管理用戶權(quán)限及角色

1、遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,第十章 管理用戶權(quán)限及角色,,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.1 系統(tǒng)權(quán)限的授予與撤消,對于系統(tǒng)權(quán)限而言：開發(fā)者具有創(chuàng)建和刪除數(shù)據(jù)對象的權(quán)限：

2、CLUSTER,PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM ，DATABASE LINK ，PUBLIC SYNONYM，SEQUENCE ，SNAPSHOTP ，TYPE ， LIBRARY DBA具有上述數(shù)據(jù)對象的any 權(quán)限，即在其他用戶對象模式下，創(chuàng)建上述對象和刪除上述對象的權(quán)限。此外，還具有對用戶和角色的管理權(quán)限。此外，DBA還具有對數(shù)據(jù)庫的維護權(quán)限。

3、上述權(quán)限詳見教材152-154頁。,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對象權(quán)限的授權(quán)與撤消,一般情況下，我們先將對象的訪問權(quán)授予某個角色，然后把角色授予用戶一般來說，如果系統(tǒng)并不復雜時常采用無角色的授權(quán)。建議采用角色授權(quán)與用戶授予角色的授權(quán)方式來管理系統(tǒng)。,遼寧工程技術(shù)大學 軟件工程系 E-MAI

4、L:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對象權(quán)限的授予與撤消,GRANT system_privilege | role TO user | role | PUBLIC[WITH ADMIN OPTION]GRANT object_privilege | ALL column ON schema.objectFROM user | role

5、| PUBLIC WITH GRANT OPTION,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對象權(quán)限的授予與撤消,object_privilege:對象的權(quán)限，可以是：ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE,遼寧工程技術(shù)大學 軟

6、件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對象權(quán)限的授予與撤消,例1：GRANT INSERT, UPDATE ON sales TO larry WITH GRANT OPTION;例2GRANT ALL TO PUBLIC;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM B

7、LOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,例3： GRANT select ON dept TO stu10 , stu11 ;例4： GRANT select , insert(empno , ename) , update(ename) ON emp TO scott WITH GRANT OPTION ;,10.2 對象權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟

8、件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,對象特權(quán)的回收：例1： REVOKE select ON dept FROM stu10 , stu11 ;例2： REVOKE all ON emp FROM scott ;,10.2 對象權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM

9、BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對象權(quán)限的授予與撤消,本章難點：權(quán)限的級聯(lián)授予級聯(lián)授權(quán)通過參數(shù)來實現(xiàn)，它們是：系統(tǒng)權(quán)限：with admin option對象權(quán)限：with grant option,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收對象特

10、權(quán)的連鎖反映分析：,GRANT,,,10.2 對象權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收對象特權(quán)的連鎖反映分析：,REVOKE,10.2 對象權(quán)限的授予與撤消,?,C,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.

11、COM/MY_VIEW.HTM,10.2 對象權(quán)限的授予與撤消,實踐是檢驗真理的唯一標準課堂實驗：對象級聯(lián)授權(quán)的實驗,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收對象特權(quán)的連鎖反映分析：,,,,A,,,C,,B,RESULT,,,,A,,C,,B,10.2 對象權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系

12、E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,行命令回收系統(tǒng)特權(quán)或角色：REVOKE FROM,,，,，,角色名,系統(tǒng)特權(quán)名,用戶名,角色名,public,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.C

13、OM/MY_VIEW.HTM,10.3 系統(tǒng)權(quán)限的授予與撤消,GRANT system_privilege | role TO user | role | PUBLIC[WITH ADMIN OPTION],遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,例：從用戶Bill和Mary回收DROP ANY TABLE系統(tǒng)特權(quán)。

14、 REVOKE drop any table FROM bill , mary ;,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收系統(tǒng)特權(quán)的連鎖反映分析：,,,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLO

15、G:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收系統(tǒng)特權(quán)的連鎖反映分析：,10.3 系統(tǒng)權(quán)限的授予與撤消,REVOKE,?,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系統(tǒng)權(quán)限的授予與撤消,實踐是檢驗真理的唯一標準課堂實驗：系統(tǒng)權(quán)限級聯(lián)授權(quán)的實驗,遼寧工程技術(shù)大學 軟件工程

