Oracle Role Grant 數(shù)據(jù)庫(kù)的用戶(hù)和權(quán)限管理

1、Oracle的的用戶(hù)用戶(hù)和權(quán)限和權(quán)限管理管理本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo) 數(shù)據(jù)庫(kù)安全性問(wèn)題一直是人們關(guān)注的焦點(diǎn)，數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失以及數(shù)據(jù)庫(kù)被非法用戶(hù)的侵入對(duì)于任何一個(gè)應(yīng)用系統(tǒng)來(lái)說(shuō)都是至關(guān)重要的問(wèn)題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫(kù)的安全性能。第五章第五章第五章第五章第五章第五章 OracleOracleOracle的用戶(hù)和權(quán)限管理的用戶(hù)和權(quán)限管理的用戶(hù)和權(quán)限管理的用戶(hù)和權(quán)限管理的用戶(hù)和權(quán)限管理的用戶(hù)和權(quán)限管理本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排 5.1 用戶(hù)管理1 1用戶(hù)鑒別用戶(hù)鑒別2 2用戶(hù)的表空間設(shè)置和定額用戶(hù)的表空間設(shè)置和定額5.1.1 數(shù)據(jù)庫(kù)的存取控制3

2、 3用戶(hù)資源限制和環(huán)境文件用戶(hù)資源限制和環(huán)境文件4 4用戶(hù)環(huán)境文件用戶(hù)環(huán)境文件1. 用戶(hù)鑒別用戶(hù)鑒別為了防止非授權(quán)的數(shù)據(jù)庫(kù)用戶(hù)的使用，Oracle提供三種確認(rèn)方法：操作系統(tǒng)確認(rèn)、Oracle數(shù)據(jù)庫(kù)確認(rèn)網(wǎng)絡(luò)服務(wù)確認(rèn)。由操作系統(tǒng)鑒定用戶(hù)的優(yōu)點(diǎn)是：1）用戶(hù)能更快，更方便地聯(lián)入數(shù)據(jù)庫(kù)。2）通過(guò)操作系統(tǒng)對(duì)用戶(hù)身份確認(rèn)進(jìn)行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫(kù)用戶(hù)信息一致，那么Oracle無(wú)須存儲(chǔ)和管理用戶(hù)名以及密碼。3）用戶(hù)進(jìn)入數(shù)據(jù)庫(kù)和操作系統(tǒng)審計(jì)信息一致。 2 2用戶(hù)的表空間設(shè)置和定額用戶(hù)的表空間設(shè)置和定額 關(guān)于表空間的使用有幾種設(shè)置選擇：用戶(hù)的缺省表空間用戶(hù)的臨時(shí)表空間數(shù)據(jù)庫(kù)表空間的空間使用定額3. 用戶(hù)資

3、源限制和環(huán)境文件用戶(hù)資源限制和環(huán)境文件用戶(hù)可用的各種系統(tǒng)資源總量的限制是用戶(hù)安全域的部分。利用顯式地設(shè)置資源限制，安全管理員可防止用戶(hù)無(wú)控制地消耗寶貴的系統(tǒng)資源。資源限制是由環(huán)境文件管理。一個(gè)環(huán)境文件是命名的一組賦給用戶(hù)的資源限制。另外Oracle為安全管理員在數(shù)據(jù)庫(kù)提供是否對(duì)環(huán)境文件資源限制的選擇。Oracle可限制幾種類(lèi)型的系統(tǒng)資源的使用，每種資源可在會(huì)話級(jí)、調(diào)用級(jí)或兩者上控制。在會(huì)話級(jí)：每一次用戶(hù)連接到一數(shù)據(jù)庫(kù)，建立一會(huì)話。每一個(gè)會(huì)話在執(zhí)行SQL語(yǔ)句的計(jì)算機(jī)上耗費(fèi)CPU時(shí)間和內(nèi)存量進(jìn)行限制。在調(diào)用級(jí)：在SQL語(yǔ)句執(zhí)行時(shí)，處理該語(yǔ)句有幾步，為了防止過(guò)多地調(diào)用系統(tǒng)，Oracle在調(diào)用級(jí)可設(shè)置

