1、遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,第十章 管理用戶權(quán)限及角色,,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.1 系統(tǒng)權(quán)限的授予與撤消,對(duì)于系統(tǒng)權(quán)限而言：開(kāi)發(fā)者具有創(chuàng)建和刪除數(shù)據(jù)對(duì)象的權(quán)限：

2、CLUSTER,PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM ，DATABASE LINK ，PUBLIC SYNONYM，SEQUENCE ，SNAPSHOTP ，TYPE ， LIBRARY DBA具有上述數(shù)據(jù)對(duì)象的any 權(quán)限，即在其他用戶對(duì)象模式下，創(chuàng)建上述對(duì)象和刪除上述對(duì)象的權(quán)限。此外，還具有對(duì)用戶和角色的管理權(quán)限。此外，DBA還具有對(duì)數(shù)據(jù)庫(kù)的維護(hù)權(quán)限。

3、上述權(quán)限詳見(jiàn)教材152-154頁(yè)。,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對(duì)象權(quán)限的授權(quán)與撤消,一般情況下，我們先將對(duì)象的訪問(wèn)權(quán)授予某個(gè)角色，然后把角色授予用戶一般來(lái)說(shuō)，如果系統(tǒng)并不復(fù)雜時(shí)常采用無(wú)角色的授權(quán)。建議采用角色授權(quán)與用戶授予角色的授權(quán)方式來(lái)管理系統(tǒng)。,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAI

4、L:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對(duì)象權(quán)限的授予與撤消,GRANT system_privilege | role TO user | role | PUBLIC[WITH ADMIN OPTION]GRANT object_privilege | ALL column ON schema.objectFROM user | role

5、| PUBLIC WITH GRANT OPTION,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對(duì)象權(quán)限的授予與撤消,object_privilege:對(duì)象的權(quán)限，可以是：ALTERDELETEEXECUTEINDEXINSERTREFERENCESSELECTUPDATE,遼寧工程技術(shù)大學(xué) 軟

6、件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對(duì)象權(quán)限的授予與撤消,例1：GRANT INSERT, UPDATE ON sales TO larry WITH GRANT OPTION;例2GRANT ALL TO PUBLIC;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM B

7、LOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,例3： GRANT select ON dept TO stu10 , stu11 ;例4： GRANT select , insert(empno , ename) , update(ename) ON emp TO scott WITH GRANT OPTION ;,10.2 對(duì)象權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟

8、件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,對(duì)象特權(quán)的回收：例1： REVOKE select ON dept FROM stu10 , stu11 ;例2： REVOKE all ON emp FROM scott ;,10.2 對(duì)象權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM

9、BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.2 對(duì)象權(quán)限的授予與撤消,本章難點(diǎn)：權(quán)限的級(jí)聯(lián)授予級(jí)聯(lián)授權(quán)通過(guò)參數(shù)來(lái)實(shí)現(xiàn)，它們是：系統(tǒng)權(quán)限：with admin option對(duì)象權(quán)限：with grant option,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收對(duì)象特

10、權(quán)的連鎖反映分析：,GRANT,,,10.2 對(duì)象權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收對(duì)象特權(quán)的連鎖反映分析：,REVOKE,10.2 對(duì)象權(quán)限的授予與撤消,?,C,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.

11、COM/MY_VIEW.HTM,10.2 對(duì)象權(quán)限的授予與撤消,實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)課堂實(shí)驗(yàn)：對(duì)象級(jí)聯(lián)授權(quán)的實(shí)驗(yàn),遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收對(duì)象特權(quán)的連鎖反映分析：,,,,A,,,C,,B,RESULT,,,,A,,C,,B,10.2 對(duì)象權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系

12、E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,行命令回收系統(tǒng)特權(quán)或角色：REVOKE FROM,,，,，,角色名,系統(tǒng)特權(quán)名,用戶名,角色名,public,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.C

13、OM/MY_VIEW.HTM,10.3 系統(tǒng)權(quán)限的授予與撤消,GRANT system_privilege | role TO user | role | PUBLIC[WITH ADMIN OPTION],遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,例：從用戶Bill和Mary回收DROP ANY TABLE系統(tǒng)特權(quán)。

14、 REVOKE drop any table FROM bill , mary ;,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收系統(tǒng)特權(quán)的連鎖反映分析：,,,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLO

15、G:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,回收系統(tǒng)特權(quán)的連鎖反映分析：,10.3 系統(tǒng)權(quán)限的授予與撤消,REVOKE,?,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系統(tǒng)權(quán)限的授予與撤消,實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)課堂實(shí)驗(yàn)：系統(tǒng)權(quán)限級(jí)聯(lián)授權(quán)的實(shí)驗(yàn),遼寧工程技術(shù)大學(xué) 軟件工程

