用户、角色与权限控制.pptxVIP

用户、角色与权限控制共15页，您现在浏览的是第1页!第16章用户、角色与权限控制用户是数据库对象之一，只有使用了合法的用户登录之后，才可以对数据库进行各种操作。但是这些操作又必须是受限的，这就要求数据库对用户的权限进行控制。角色是权限的集合，用以更加高效、灵活地分配权限给用户。用户、权限和角色是Oracle数据库进行权限控制的主要手段。本章的主要内容包括：用户及用户的创建；权限及权限的分配；角色及角色的使用。通过本章的学习，读者将清晰的了解用户、权限和角色这三者的概念及相互关系，并掌握如何在Oracle数据库进行权限控制。用户、角色与权限控制共15页，您现在浏览的是第2页!16.1用户Oracle用户分为两类：一类是具有系统管理权限的用户，称为系统用户；另一类为普通用户。从创建时机上讲，Oracle数据库在创建时，会提供若干默认用户（如系统用户system）；另外，系统用户可以在登录数据库后创建其他用户。这些用户共同组成了Oracle数据库的用户集合。本小节将讲述Oracle用户的概况，并讲解如何创建普通用户。用户、角色与权限控制共15页，您现在浏览的是第3页!16.1.1Oracle中的用户概况在Oracle数据库中，存在着视图dba_users。该视图存储了所有用户的基本信息，我们搜寻视图内容来查看Oracle中的用户概况。用户、角色与权限控制共15页，您现在浏览的是第4页!16.1.2利用系统用户创建新的用户对于开发人员来说，并不会经常使用系统用户登录数据库。因为系统用户的权限范围较大，如果出现失误，可能对数据库造成较大伤害。因此，往往开发人员会使用特定的用户进行开发任务。创建新用户的语法如下所示：createuser用户名identifiedby密码defaulttablespace名称空间其中，createuser命令用户创建新的用户，并指定用户名；identifiedby选项是必需的，用于指定新用户的密码；defaulttablespace用于指定新建用户的默认表空间，新用户登录之后，所有操作均默认在该名称空间进行。用户、角色与权限控制共15页，您现在浏览的是第5页!16.1.4系统用户——system与sys系统用户sys和system是Oracle数据库默认创建的用户。用户sys角色为sysdba（数据库管理员），是数据库中权限最高的用户，可以进行任意操作而不受限制。system用户角色为sysoper（数据库操作员），权限仅次于sys用户。我们在16.1.1节中提到，一个用户的状态有可能是EXPIREDLOCKED，即被锁定的。用户、角色与权限控制共15页，您现在浏览的是第6页!16.2.1系统权限系统权限是Oracle内置的、与具体对象无关的权限类型。这些权限不指向具体对象，而是针对某种操作而言。例如，创建表的权限，当表未创建时，自然无从谈对针对特定表的权限。1．获得系统权限信息2．分配系统权限3．adminoption选项4．收回用户的系统权限用户、角色与权限控制共15页，您现在浏览的是第7页!16.3角色利用grant命令为用户分配权限是一件非常耗时的工作，尤其是当数据库中用户众多，而且权限关系比较复杂时。有鉴于此，Oracle提供了角色这一策略来协助数据库管理员来更加灵活地实现权限分配。角色是权限的集合。一个角色可能包含多个权限信息。在Oracle中，我们可以首先创建一个角色，该角色包含了多种权限。然后将角色分配给多个用户，从而在最大程度上实现复用性。用户、角色与权限控制共15页，您现在浏览的是第8页!16.3.2角色的延伸——继承一个角色可以继承其他角色的权限集合，这为某些角色的实现提供了更加便利的途径。例如，角色role_employee已经具备了表system.employees增删改查的权限。现希望创建一个新的角色role_test，该角色具有表system.employees增删改查权限之外，还希望拥有创建会话（createsession）和创建表（createtable）的权限。那么，可以利用已有角色role_employee来实现新角色。用户、角色与权限控制共15页，您现在浏览的是第9页!16.4本章实例并非所有角色都需要用户手动创建。Oracle数据库提供了多个内置角色。其中最常见的为DBA、CONNECT和RESOURCE。其中，DBA是数据库管理员角色，我们利用该角色可以对数据库进行所有操作。本实例将讲述CONNECT和RESOURCE角色的主要权限。用户、角色与权限控制共15页，您现在浏览的是第10页!16.1.3用户的对象集合——模式模式（Schema）是用户的附属对象，依赖于对象的存在而存在。一个用户在数