4、幾種資源限制。有下列資源限制：（1）為了防止無(wú)控制地使用CPU時(shí)間，Oracle可限制每次Oracle調(diào)用的CPU時(shí)間和在一次會(huì)話期間Oracle調(diào)用所使用的CPU的時(shí)間，以0.01秒為單位。（2）為了防止過(guò)多的I/O，Oracle可限制每次調(diào)用和每次會(huì)話的邏輯數(shù)據(jù)塊讀的數(shù)目。（3）Oracle在會(huì)話級(jí)還提供其它幾種資源限制。每個(gè)用戶(hù)的并行會(huì)話數(shù)的限制。會(huì)話空閑時(shí)間的限制，如果一次會(huì)話的Oracle調(diào)用之間時(shí)間達(dá)到該空閑時(shí)間，當(dāng)前事務(wù)被回滾，會(huì)話被中止，會(huì)話資源返回給系統(tǒng)。每次會(huì)話可消逝時(shí)間的限制，如果一次會(huì)話期間超過(guò)可消逝時(shí)間的限制，當(dāng)前事務(wù)被回滾，會(huì)話被刪除，該會(huì)話的資源被釋放。每次會(huì)話的

5、專(zhuān)用SGA空間量的限制。4用戶(hù)環(huán)境文件用戶(hù)環(huán)境文件用戶(hù)環(huán)境文件是指定資源限制的命名集，可賦給Oracle數(shù)據(jù)庫(kù)的有效的用戶(hù)。利用用戶(hù)環(huán)境文件可容易地管理資源限制。在許多情況中決定用戶(hù)的環(huán)境文件的合適資源限制的最好的方法是收集每種資源使用的歷史信息。5.1.2 創(chuàng)建用戶(hù)使用CREATE USER語(yǔ)句可以創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)用戶(hù)，執(zhí)行該語(yǔ)句的用戶(hù)必須具有CREATE USER系統(tǒng)權(quán)限。在創(chuàng)建用戶(hù)時(shí)必須指定用戶(hù)的認(rèn)證方式。一般會(huì)通過(guò)Oracle數(shù)據(jù)庫(kù)對(duì)用戶(hù)身份進(jìn)行驗(yàn)證，即采用數(shù)據(jù)庫(kù)認(rèn)證方式。在這種情況下，創(chuàng)建用戶(hù)時(shí)必須為新用戶(hù)指定一個(gè)口令，口令以加密方式保存在數(shù)據(jù)庫(kù)中。當(dāng)用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)，Oracle

6、從數(shù)據(jù)庫(kù)中提取口令來(lái)對(duì)用戶(hù)的身份進(jìn)行驗(yàn)證。 使用IDENTIFIED BY子句為用戶(hù)設(shè)置口令，這時(shí)用戶(hù)將通過(guò)數(shù)據(jù)庫(kù)來(lái)進(jìn)行身份認(rèn)證。如果要通過(guò)操作系統(tǒng)來(lái)對(duì)用戶(hù)進(jìn)行身份認(rèn)證，則必須使用IDENTIFIED EXTERNAL BY子句。使用DEFAULT TABLESPACE子句為用戶(hù)指定默認(rèn)表空間。如果沒(méi)有指定默認(rèn)表空間，Oracle會(huì)把SYSTEM表空間作為用戶(hù)的默認(rèn)表空間。為用戶(hù)指定了默認(rèn)表空間之后，還必須使用QUOTA子句來(lái)為用戶(hù)在默認(rèn)表空間中分配的空間配額。 此外，常用的一些子句有：TEMPORARY TABLESPACE子句：為用戶(hù)指定臨時(shí)表空間。PROFILE子句：為用戶(hù)指定一個(gè)概要文

7、件。如果沒(méi)有為用戶(hù)顯式地指定概要文件，Oracle將自動(dòng)為他指定DEFAULT概要文件。DEFAULT ROLE子句：為用戶(hù)指定默認(rèn)的角色。PASSWORD EXPIRE子句：設(shè)置用戶(hù)口令的初始狀態(tài)為過(guò)期。ACCOUNT LOCK子句：設(shè)置用戶(hù)賬戶(hù)的初始狀態(tài)為鎖定，缺省為：ACCOUNT UNLOCK。在建立新用戶(hù)之后，通常會(huì)需要使用GRANT語(yǔ)句為他授予CREATE SESSION系統(tǒng)權(quán)限，使他具有連接到數(shù)據(jù)庫(kù)中的能力?；?yàn)樾掠脩?hù)直接授予Oracle中預(yù)定義的CONNECT角色。5.1.3 修改用戶(hù)在創(chuàng)建用戶(hù)之后，可以使用ALTER USER語(yǔ)句對(duì)用戶(hù)進(jìn)行修改，執(zhí)行該語(yǔ)句的用戶(hù)必須具有ALT

