【文章內(nèi)容簡介】 一個(gè)對(duì)象權(quán)限后， 其中一個(gè)管理員 回收 其授予該用戶的對(duì)象權(quán)限時(shí)，該用戶 不再擁有 相應(yīng)的對(duì)象權(quán)限。 ? 為了 回收用戶對(duì)象權(quán)限的傳遞性 （授權(quán)時(shí)使用了 WITH GRANT OPTION子句），必須 先回收其對(duì)象權(quán)限 ，然后再授予其相應(yīng)的對(duì)象權(quán)限。 ? 如果一個(gè)用戶獲得的對(duì)象權(quán)限 具有傳遞性 （授權(quán)時(shí)使用了 WITH GRANT OPTION子句），并且給其他用戶授權(quán)，那么該用戶的對(duì)象權(quán)限被 回收后 ，其他用戶的對(duì)象權(quán)限 也被回收 。 （ 3）對(duì)象權(quán)限的 回收 39 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 權(quán)限信息 ? DBA_TAB_PRIVS： 包含數(shù)據(jù)庫所有對(duì)象的授權(quán)信息 ? ALL_TAB_PRIVS： 包含數(shù)據(jù)庫所有用戶和 PUBLIC用戶組的對(duì)象授權(quán)信息 ? USER_TAB_PRIVS： 包含當(dāng)前用戶對(duì)象的授權(quán)信息 ? DBA_COL_PRIVS： 包含所有字段已授予的對(duì)象權(quán)限 ? ALL_COL_PRIVS： 包含所有字段已授予的對(duì)象權(quán)限信息 ? USER_COL_PRIVS： 包含當(dāng)前用戶所有字段已授予的對(duì)象權(quán)限信息。 ? DBA_SYS_PRIVS：包含授予用戶或角色的系統(tǒng)權(quán)限信息 ? USER_SYS_PRIVS：包含授予當(dāng)前用戶的系統(tǒng)權(quán)限信息。 40 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 管理 ? Oracle數(shù)據(jù)庫角色 概述 ?預(yù)定義角色 ?自定義角色 ?利用角色進(jìn)行權(quán)限管理 ?查詢角色信息 41 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 Oracle數(shù)據(jù)庫角色 概述 ?角色的概念 ? 所謂角色就是 一系列相關(guān)權(quán)限的集合 MA N A G E R 1 用戶 MA N A G E R 2 E MPL O Y E E 1 E MPL O Y E E 2 角色 權(quán)限 H R_ M G R H R_ E MP CRE A T E SE SSI O N CRE A T E T A BL E SE L E CT O N J O BS I N SE R T O N J O BS U PD A T E O N J O BS 42 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 預(yù)定義角色 ?預(yù)定義角色 概述 ? 預(yù)定義角色是指在 Oracle數(shù)據(jù)庫創(chuàng)建 時(shí)由系統(tǒng)自動(dòng)創(chuàng)建的一些 常用的角色 ，這些角色已經(jīng)由系統(tǒng)授予了 相應(yīng)的權(quán)限。 ? DBA可以直接利用預(yù)定義的角色 為用戶授權(quán) ，也可以修改預(yù)定義角色 的權(quán)限。 ? Oracle數(shù)據(jù)庫中有 30多個(gè) 預(yù)定義角色。 ? 可以通過數(shù)據(jù)字典視圖 DBA_ROLES查詢當(dāng)前數(shù)據(jù)庫中 所有的預(yù)定義角色 ，通過 DBA_SYS_PRIVS查詢各個(gè)預(yù)定義角色 所具有的系統(tǒng)權(quán)限 。 43 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 角 色 角色具有的部分權(quán)限 CONNECT CREATE DATABASE_LINK， CREATE SESSION， ALTER SESSION， CREATE TABLE， CREATE CLUSTER， CREATE SEQUENCE， CREATE SYNONYM， CREATE VIEW RESOURCE CREATE CLUSTER， CREATE OPERATOR， CREATE TRIGGER， CREATE TYPE， CREATE SEQUENCE， CREATE INDEXTYPE， CREATE PROCEDURE， CREATE TABLE DBA ADMINISTER DATABSE TRIGGER， ADMINISTER RESOURCE MANAGE， CREATE… ， CREATE ANY… ， ALTER… ， ALTER ANY… ， DROP… ， DROP ANY… ， EXECUTE… ， EXECUTE ANY… EXP_FULL_ DATABASE ADMINISTER RESOURCE MANAGE， BACKUP ANY TABLE， EXECUTE ANY PROCEDURE， SELECT ANY TABLE， EXECUTE ANY TYPE IMP_FULL_ DATABASE ADMINISTER DATABSE TRIGGER， ADMINISTER RESOURCE MANAGE， CREATE ANY… ， ALTER ANY… ， DROP… ， DROP ANY… ， EXECUTE ANY… 44 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 自定義 角色 ?創(chuàng)建角色 ?角色權(quán)限的授予與回收 ?修改角色 ?角色的生效與失效 ?刪除角色 45 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 （ 1） 創(chuàng)建角色 ?語法為 ? CREATE ROLE role_name [NOT IDENTIFIED][IDENTIFIED BY password]。 ?參數(shù)說明 ? role_name：用于指定自定義角色名稱，該名稱不能與任何用戶名或其他角色相同； ? NOT IDENTIFIED：用于指定該角色由數(shù)據(jù)庫授權(quán)，使該角色生效時(shí) 不需要口令 ； ? IDENTIFIED BY password：用于設(shè)置角色生效時(shí)的 認(rèn)證口令 。 46 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 ?例如，創(chuàng)建不同類型的角色。 ? CREATE ROLE high_manager_role。 ? CREATE ROLE middle_manager_role IDENTIFIED BY middlerole。 ? CREATE ROLE low_manager_role IDENTIFIED BY lowrole。 47 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 （ 2）角色 權(quán)限的授予與回收 ?說明 ? 給角色授予適當(dāng)?shù)?系統(tǒng)權(quán)限 、 對(duì)象權(quán)限 或已有 角色 。 ? 在數(shù)據(jù)庫運(yùn)行過程中，可以為角色 增加權(quán)限 ，也可以 回收其權(quán)限。 ? 給角色授權(quán)時(shí)應(yīng)該注意，一個(gè)角色可以被授予另一個(gè)角色，但 不能授予其本身 ， 不能產(chǎn)生循環(huán)授權(quán) 。 ? 示例 ? GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role。 ? GRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager_role。 48 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 ? GRANT CONNECT,RESOURCE,DBA TO high_manager_role。 ? GRANT SELECT,UPDATE,INSERT,DELETE ON TO high_manager_role。 ? REVOKE CONNECT FROM low_manager_role。 ? REVOKE CREATE TABLE,CREATE VIEW FROM middle_manager_role。 ? REVOKE UPDATE,DELETE ,INSERT ON FROM high_manager_role。 49 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 （ 3） 修改角色 ?概念 ? 修改角色是指 修改角色生效或失效時(shí)的認(rèn)證方式 ，也就是說，是否必須經(jīng)過 Oracle確認(rèn)才允許對(duì)角色進(jìn)行修改。 ?修改角色的語法 ? ALTER ROLE role_name ? [NOT IDENTIFIED]|[IDENTIFIED BY password]； ?示例 ? ALTER ROLE high_manager_role IDENTIFIED BY highrole。 ? ALTER ROLE middle_manager_role NOT IDENTIFIED。 50 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 （ 4）角色的 生效與失效 ?概念 ? 所謂角色的 失效 是指角色 暫時(shí)不可用 。當(dāng)一個(gè)角色生效或失效時(shí)，用戶從角色中獲得的 權(quán)限也生效或失效 。因此，通過設(shè)置角色的生效或失效，可以動(dòng)態(tài)改變用戶的權(quán)限。 ? 在進(jìn)行角色生效或失效設(shè)置時(shí)， 需要輸入角色的認(rèn)證口令，避免非法設(shè)置。 51 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 ? 語法 ? SET ROLE [role_name[IDENTIFIED BY password ]]|[ALL [EXCEPT role_name]]|[NONE]。 ? 參數(shù)說明 ? role_name： 表示進(jìn)行生效或失效設(shè)置的角色名稱 ； ? IDENTIFIED BY password： 用于設(shè)置角色生效或失效時(shí)的認(rèn)證口令 ； ? ALL：表示使當(dāng)前用戶 所有角色生效 ； ? EXCEPT role_name： 表示 除了 特定角色外 ， 其余所有角色生效 ； ? NONE：表示使當(dāng)前用戶 所有角色失效 。 52 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 ?示例 ? SET ROLE NONE。 ? SET ROLE high_manager_role IDENTIFIED BY highrole。 ? SET ROLE middle_manager_role,low_manager_low IDENTIFIED BY lowrole。 ? SET ROLE ALL EXCEPT low_manager_role,middle_manager_role。 53 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 （ 5） 刪除角色 ?語法結(jié)構(gòu) ? DROP ROLE role_name。 ?說明 ?如果某個(gè)角色不再需要，則可以使用 DROP ROLE語句刪除角色。 角色被刪除 后，用戶通過該角色獲得的 權(quán)限被回收 。 54 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 利用角色進(jìn)行 權(quán)限管理 ?給用戶或角色 授予角色 ?從用戶或角色 回收角色 ?用戶角色的 激活或屏蔽 55 Oracle 10g數(shù)據(jù)庫基礎(chǔ)教程 2022 （ 1）給用戶或角色 授予角色