【文章內(nèi)容簡介】 QL語句管理角色 利用 SQL語句的 ALTER ROLE、 GRANT ROLE和 REVOKE命令也可以 管理角色。操作者必須被授予具有 ADMIN OPTION的角色或具有 ALTER ANY ROLW系統(tǒng)權限。 語法格式 ： ALTER ROLE role_name [ NOT IDENTIFIED ] [ IDENTIFIED BY password∣ EXTERNALLY∣ GLOBALLY ] ALTER ROLE語句的關鍵字和參數(shù) CREATE ROLE語句的相同，請參照 CREATE ROLE語句的關鍵字和參數(shù)含義。 使用 SQL語句管理角色和使用 SQL語句管理用戶基本一樣，請讀者參照使用 SQL 語句管理用戶的方法，自己嘗試一下。在此說明一點，在將角色修改為 IDENTIFIED GLOBALLY之前，必須注意： (1)取消所有在外部識別的角色授權。 (2)取消所有用戶、角色和 PUBLIC的角色授權。 權限管理 權限是執(zhí)行特定 SQL語句和訪問對象的權利。權限被授予的用戶能夠完成這些特 定的工作。一個用戶可以通過兩種方式得到權限： (1)顯式地將權限授予給用戶。 (2)可以將權限授予某個角色，然后為用戶加入這個角色。 由于使用角色管理權限比較簡單，所以一般先將權限授予給角色，然后分配給各 個用戶。 Oracle支持系統(tǒng)權限和方案對象權限。 1. 系統(tǒng)權限 系統(tǒng)權限是執(zhí)行特定操作（例如創(chuàng)建數(shù)據(jù)庫、從表中刪除行數(shù)據(jù)等）的權限。 Oracle中包含 60種不同的系統(tǒng)權限?？梢詫⑾到y(tǒng)權限授予用戶和角色，如果將系 統(tǒng)權限授予某個角色，就可以使用該角色管理系統(tǒng)權限。有兩種方法可以授予或 回收系統(tǒng)權限，一是使用 OEM，二是使用 SQL語句 GRANT和 REVOKE。 注意 ：由于系統(tǒng)權限大，在數(shù)據(jù)庫配置時，對于一般用戶盡量不要授予在數(shù)據(jù)字 典上使用 ANY系統(tǒng)權限 (如 ALTER ANY TABLE)。 權限管理 2. 方案對象權限 方案對象權限是對特定方案對象執(zhí)行特定操作的權利，這些方案對象主要包括 表、視圖、序列、過程、函數(shù)和包等。有些方案對象 (如簇、索引、觸發(fā)器和數(shù) 據(jù)庫鏈接 )沒有對應的對象權限，它們是通過系統(tǒng)權限控制的。例如，修改簇用 戶必須擁有 ALTER ANY CLUSER系統(tǒng)權限。 Oracle方案對象有下列 9種權限： (1) SELECT：讀取表、視圖、序列中的行。 (2) UPDATE：更新表、視圖和序列中的行。 (3) DELETE：刪除表、視圖中的數(shù)據(jù)。 (4) INSERT：向表和視圖中插入數(shù)據(jù)。 (5) EXECUTE：執(zhí)行類型、函數(shù)、包和過程。 (6) READ：讀取數(shù)據(jù)字典中的數(shù)據(jù)。 (7) INDEX：生成索引。 (8) PEFERENCES：生成外鍵。 (9) ALTER：修改表、序列、同義詞中的結構。 安全特性 1. 表安全 在表和視圖上賦予 DELETE、 INSERT、 SELECT和 UPDATE權限可進行查詢和操作表 數(shù)據(jù)。可以限制 INSERT權限到表的特定的列，而所有其他列都接受 NULL或者默認 值。使用可選的 UPDATE，用戶能夠更新特定列的值。 如果用戶需要在表上執(zhí)行 DDL操作，那么需要 ALTER、 INDEX和 REFERNCES權限還 可能需要其他系統(tǒng)或者對象權限。例如，如果需要在表上創(chuàng)建觸發(fā)器，用戶就需要 ALTER TABLE對象權限和 CREATE TRIGGER系統(tǒng)權限。與 INSERT和 UPDATE權限 相同， REFRENCES權限能夠?qū)Ρ淼奶囟惺谟铏嘞蕖? 2. 視圖安全 對視圖的方案對象權限允許執(zhí)行大量的 DML操作，影響視圖創(chuàng)建的基表，對表的 DML 對象權限與視圖相似。要創(chuàng)建視圖，必須滿足下面 2條： (1) 授予 CREATE VIEW系統(tǒng)權限或者 CREATE ANY VIEW系統(tǒng)權限。 (2) 顯式授予 SELECT、 INSERT、 UPDATE和 DELETE對象權限，或者顯式授予 SELECT ANY TABLE、 INSERT ANY TABLE、 UPDATE ANY TABLE、 DELETE ANY TABLE系統(tǒng)權限。 為了其他用戶能夠訪問視圖，可以通過 GRANT OPTION子句或者使用 ADMIN OPTION子句授予適當?shù)南到y(tǒng)權限。由于下面 2條： (1) 視圖訪問基表的所選擇的列的數(shù)據(jù)。 (2) 在定義視圖時，使用 WHERE子句控制基表的部分數(shù)據(jù)。 上述兩點可以增加表的安全層次，包括列層和基于值的安全性 安全特性 3. 過程安全 過程方案的對象權限 (其中包括獨立的過程、函數(shù)和包 )只有 EXECUTE權限。將 這個權限授予需要執(zhí)行過程或需要編譯另一個需要調(diào)用它的過程。 (1) 過程對象。具有某個過程的 EXECUTE對象權限的用戶可以執(zhí)行該過程，也 可以編譯引用該過程的程序單元。過程調(diào)用時不會檢查權限。具有 EXECUTE ANY PROCEDURE系統(tǒng)權限的用戶可以執(zhí)行數(shù)據(jù)庫中的任何過程。當用戶需要 創(chuàng)建過程時，必須擁有 CREATE PROCEDURE系統(tǒng)權限或者是 CREATE ANY PROCEDURE系統(tǒng)權限。當需要修改過程時，需要 ALTER ANY PROCEDURE 系統(tǒng)權限。 擁有過程的用戶必須擁有在過程體中引用的方案對象的權限。為了創(chuàng)建過程，必 須為過程引用的所有對象授予用戶必要的權限。 (2) 包對象。擁有包的 EXECUTE對象權限的用戶，可以執(zhí)行包中的任何公共過 程和函數(shù)，能夠訪問和修改任何公共包變量的值。對于包不能授予 EXECUTE權 限，當為數(shù)據(jù)庫應用開發(fā)過程、函數(shù)和包時，要考慮建立安全性。 安全特性 4. 類型安全 (1) 命名類型的系統(tǒng)權限 Oracle 10g為命名類型 (對象類型、 VARRAY和嵌套表 )定義了系統(tǒng)權限，如表 所示。 表 安全特性 4. 類型安全 (2) 對象權限。如果在命名類型上存在 EXECUTE權限，那么用戶可以使用命 名類型完成定義表、在關系包中定義列及聲明命名類型的變量和類型。 (3) 創(chuàng)建類型和表權限。在創(chuàng)建類型時，必須滿足以下要求： ① 如果在自己模式上創(chuàng)建類型，則必須擁有 CREATE TYPE系統(tǒng)權限；如果需 要在其他用戶上創(chuàng)建類型，則必須擁有 CREATE ANY TYPE系統(tǒng)權限。 ② 類型的所有者必須顯式授予訪問定義類型引用的其他類型的 EXECUTE權 限，或者授予 EXECUTE ANY TYPE系統(tǒng)權限，所有者不能通過角色獲取所需的 權限。 ③ 如果類型所有者需要訪問其他類型，則必須已經(jīng)接受 EXECUTE權限或者是 EXECUTE ANY TYPE系統(tǒng)權限。 如果使用類型創(chuàng)建表，則必須滿足以下要求： ① 表的所有者必須顯式授予 EXECUTE對象權限，能夠訪問所有引用的類型， 或者授予 EXECUTE ANY TYPE系統(tǒng)權限。 ② 如果表的所有者需要訪問其他用戶的表時，則必須在 GRANT OPTION選項 中接受參考類型的 EXECUTE對象權限，或者在 ADMIN OPTION中接受 EXECUTE ANY TYPE系統(tǒng)權限。 安全特性 【例 】 使用類型創(chuàng)建類型和表的權限。 假設 USER USER2和 USER3這三個用戶都有 CONNECT和 RESOURCE角色。 ① USER1在自己的模式執(zhí)行下面的 DDL語句： CREATE TYPE type1 AS OBJECT(attr1 number)。 CREATE TYPE type2 AS OBJECT(attr2 number)。 GRANT EXECUTE ON type1 TO USER2。 GRANT EXECUTE ON type2 TO USER2 WITH CRANT OPTION。 ② USER2在自己的模式執(zhí)行下面的 DDL語句： CREATE TABLE tab1 OF 。 CREATE TYPE type3 AS OBJECT(attr3 )。 CREATE TABLE tab2(col1 )。 由于 USER2在 GRANT OPTION中擁有對 USER1的 TYPE2的 EXECUTE2權限，所以能夠成 功執(zhí)行。 GRANT EXECUTE ON type3 TO USER3。 GRANT SELECT ON tab2 TO USER3。 然而，由于在 GRANT OPTION中 USER2沒有 USER1的 TYPE的 EXECUTE權限，所以下面 的授權失敗： CRANT SELECT ON tab1 TO USER3。 ③ USER3可以成功執(zhí)行下面的語句： CREATE TYPE type4 AS OBJECT(attr4 )。 CREATE TABLE tab3 OF type4。 安全特性 4. 類型安全 (4) 類型訪問和對象訪問的權限。在列層和表層上的 DML命令權限，可以應用到對象列和行對象上。 Oracle為對象表定義的權限如表 。 表 概要文件和數(shù)據(jù)字典視圖 概要文件用來限制由用戶使用的系統(tǒng)和數(shù)據(jù)庫資源，并管理口令限制。如果數(shù)據(jù)庫中沒有 創(chuàng)建概要文件，將使用默認的概要文件。 創(chuàng)建概要文件 可以使用 OEM或 SQL語句來創(chuàng)建概要文件。 1. 使用 OEM創(chuàng)建概要文件 啟動并登錄到 OEM，以 SYSDBA的身份連接到要操作的數(shù)據(jù)庫，如圖 。 選擇“概要文件”，進入“概要文件搜索”界面，如圖 。在該界面單擊“創(chuàng)建” 按鈕，進入“創(chuàng)建概要文件”界面，如圖 。該界面包括一般信息和口令兩 個選項頁面，通過對選項頁面中信息的設置，可以完成概要文件的定義。 創(chuàng)建概要文件 1. 使用 OEM創(chuàng)建概要文件 圖 圖 — 一般信息選項頁面 創(chuàng)建概要文件 (1) 一般信息選項頁面。在如圖 “一般信息”選項界面中，可以指定將要創(chuàng)建的概 要文件的名稱以及其他詳細資料和數(shù)據(jù)庫服務。 詳細資料區(qū)設置的內(nèi)容如下： CPU/會話：一個會話占用 CPU的時間總量 (以秒 /100為單位 )。 CPU/調(diào)用：一個調(diào)用占用 CPU的時間最大值 (以秒 /100為單位 )。 連接時間：一個會話持續(xù)的時間的最大值 (以分鐘為單位 )。 空閑時間：一個會話處于空閑狀態(tài)的時間最大值 (以分鐘為單位 )?？臻e時間是會話中持續(xù) 不活動的一段時間。長時間運行的查詢和其他操作不受此限值的約束。 數(shù)據(jù)庫服務區(qū)設置的內(nèi)容如下： 并行會話數(shù)：一個用戶進行并行會話的最大數(shù)量。 讀取數(shù) /會話：一個會話讀取的數(shù)據(jù)塊總量。該限值包括從內(nèi)存和磁盤讀取的塊。 讀取數(shù) /調(diào)用：一個調(diào)用在處理一個 PL/SQL語句時讀取數(shù)據(jù)塊的最大數(shù)量。 專用 SGA：在系統(tǒng)全局區(qū) (SGA)的共享池中，一個會話可分配的專用空間量的最大值。專 用 SGA的限值只在使用多線程服務器體系結構的情況下適用。 限制：一個會話耗費的資源總量。它包括會話占用 CPU的時間、連接時間、會話中的讀取 數(shù)和分配的專用 SGA空間量 Default：使用 DEFAULT概要文件中為該資源指定的限值。 Unlimited：可以不受限制地利用該資源。 值：在現(xiàn)有值中選擇一個。這些默認值是該項目的常用值，這些值根據(jù)項目的不同而不 同。 創(chuàng)建概要文件 (2) 口令選項頁面。口令選項界面如圖 。在該界面可以設置帳戶口令各種參數(shù)。 圖 — 口令選項頁面 創(chuàng)建概要文件 ? 對于“口令”選項，可以設置有效期和失效后鎖定狀態(tài)。 有效期：多少天后口令失效。 最大鎖定天數(shù)：口令失效后第一次用它登錄后多少天內(nèi)可以更改此口令。 ? 對于“歷史記錄”選項，設