8、ER USER系統(tǒng)權(quán)限。例如：利用下面的語(yǔ)句可以修改用戶(hù)chenjie的認(rèn)證方式、默認(rèn)表空間、空間配額：ALTER USER chenjieIDENTIFIED BY chenjie_pwQUATA 10M ON mbl_tbs; ALTER USER語(yǔ)句最常用的情況是用來(lái)修改用戶(hù)自己 的 口 令 ， 任 何 用 戶(hù) 都 可 以 使 用 A L T E R USERIDENTIFIED BY語(yǔ)句來(lái)修改自己的口令，而不需要具有任何其他權(quán)限。但是如果要修改其他用戶(hù)的口令，則必須具有ALTER USER系統(tǒng)權(quán)限。 DBA還會(huì)經(jīng)常使用ALTER USER語(yǔ)句鎖定或解鎖用戶(hù)賬戶(hù)。例如：ALTER USE

9、R chenjie ACCOUNT LOCK;ALTER USER chenjie ACCOUNT UNLOCK;5.1.4 刪除用戶(hù)使用DROP USER語(yǔ)句可以刪除已有的用戶(hù)，執(zhí)行該語(yǔ)句的用戶(hù)必須具有DROP USER系統(tǒng)權(quán)限。如果用戶(hù)當(dāng)前正連接到數(shù)據(jù)庫(kù)中，則不能刪除這個(gè)用戶(hù)。要?jiǎng)h除已連接的用戶(hù)，首先必須使用ALTER SYSTEMKILL SESSION語(yǔ)句終止他的會(huì)話，然后再使用DROP USER語(yǔ)句將其刪除。如果要?jiǎng)h除的用戶(hù)模式中包含有模式對(duì)象，必須在DROP USER子句中指定CASCADE關(guān)鍵字，否則Oracle將返回錯(cuò)誤信息。例如：利用下面的語(yǔ)句將刪除用戶(hù)chenjie，并且同

10、時(shí)刪除他所擁有的所有表、索引等模式對(duì)象：DROP USER chenjie CASCADE; 5.2 權(quán)限和角色 1 1權(quán)限權(quán)限2 2角色角色5.2.1 基本概念1.權(quán)限權(quán)限 權(quán)限是執(zhí)行一種特殊類(lèi)型的SQL語(yǔ)句或存取另一用戶(hù)的對(duì)象的權(quán)力。有兩類(lèi)權(quán)限：系統(tǒng)權(quán)限和對(duì)象權(quán)限。1）系統(tǒng)權(quán)限：是執(zhí)行一處特殊動(dòng)作或者在對(duì)象類(lèi)型上執(zhí)行一種特殊動(dòng)作的權(quán)利。 系統(tǒng)權(quán)限可授權(quán)給用戶(hù)或角色，一般，系統(tǒng)權(quán)限只授予管理人員和應(yīng)用開(kāi)發(fā)人員，終端用戶(hù)不需要這些相關(guān)功能。2）對(duì)象權(quán)限：在指定的表、視圖、序列、過(guò)程、函數(shù)或包上執(zhí)行特殊動(dòng)作的權(quán)利。2.角色角色為相關(guān)權(quán)限的命名組，可授權(quán)給用戶(hù)和角色。數(shù)據(jù)庫(kù)角色包含下列功能：（1）

11、一個(gè)角色可授予系統(tǒng)權(quán)限或?qū)ο髾?quán)限。（2）一個(gè)角色可授權(quán)給其它角色，但不能循環(huán)授權(quán)。（3）任何角色可授權(quán)給任何數(shù)據(jù)庫(kù)用戶(hù)。（4）授權(quán)給用戶(hù)的每一角色可以是可用的或者不可用的。一個(gè)用戶(hù)的安全域僅包含當(dāng)前對(duì)該用戶(hù)可用的全部角色的權(quán)限。（5）一個(gè)間接授權(quán)角色對(duì)用戶(hù)可顯式地使其可用或不可用。在一個(gè)數(shù)據(jù)庫(kù)中，每一個(gè)角色名必須唯一。角色名與用戶(hù)不同，角色不包含在任何模式中，所以建立角色的用戶(hù)被刪除時(shí)不影響該角色。一般，建立角色服務(wù)有兩個(gè)目的：為數(shù)據(jù)庫(kù)應(yīng)用管理權(quán)限和為用戶(hù)組管理權(quán)限。相應(yīng)的角色稱(chēng)為應(yīng)用角色和用戶(hù)角色。應(yīng)用角色是授予的運(yùn)行數(shù)據(jù)庫(kù)應(yīng)用所需的全部權(quán)限。用戶(hù)角色是為具有公開(kāi)權(quán)限需求的一組數(shù)據(jù)庫(kù)用戶(hù)而建

