【正文】 Y password： 用于設置角色生效或失效時的認證口令 ；n ALL：表示使當前用戶所有角色生效；n EXCEPT role_name： 表示除了特定角色外 ， 其余所有角色生效 ；n NONE：表示使當前用戶所有角色失效。 n 在進行角色生效或失效設置時，需要輸入角色的認證口令，避免非法設置。當一個角色生效或失效時，用戶從角色中獲得的權限也生效或失效。n ALTER ROLE middle_manager_role NOT IDENTIFIED。 Oracle 10g數據庫基礎教程（ 3）修改角色p 概念n 修改角色是指修改角色生效或失效時的認證方式，也就是說，是否必須經過 Oracle確認才允許對角色進行修改。n REVOKE CREATE TABLE,CREATE VIEW FROM middle_manager_role。n GRANT SELECT,UPDATE,INSERT,DELETE ON TO high_manager_role。n GRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager_role。n 給角色授權時應該注意，一個角色可以被授予另一個角色，但不能授予其本身，不能產生循環(huán)授權。Oracle 10g數據庫基礎教程（ 2）角色權限的授予與回收 p 說明n 給角色授予適當的系統(tǒng)權限、對象權限或已有角色。n CREATE ROLE middle_manager_role IDENTIFIED BY middlerole。 Oracle 10g數據庫基礎教程p 例如，創(chuàng)建不同類型的角色。 Oracle 10g數據庫基礎教程角 色 角色具有的部分 權 限CONNECT CREATE SESSIONRESOURCE CREATE CLUSTER， CREATE OPERATOR， CREATE TRIGGER， CREATE TYPE， CREATE SEQUENCE，CREATE INDEXTYPE， CREATE PROCEDURE，CREATE TABLEDBAADMINISTER DATABSE TRIGGER，ADMINISTER RESOURCE MANAGE， CREATE… ，CREATE ANY… ， ALTER… ， ALTER ANY… ， DROP… ，DROP ANY… ， EXECUTE… ， EXECUTE ANY…EXP_FULL_DATABASEADMINISTER RESOURCE MANAGE， BACKUP ANY TABLE，EXECUTE ANY PROCEDURE， SELECT ANY TABLE，EXECUTE ANY TYPEIMP_FULL_DATABASEADMINISTER DATABSE TRIGGER，ADMINISTER RESOURCE MANAGE， CREATE ANY… ，ALTER ANY… ， DROP… ， DROP ANY… ， EXECUTE ANY…Oracle 10g數據庫基礎教程 自定義角色p 創(chuàng)建角色 p 角色權限的授予與回收 p 修改角色 p 角色的生效與失效 p 刪除角色 Oracle 10g數據庫基礎教程（ 1）創(chuàng)建角色 p 語法為n CREATE ROLE role_name [NOT IDENTIFIED][IDENTIFIED BY password]。 n Oracle數據庫中有 30多個預定義角色。Oracle 10g數據庫基礎教程p Oracle數據庫角色概述 p 預定義角色 p 自定義角色p 利用角色進行權限管理 p 查詢角色信息 Oracle 10g數據庫基礎教程 Oracle數據庫角色概述 p 角色的概念n 所謂角色就是一系列相關權限的集合Oracle 10g數據庫基礎教程 預定義角色p 預定義角色概述n 預定義角色是指在 Oracle數據庫創(chuàng)建時由系統(tǒng)自動創(chuàng)建的一些常用的角色，這些角色已經由系統(tǒng)授予了相應的權限。