据库中，每一个角色名必须唯一。 角色不是模式对象，不包含在任何模式中，授予角色的用户被删除后不影响该角色。 角色信息保存在数据字典中。 4.3 管理角色 创建角色 创建角色语句的语法为： CREATE ROLE 角色 [NOT IDENTIFIED | IDENTIFIED {BY 口令 | EXTERNALLY }]； 4.3 管理角色 关键参数的含义 NOT IDENTIFIED：当角色被激活和禁用时，不需要验证口令。该值为默认值。 IDENTIFIED：当角色被激活和禁用时，需要验证口令。角色的认证方式有数据库认证和操作系统认证两种。 4.3 管理角色 创建角色 数据库采用何种方式验证可以通过初始化参数OS_ROLES设置。如果该参数设置为TRUE，将由操作系统完全管理角色的验证工作，否则，角色将由数据库验证和管理。 例如，现创建一个TEST_ROLE角色，该角色口令为TEST。 CREATE ROLE TEST_ROLE IDENTIFIED BY TEST； 4.3 管理角色 授予角色权限 例如，向TEST_ROLE角色授予CREATE ROLE的系统权限。 GRANT CREATE ROLE TO TEST_ROLE; 又如，向TEST_ROLE角色授予查询SCOTT用户EMP表的对象权限。 GRANT SELECT ON SCOTT.EMP TO TEST_ROLE; 再如，向TEST_ROLE角色授予CONNECT角色。 GRANT CONNECT TO TEST_ROLE; 4.3 管理角色 授予角色 使用GRANT语句可以将一个或多个角色授予用户或其它角色，该语句的语法为： GRANT 角色 [, 角色... ] TO {用户 | 角色 | PUBLIC} [, {用户 | 角色 | PUBLIC}... ] [WITH ADMIN OPTION]； 4.3 管理角色 授予角色例子 例如，将TEST_ROLE角色授予zhang用户。 GRANT TEST_ROLE TO zhang WITH ADMIN OPTION; 4.3 管理角色 设置默认角色 默认角色在用户登录到数据库时自动被激活。 设置角色为默认角色的语句语法为： ALTER USER 用户 DEFAULT ROLE { 角色 [, 角色 ...] | ALL [ EXCEPT角色 [,角色]... ] | NONE}； 4.3 管理角色 设置默认角色例子 例如，将zhang用户的TEST_ROLE角色设置为缺省角色。 ALTER USER zhang DEFAULT ROLE TEST_ROLE; 4.3 管理角色 激活和禁止角色 在将角色授予用户后，用户在会话中可以控制角色的状态，他可以激活角色使其有效，也可以禁止角色使其暂时无效。角色有效时，用户可以根据该角色具有的权限执行相应的操作，角色无效时，用户就没有该角色拥有的权限。激活或禁止角色只在当前会话中生效，在新建会话中，角色仍为默认状态。 4.3 管理角色 激活和禁止角色语句 SET ROLE {角色 [ IDENTIFIED BY 口令 ] [, 角色[ IDENTIFIED BY口令]]... | ALL [ EXCEPT角色[,角色] ...] | NONE }; 4.3 管理角色 激活和禁止角色例子 将用户zhang的角色TEST_ROLE设置为激活状态。 SET ROLE TEST_ROLE IDENTIFIED BY zhang； 将所有角色设置为禁止状态。 SET ROLE NONE； 4.3