16、系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,與特權(quán)有關(guān)的數(shù)據(jù)字典視圖： DBA_SYS_PRIVS TABLE_PRIVILEGES COLUMN_PRI

17、VILEGES ALL/USER_TAB_PRIVS ALL/USER_TAB_PRIVS_MADE ALL/USER_TAB_PRIVS_RECD ALL/USER_COL_PRIVS ALL/USER_COL_PRIVS_MADE ALL/USER_COL_PRIVS_RECD,10.4 權(quán)限的授予與撤消,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.C

18、AT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),角色是一個數(shù)據(jù)庫實體，它包括一組權(quán)限。即角色是包括一個或多個權(quán)限的集合。它不被哪個用戶擁有，它只能授予某些用戶。這些角色不要與用戶名相同。根據(jù)各個用戶的情況（比如他們所擔當?shù)墓ぷ鳎﹣硎谟璨煌慕巧?遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5

19、 角色與授權(quán),無角色管理的授權(quán)示意圖,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),,,對象權(quán)限列表：,遼寧工程技術(shù)大學

20、 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),常見的系統(tǒng)角色,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),1.CREATE ROLE語法CREATE ROLE role[ [ N

21、OT IDENTIFIED|IDENTIFIED] [ BY password| EXTERNALLY|GLOBALLY ];role 角色名IDENTIFIED BY password 角色口令I(lǐng)DENTIFIED BY EXETERNALLY 角色名在操作系統(tǒng)下驗證。IDENTIFIED GLOBALLY 用戶是ORACLE 安全域中心服務器來驗證，此角色有全局用戶來使用。,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:Y

22、GHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),示例：CREATE ROLE vendor IDENTIFIED GLOBALLY;CREATE ROLE teller IDENTIFIED BY cashflow;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.C

23、OM/MY_VIEW.HTM,10.5 角色與授權(quán),2 給角色授權(quán)一旦角色建立完成，就可以對角色進行授權(quán)。給角色授權(quán)用GRANT語句實現(xiàn)。如果系統(tǒng)管理員具有GRANT_ANY_PRIVILEGE權(quán)限，則可以對某個角色進行授權(quán)。示例： GRANT CREATE SESSION,CREATE DATABASE LINK to Manager;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:H

24、TTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),3 授予用戶權(quán)限與角色對用戶進行授權(quán)，包括給用戶授予系統(tǒng)預定義的權(quán)限，也包括自定義的角色。用GRANT命令來實現(xiàn)給用戶的權(quán)限與角色的授予。例1.下面語句將系統(tǒng)權(quán)限CREATE SESSION和ACCTS_PAY角色給JWARD用戶：GRANT CREATE SESSION, accts_pay TO jward;例2.下面語句將SELEC

25、T, INSERT和 DELETE 授給jfee, tsmith用戶：GRANT SELECT, INSERT, DELETE ON emp TO jfee, tsmith;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),刪除角色只要具有相應權(quán)限，就可以用DROP ROLE命令刪除角色。如：DRO

26、P ROLE Manager;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),角色的查詢1.確定角色的權(quán)限授予用戶某個角色，則角色的權(quán)限也就授予了用戶，管理員需了解角色被授予那些權(quán)限，以便知道哪些角色是夠用，或者應撤消哪些權(quán)限。ROLE_TAB_PRIVS 授予角色的對象權(quán)限ROLE_

27、ROLE_PRIVS 授予另一角色的角色ROLE_SYS_PRIVS 授予角色的系統(tǒng)權(quán)限,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),2.確定用戶所授予的權(quán)限為了維護用戶，必須知道哪寫 ORACLE 帳戶被授予哪些權(quán)限，這些權(quán)限可能是直接授予，也可能是通過角色授予的。DBA_TAB_PRI

28、VS 包含直接授予用戶帳戶的對象權(quán)限D(zhuǎn)BA_ROLE_PRIVS 包含授予用戶帳戶的角色DBA_SYS_PRIVS 包含授予用戶帳戶的系統(tǒng)權(quán)限,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.6 有關(guān)的數(shù)據(jù)字典,與用戶、角色權(quán)限有關(guān)的數(shù)據(jù)字典:DBA_USERS 實例中有效的用戶及相應信息。