16、系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.3 系統(tǒng)權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,與特權(quán)有關(guān)的數(shù)據(jù)字典視圖： DBA_SYS_PRIVS TABLE_PRIVILEGES COLUMN_PRI

17、VILEGES ALL/USER_TAB_PRIVS ALL/USER_TAB_PRIVS_MADE ALL/USER_TAB_PRIVS_RECD ALL/USER_COL_PRIVS ALL/USER_COL_PRIVS_MADE ALL/USER_COL_PRIVS_RECD,10.4 權(quán)限的授予與撤消,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.C

18、AT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),角色是一個(gè)數(shù)據(jù)庫(kù)實(shí)體，它包括一組權(quán)限。即角色是包括一個(gè)或多個(gè)權(quán)限的集合。它不被哪個(gè)用戶擁有，它只能授予某些用戶。這些角色不要與用戶名相同。根據(jù)各個(gè)用戶的情況（比如他們所擔(dān)當(dāng)?shù)墓ぷ鳎﹣?lái)授予不同的角色。,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5

19、 角色與授權(quán),無(wú)角色管理的授權(quán)示意圖,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),,,對(duì)象權(quán)限列表：,遼寧工程技術(shù)大學(xué)

20、 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),常見(jiàn)的系統(tǒng)角色,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),1.CREATE ROLE語(yǔ)法CREATE ROLE role[ [ N

21、OT IDENTIFIED|IDENTIFIED] [ BY password| EXTERNALLY|GLOBALLY ];role 角色名IDENTIFIED BY password 角色口令I(lǐng)DENTIFIED BY EXETERNALLY 角色名在操作系統(tǒng)下驗(yàn)證。IDENTIFIED GLOBALLY 用戶是ORACLE 安全域中心服務(wù)器來(lái)驗(yàn)證，此角色有全局用戶來(lái)使用。,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:Y

22、GHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),示例：CREATE ROLE vendor IDENTIFIED GLOBALLY;CREATE ROLE teller IDENTIFIED BY cashflow;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.C

23、OM/MY_VIEW.HTM,10.5 角色與授權(quán),2 給角色授權(quán)一旦角色建立完成，就可以對(duì)角色進(jìn)行授權(quán)。給角色授權(quán)用GRANT語(yǔ)句實(shí)現(xiàn)。如果系統(tǒng)管理員具有GRANT_ANY_PRIVILEGE權(quán)限，則可以對(duì)某個(gè)角色進(jìn)行授權(quán)。示例： GRANT CREATE SESSION,CREATE DATABASE LINK to Manager;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:H

24、TTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),3 授予用戶權(quán)限與角色對(duì)用戶進(jìn)行授權(quán)，包括給用戶授予系統(tǒng)預(yù)定義的權(quán)限，也包括自定義的角色。用GRANT命令來(lái)實(shí)現(xiàn)給用戶的權(quán)限與角色的授予。例1.下面語(yǔ)句將系統(tǒng)權(quán)限CREATE SESSION和ACCTS_PAY角色給JWARD用戶：GRANT CREATE SESSION, accts_pay TO jward;例2.下面語(yǔ)句將SELEC

25、T, INSERT和 DELETE 授給jfee, tsmith用戶：GRANT SELECT, INSERT, DELETE ON emp TO jfee, tsmith;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),刪除角色只要具有相應(yīng)權(quán)限，就可以用DROP ROLE命令刪除角色。如：DRO

26、P ROLE Manager;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),角色的查詢1.確定角色的權(quán)限授予用戶某個(gè)角色，則角色的權(quán)限也就授予了用戶，管理員需了解角色被授予那些權(quán)限，以便知道哪些角色是夠用，或者應(yīng)撤消哪些權(quán)限。ROLE_TAB_PRIVS 授予角色的對(duì)象權(quán)限ROLE_

27、ROLE_PRIVS 授予另一角色的角色ROLE_SYS_PRIVS 授予角色的系統(tǒng)權(quán)限,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.5 角色與授權(quán),2.確定用戶所授予的權(quán)限為了維護(hù)用戶，必須知道哪寫 ORACLE 帳戶被授予哪些權(quán)限，這些權(quán)限可能是直接授予，也可能是通過(guò)角色授予的。DBA_TAB_PRI

28、VS 包含直接授予用戶帳戶的對(duì)象權(quán)限D(zhuǎn)BA_ROLE_PRIVS 包含授予用戶帳戶的角色DBA_SYS_PRIVS 包含授予用戶帳戶的系統(tǒng)權(quán)限,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.6 有關(guān)的數(shù)據(jù)字典,與用戶、角色權(quán)限有關(guān)的數(shù)據(jù)字典:DBA_USERS 實(shí)例中有效的用戶及相應(yīng)信息。

