权限与角色技巧.pptVIP

第十章 管理用户权限及角色 10.1 系统权限的授予与撤消 对于系统权限而言： 开发者具有创建和删除数据对象的权限： CLUSTER,PROCEDURE , TABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM ，DATABASE LINK ，PUBLIC SYNONYM，SEQUENCE ，SNAPSHOT ，TYPE ， LIBRARY DBA具有上述数据对象的any 权限，即在其他用户对象模式下，创建上述对象和删除上述对象的权限。此外，还具有对用户和角色的管理权限。 此外，DBA还具有对数据库的维护权限。 10.2 对象权限的授权与撤消 一般情况下，我们先将对象的访问权授予某个角色，然后把角色授予用户 一般来说，如果系统并不复杂时常采用无角色的授权。 建议采用角色授权与用户授予角色的授权方式来管理系统。 10.2 对象权限的授予与撤消 GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] GRANT object_privilege | ALL column ON schema.object TO user | role | PUBLIC WITH GRANT OPTION 10.2 对象权限的授予与撤消 object_privilege:对象的权限，可以是： ALTER DELETE EXECUTE INDEX INSERT REFERENCES SELECT UPDATE 10.2 对象权限的授予与撤消 例1： GRANT INSERT, UPDATE ON sales TO larry WITH GRANT OPTION; 例2 GRANT ALL TO PUBLIC; 10.2 对象权限的授予与撤消 本章难点： 权限的级联授予 级联授权通过参数来实现，它们是： 系统权限：with admin option 对象权限：with grant option 10.2 对象权限的授予与撤消 实践是检验真理的唯一标准 课堂实验： 对象级联授权的实验 10.3 系统权限的授予与撤消 GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] 10.3 系统权限的授予与撤消 实践是检验真理的唯一标准 课堂实验： 系统权限级联授权的实验 10.5 角色与授权 角色是一个数据库实体，它包括一组权限。即角色是包括一个或多个权限的集合。 它不被哪个用户拥有，它只能授予某些用户。 这些角色不要与用户名相同。 根据各个用户的情况（比如他们所担当的工作）来授予不同的角色。 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 1.CREATE ROLE语法 CREATE ROLE role [ [ NOT IDENTIFIED|IDENTIFIED] [ BY password| EXTERNALLY|GLOBALLY ]; role 角色名 IDENTIFIED BY password 角色口令 IDENTIFIED BY EXETERNALLY 角色名在操作系统下验证。 IDENTIFIED GLOBALLY 用户是ORACLE 安全域中心服务器来验证，此角色有全局用户来使用。 10.5 角色与授权 示例： CREATE ROLE vendor IDENTIFIED GLOBALLY; CREATE ROLE teller IDENTIFIED BY cashflow; 10.5 角色与授权 2 给角色授权 一旦角色建立完成，就可以对角色进行授权。给角色授权用GRANT语句实现。如果系统管理员具有GRANT_ANY_PRIVILEGE权限，则可以对某个角色进行授权。 示例： GRANT CREATE SESSION,CREATE DATABASE LINK to Manager; 10.5 角色与授权 3 授予用户权限与角色 对用户进行授权，包括给用户授予系统预定义的权限，也包括自定义的角色。用GRANT命令来实现给用户的权限与角色的授予。 例1.下面语句将系统权限CREATE SESSION和ACCTS_PAY角色给JWARD用户： GRANT CREATE SESSION, accts_pay TO jward; 例2.下面语句将SELECT, INSERT和 DELETE 授给jfee, tsmith用户： GRANT SELECT,