29、DBA_TS_QUOTAS 用戶對表空間的使用限制信息。USER_RESOURCE_LIMITS 用戶資源的使用限制信息。DBA_PROFILES 系統(tǒng)所有資源文件信息。RESOURCE_COST 系統(tǒng)每個資源的代價。V$SESSION 實例中會話的信息。V$SESSTAT 實例中會話的統(tǒng)計。V$STATNAME 實

30、例中會話的統(tǒng)計代碼名字。DBA_ROLES 實例中已經(jīng)創(chuàng)建的角色的信息。ROLE_TAB_PRIVS 授予角色的對象權(quán)限。ROLE_ROLE_PRIVS 授予另一角色的角色。ROLE_SYS_PRIVS 授予角色的系統(tǒng)權(quán)限。DBA_ROLE_PRIVS 授予用戶和角色的角色。SESSION_ROLES 用戶可用的角色的信息。,遼寧工程技術(shù)大學

31、軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,,如何查看oracle用戶權(quán)限    1. oracle用戶查看自己的權(quán)限和角色      select * from user_tab_privs;   

32、60;  select * from user_role_privs;   2. sys用戶查看任一用戶的權(quán)限和角色      select * from dba_tab_privs;      select * 

33、;from dba_role_privs;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,,oracle中查看用戶權(quán)限1.查看所有用戶：select * from dba_user;select * from all_users;select * from user_users;2.查看用戶系統(tǒng)權(quán)限：se

34、lect * from dba_sys_privs;select * from all_sys_privs;select * from user_sys_privs;3.查看用戶對象權(quán)限：select * from dba_tab_privs;select * from all_tab_privs;select * from user_tab_privs;4.查看所有角色：select * from dba_roles;

35、5.查看用戶所擁有的角色：select * from dba_role_privs;select * from user_role_privs;,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.7 鎖的定義及管理,掌握鎖定的概念及其實現(xiàn)用法,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM

36、 BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.7 鎖的定義及管理,允許或拒絕資源訪問的一種機制資源可以是特定行或整個表控制對數(shù)據(jù)的并發(fā)訪問防止在同時訪問相同資源的用戶之間出現(xiàn)破壞性的交互操作,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,鎖定類型行級鎖表級鎖行級鎖行被排他

37、鎖定在某行的鎖被釋放之前，其他用戶不能修改此行使用 commit 或 rollback 命令釋放鎖Oracle 通過使用 INSERT、UPDATE 和 SELECT…FOR UPDATE 語句自動獲取行級鎖,10.7 鎖的定義及管理,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,SELECT…FOR UPDATE 子句

38、在表的一行或多行上放置排他鎖用于防止其他用戶更新該行可以執(zhí)行除更新之外的其他操作,10.7 鎖的定義及管理,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,FOR UPDATE WAIT 子句Oracle9i 中的新增功能防止無限期地等待鎖定的行允許對鎖的等待時間進行更多的控制等待間隔必須指定為數(shù)值文字等待間隔不

39、能是表達式、賦值變量或 PL/SQL變量,10.7 鎖的定義及管理,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,表級鎖保護表的數(shù)據(jù)在多個用戶同時訪問數(shù)據(jù)時確保數(shù)據(jù)的完整性可以設置為三種模式：共享、共享更新和排他語法： Lock table in ;,10.7 鎖的定義及管理,遼寧工程技術(shù)大學

40、軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,共享鎖鎖定表僅允許其他用戶執(zhí)行查詢操作不能插入、更新和刪除多個用戶可以同時在同一表中放置此鎖,10.7 鎖的定義及管理,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,共享更新鎖鎖

41、定要被更新的行允許其他用戶同時查詢、插入、更新未被鎖定的行在 SELECT 語句中使用“FOR UPDATE”子句，可以強制使用共享更新鎖允許多個用戶同時鎖定表的不同行,10.7 鎖的定義及管理,遼寧工程技術(shù)大學 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,排他鎖與其他兩種鎖相比，排他鎖是限制性最強的表鎖僅允許其他用戶查詢數(shù)據(jù)不允