29、DBA_TS_QUOTAS 用戶對(duì)表空間的使用限制信息。USER_RESOURCE_LIMITS 用戶資源的使用限制信息。DBA_PROFILES 系統(tǒng)所有資源文件信息。RESOURCE_COST 系統(tǒng)每個(gè)資源的代價(jià)。V$SESSION 實(shí)例中會(huì)話的信息。V$SESSTAT 實(shí)例中會(huì)話的統(tǒng)計(jì)。V$STATNAME 實(shí)

30、例中會(huì)話的統(tǒng)計(jì)代碼名字。DBA_ROLES 實(shí)例中已經(jīng)創(chuàng)建的角色的信息。ROLE_TAB_PRIVS 授予角色的對(duì)象權(quán)限。ROLE_ROLE_PRIVS 授予另一角色的角色。ROLE_SYS_PRIVS 授予角色的系統(tǒng)權(quán)限。DBA_ROLE_PRIVS 授予用戶和角色的角色。SESSION_ROLES 用戶可用的角色的信息。,遼寧工程技術(shù)大學(xué)

31、軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,,如何查看oracle用戶權(quán)限    1. oracle用戶查看自己的權(quán)限和角色      select * from user_tab_privs;   

32、60;  select * from user_role_privs;   2. sys用戶查看任一用戶的權(quán)限和角色      select * from dba_tab_privs;      select * 

33、;from dba_role_privs;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,,oracle中查看用戶權(quán)限1.查看所有用戶：select * from dba_user;select * from all_users;select * from user_users;2.查看用戶系統(tǒng)權(quán)限：se

34、lect * from dba_sys_privs;select * from all_sys_privs;select * from user_sys_privs;3.查看用戶對(duì)象權(quán)限：select * from dba_tab_privs;select * from all_tab_privs;select * from user_tab_privs;4.查看所有角色：select * from dba_roles;

35、5.查看用戶所擁有的角色：select * from dba_role_privs;select * from user_role_privs;,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.7 鎖的定義及管理,掌握鎖定的概念及其實(shí)現(xiàn)用法,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM

36、 BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,10.7 鎖的定義及管理,允許或拒絕資源訪問(wèn)的一種機(jī)制資源可以是特定行或整個(gè)表控制對(duì)數(shù)據(jù)的并發(fā)訪問(wèn)防止在同時(shí)訪問(wèn)相同資源的用戶之間出現(xiàn)破壞性的交互操作,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,鎖定類型行級(jí)鎖表級(jí)鎖行級(jí)鎖行被排他

37、鎖定在某行的鎖被釋放之前，其他用戶不能修改此行使用 commit 或 rollback 命令釋放鎖Oracle 通過(guò)使用 INSERT、UPDATE 和 SELECT…FOR UPDATE 語(yǔ)句自動(dòng)獲取行級(jí)鎖,10.7 鎖的定義及管理,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,SELECT…FOR UPDATE 子句

38、在表的一行或多行上放置排他鎖用于防止其他用戶更新該行可以執(zhí)行除更新之外的其他操作,10.7 鎖的定義及管理,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,FOR UPDATE WAIT 子句Oracle9i 中的新增功能防止無(wú)限期地等待鎖定的行允許對(duì)鎖的等待時(shí)間進(jìn)行更多的控制等待間隔必須指定為數(shù)值文字等待間隔不

39、能是表達(dá)式、賦值變量或 PL/SQL變量,10.7 鎖的定義及管理,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,表級(jí)鎖保護(hù)表的數(shù)據(jù)在多個(gè)用戶同時(shí)訪問(wèn)數(shù)據(jù)時(shí)確保數(shù)據(jù)的完整性可以設(shè)置為三種模式：共享、共享更新和排他語(yǔ)法： Lock table in ;,10.7 鎖的定義及管理,遼寧工程技術(shù)大學(xué)

40、軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,共享鎖鎖定表僅允許其他用戶執(zhí)行查詢操作不能插入、更新和刪除多個(gè)用戶可以同時(shí)在同一表中放置此鎖,10.7 鎖的定義及管理,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,共享更新鎖鎖

41、定要被更新的行允許其他用戶同時(shí)查詢、插入、更新未被鎖定的行在 SELECT 語(yǔ)句中使用“FOR UPDATE”子句，可以強(qiáng)制使用共享更新鎖允許多個(gè)用戶同時(shí)鎖定表的不同行,10.7 鎖的定義及管理,遼寧工程技術(shù)大學(xué) 軟件工程系 E-MAIL:YGHL2000@TOM.COM BLOG:HTTP://BLOG.CAT898.COM/MY_VIEW.HTM,排他鎖與其他兩種鎖相比，排他鎖是限制性最強(qiáng)的表鎖僅允許其他用戶查詢數(shù)據(jù)不允