【正文】 ject_privilege [(column_list)]]… | ALL [PRIVILEGES]} ON [schema.] object TO {user | role | PUBLIC} [, { user | role | PUBLIC }]… [WITH GRANT OPTION] 其中參數(shù)說明如下： l object_privilege：表示要授予的對象權限； l column_list：指定表或視圖列； l ALL：將所有權限授予那些已被授予 WITH GRANT OPTION的對象； l ON object： object表示將要被授予權限的目標對象； l Role：角色名； l User：被授予的用戶名； l WITH GRANT OPTION：表示被授予者可再將對象權限授予其他用戶。 需要說明的是，如果數(shù)據(jù)庫管理員使用了 GRANT語句給用戶 A授予系統(tǒng)權限時帶有 WITH ADMIN OPTION選項，則該用戶 A有權將系統(tǒng)權限再次授予其他的用戶 B。作為 Oracle系統(tǒng)管理員，應該會查詢當前 Oracle系統(tǒng)中各個用戶的權限，并且能夠使用 REVOKE命令撤銷用戶的某些不必要的系統(tǒng)權限。當授權時帶有這個子句時，用戶才可以將獲得的系統(tǒng)權限再授予其他用戶，即系統(tǒng)權限的傳遞性。 1．授予系統(tǒng)權限 系統(tǒng)管理員給用戶授權時，應該考慮到不同用戶的身份。所謂直接授權就是利用 GRANT命令直接為用戶授權，間接授權就是先將權限授予角色，再將角色授予用戶。 系統(tǒng)權限指數(shù)據(jù)庫級別執(zhí)行某些操作的權限，即用戶執(zhí)行某一特定的數(shù)據(jù)庫操作或某類數(shù)據(jù)庫操作等的權限，例如創(chuàng)建表空間，創(chuàng)建會話等。 20 權限概述 權限是指執(zhí)行特定類型的 SQL語句或訪問另一個用戶的對象的權利，例如：連接到數(shù)據(jù)庫，創(chuàng)建表，查詢其他用戶的表，調(diào)用其他用戶的存儲過程等。 【例 134】查找所有用戶的默認表空間。 DBA_TS_QUOTAS：包含所有用戶的表空間配額信息。 如果 atea用戶的方案中有對象 17 查詢用戶信息 如果要獲取用戶信息，可以通過查詢數(shù)據(jù)字典視圖或動態(tài)性能視圖來實現(xiàn)。 （ 2）如果用戶當前正與 Oracle服務器連接，則不能刪除。命令如下： SQLALTER USER atea 2 DEFAULT TABLESPACE USERS 3 QUOTA 30M ON USERS。 15 對其中的參數(shù)說明如下。 用戶已創(chuàng)建?？诹钤O置為過期狀態(tài)，即首次連接數(shù)據(jù)庫時需要修改口令。資源配置的作用是對數(shù)據(jù)庫系統(tǒng)資源的使用加以限制，這些資源包括：口令是否過期，口令輸入錯誤幾次后鎖定該用戶， CPU時間，輸入 /輸出（ I/O）以及用戶打開的會話數(shù)目等。 （ 5）賬戶狀態(tài) 在創(chuàng)建用戶時，可以設定用戶的初始狀態(tài)，包括用戶口令是否過期、用戶賬戶是否鎖定等。 （ 3）默認表空間 用戶在創(chuàng)建數(shù)據(jù)庫對象時，如果沒有顯示指明該對象在哪個空間，那么系統(tǒng)會將該對象自動存儲在用戶的默認表空間中，即 SYSTEM表空間。和外部身份認證相同，用戶賬戶由數(shù)據(jù)庫管理，但 Oracle不保存口令，當用戶登錄時，需要通過網(wǎng)絡服務驗證。 ? 外部身份認證：用戶賬戶由 Oracle數(shù)據(jù)庫管理，但口令管理和身份驗證由外部服務完成，外部服務可以是操作系統(tǒng)或網(wǎng)絡服務。 （ 1）用戶身份認證方式 在用戶連接數(shù)據(jù)庫時，必須經(jīng)過身份認證。 l SYSTEM：是輔助數(shù)據(jù)庫管理員，不能啟動和關閉數(shù)據(jù)庫，可以進行一些其他的管理工作，例如創(chuàng)建用戶、刪除用戶等。 7 初始用戶 在創(chuàng)建 Oracle數(shù)據(jù)庫時會自動創(chuàng)建一些用戶，例如 SYS、SYSTEM、 SCOTT等，除了 SYS、 SYSTEM這兩個初始合法的管理員，其余用戶在創(chuàng)建后處于鎖定狀態(tài)，需要在安裝時或者安裝后對其解鎖并重新設定口令。但對于軟件開發(fā)人員來說，掌握一些安全機制及處理方式也是有必要的。數(shù)據(jù)庫訪問的安全性主要包括兩個方面的含義：一是阻止未授權用戶訪問數(shù)據(jù)庫；二是每個數(shù)據(jù)庫用戶都有不同的操作權限，用戶在數(shù)據(jù)庫中的操作將被限制在其權限范圍內(nèi)。第 13章 安全性管理 本章概述 本章的學習目標 主要內(nèi)容 1 本章概述 安全性是衡量數(shù)據(jù)庫產(chǎn)品性能的重要指標。 Oracle數(shù)據(jù)庫的安全管理是從用戶登錄數(shù)據(jù)庫就開始的。所以，數(shù)據(jù)庫的安全管理通常屬于數(shù)據(jù)庫管理員的職責， DBA可以通過管理用戶、角色以及權限來控制數(shù)據(jù)庫的安全。 Oracle數(shù)據(jù)庫的用戶管理包括創(chuàng)建用戶、修改用戶的安全參數(shù)、刪除用戶和查詢用戶信息等。 l SYS：是數(shù)據(jù)庫中具有最高權限的數(shù)據(jù)庫管理員，可以啟動、修改和關閉數(shù)據(jù)庫，擁有數(shù)據(jù)字典。 8 相關屬性 和用戶相關的屬性包括以下幾種。這是默認的認證方式。 9 ?全局身份認證：當用戶試圖建立與數(shù)據(jù)庫的連接時， Oracle使用網(wǎng)絡中的安全管理服務器（ Oracle Enterprise Security Manager）對用戶進行身份認證。用戶在臨時表空間中不需要配額。一般使用系統(tǒng)默認臨時表空間 TEMP作為用戶的默認臨時表空間。 （ 6）資源配置 每個用戶都有一個資源配置，如果創(chuàng)建用戶時沒有指定， Oracle會為用戶指定默認的資源配置。 13 【 例 131】 創(chuàng)建用戶 rose，口令為 zzuli，默認表空間為USERS，在該表空間的配額為 50MB。后面的例題都是這樣的吧 ) SQLCREATE USER rose IDENTIFIED BY zzuli 2 DEFAULT TABLESPACE USERS 3 QUOTA 50M ON USERS 4 PASSWORD EXPIRE。 修改數(shù)據(jù)庫用戶使用 ALTER USER語句來實現(xiàn)， ALTER USER語句的語法格式為： ALTER USER user_name [IDENTIFIED] [BY PA