Oracle 10g數據庫基礎教程 WITH ADMIN OPTIONDBAGRANTREVOKEJeff EmiJeff EmiDBAOracle 10g數據庫基礎教程GRANTREVOKEWITH GRANT OPTIONBob Jeff EmiEmiJeffBobOracle 10g數據庫基礎教程n DBA_TAB_PRIVS： 包含數據庫所有對象的授權信息n ALL_TAB_PRIVS： 包含數據庫所有用戶和 PUBLIC用戶組的對象授權信息n USER_TAB_PRIVS： 包含當前用戶對象的授權信息n DBA_COL_PRIVS： 包含所有字段已授予的對象權限n ALL_COL_PRIVS： 包含所有字段已授予的對象權限信息n USER_COL_PRIVS： 包含當前用戶所有字段已授予的對象權限信息。n 當甲用戶收回乙用戶的權限后，乙用戶曾經授給丙用戶的權限仍然存在p 與 WITH GRANT OPTION比較n 當甲用戶授權給乙用戶，且激活該選項，則被授權的乙用戶具有管理該權限的能力：或者能把得到的權限再授給其他用戶丙，或者能回收授出去的權限。n 如果一個用戶獲得的對象權限具有傳遞性（授權時使用了 WITH GRANT OPTION子句），并且給其他用戶授權，那么該用戶的對象權限被回收后，其他用戶的對象權限也被回收。p 注意事項n 多個管理員授予用戶同一個對象權限后，其中一個管理員回收其授予該用戶的對象權限時，該用戶不再擁有相應的對象權限。n CONNECT user2/user2ORCLn GRANT SELECT,UPDATE ON TO user3。 user2用戶再將 emp表的SELECT， UPDATE權限授予 user3用戶。n GRANT SELECT,INSERT,UPDATEn ON TO user1。p 參數說明n obj_priv_list：表示對象權限列表，以逗號分隔；n [schema.]object：表示指定的模式對象，默認為當前模式中的對象；n user_list：表示用戶列表，以逗號分隔；n role_list：表示角色列表，以逗號分隔；n WITH GRANT OPTION：表示允許對象權限接收者把此對象權限授予其他用戶。（ 3）系統(tǒng)權限的回收 Oracle 10g數據庫基礎教程 對象權限管理p 對象權限分類p 對象權限的授權p 對象權限的回收 Oracle 10g數據庫基礎教程（ 1）對象權限分類p 在 Oracle數據庫中共有 9種類型的對象權限，不同類型的模式對象有不同的對象權限，而有的對象并沒有對象權限，只能通過系統(tǒng)權限進行控制，如簇、索引、觸發(fā)器、數據庫鏈接等。 n 為了回收用戶系統(tǒng)權限的傳遞性（授權時使用了 WITH ADMIN OPTION子句），必須先回收其系統(tǒng)權限，然后再授予其相應的系統(tǒng)權限。Oracle 10g數據庫基礎教程p 語法為n REVOKE sys_priv_list n FROM user_list|role_list|PUBLIC。n GRANT CREATE SESSION,CREATE TABLE,n CREATE VIEW TO user2 WITH ADMIN OPTION。 p 為用戶 user2授予 CREATE SESSION， CREATE TABLE ， CREATE INDEX系統(tǒng)權限。p 為用戶 user1授予 CREATE SESSION， CREATE TABLE， CREATE INDEX系統(tǒng)權限。Oracle 10g數據庫基礎教程p 為 PUBLIC用戶組授予 CREATE SESSION系統(tǒng)權限。n 普通用戶一般只具有 CREATE SESSION系統(tǒng)權限。Oracle 10g數據庫基礎教程p 系統(tǒng)權限授予時需要注意的幾點：n 只有 DBA才應當擁有 ALTER DATABASE 系統(tǒng)權限。Oracle 10g數據庫基礎教程（ 2）系統(tǒng)權限的授權p 語法為n GRANT sys_priv_list TO n user_list|role_list|PUBLIC n [WITH ADMIN OPTION]。p 另一類系統(tǒng)權限是數據庫級別的某種操作能力。Oracle 10g數據庫基礎教程p 系統(tǒng)權限分類p 系統(tǒng)權限的授權 p 系統(tǒng)權限的回收 Oracle 10g數據庫基礎教程（ 1）系統(tǒng)權限分類p 一類是對數據庫某一類對象的操作能力，通常帶有 ANY關鍵字。Oracle 10g數據庫基礎教程p 授權方法n 直接授權：利用 GRANT命令直接為用戶授權。n 對象權限：對象權限是指對某個特定的數據庫對