12、立的。用戶(hù)權(quán)限管理是受應(yīng)用角色或權(quán)限授權(quán)給用戶(hù)角色所控制，然后將用戶(hù)角色授權(quán)給相應(yīng)的用戶(hù)。ORACEL利用角色更容易地進(jìn)行權(quán)限管理。有下列優(yōu)點(diǎn)：（1）減少權(quán)限管理，不要顯式地將同一權(quán)限組授權(quán)給幾個(gè)用戶(hù)，只需將這權(quán)限組授給角色，然后將角色授權(quán)給每一用戶(hù)。（2）動(dòng)態(tài)權(quán)限管理，如果一組權(quán)限需要改變，只需修改角色的權(quán)限，所有授給該角色的全部用戶(hù)的安全域?qū)⒆詣?dòng)地反映對(duì)角色所作的修改。（3）權(quán)限的選擇可用性，授權(quán)給用戶(hù)的角色可選擇地使其可用或不可用。（4）應(yīng)用可知性，當(dāng)用戶(hù)經(jīng)用戶(hù)名執(zhí)行應(yīng)用時(shí)，該數(shù)據(jù)庫(kù)應(yīng)用可查詢(xún)字典，將自動(dòng)地選擇使角色可用或不可用。（5）應(yīng)用安全性，角色使用可由口令保護(hù)，應(yīng)用可提供正確的口

13、令使用角色，如不知其口令，不能使用角色。使用CREATE ROLE語(yǔ)句可以創(chuàng)建一個(gè)新的角色，執(zhí)行該語(yǔ)句的用戶(hù)必須具有CREATE ROLE系統(tǒng)權(quán)限。在角色剛剛創(chuàng)建時(shí)，它并不具有任何權(quán)限，這時(shí)的角色是沒(méi)有用處的。因此，在創(chuàng)建角色之后，通常會(huì)立即為它授予權(quán)限。例如：利用下面的語(yǔ)句創(chuàng)建了一個(gè)名為OPT_ROLE的角色，并且為它授予了一些對(duì)象權(quán)限和系統(tǒng)權(quán)限：CREATE ROLE OPT_ROLE;GRANT SELECT ON sal_history TO OPT_ROLE;GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE;GRANT CREATE VIE

14、W TO OPT_ROLE;5.2.2 創(chuàng)建角色在創(chuàng)建角色時(shí)必須為角色命名，新建角色的名稱(chēng)不能與任何數(shù)據(jù)庫(kù)用戶(hù)或其他角色的名稱(chēng)相同。與用戶(hù)類(lèi)似，角色也需要進(jìn)行認(rèn)證。在執(zhí)行CREATE ROLE語(yǔ)句創(chuàng)建角色時(shí)，默認(rèn)地將使用NOT IDENTIFIED子句，即在激活和禁用角色時(shí)不需要進(jìn)行認(rèn)證。如果需要確保角色的安全性，可以在創(chuàng)建角色時(shí)使用IDENTIFIED子句來(lái)設(shè)置角色的認(rèn)證方式。與用戶(hù)類(lèi)似，角色也可以使用兩種方式進(jìn)行認(rèn)證。使用ALTER ROLE語(yǔ)句可以改變角色的口令或認(rèn)證方式。例如：利用下面的語(yǔ)句來(lái)修改OPT_ROLE角色的口令（假設(shè)角色使用的是數(shù)據(jù)庫(kù)認(rèn)證方式）：ALTER ROLE OPT

15、_ROLE IDENTIFIED BY accts*new;1 1授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限2 2授予對(duì)象權(quán)限授予對(duì)象權(quán)限5.2.3 授予權(quán)限或角色3 3授予角色授予角色1.授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限在GRANT關(guān)鍵字之后指定系統(tǒng)權(quán)限的名稱(chēng)，然后在TO關(guān)鍵字之后指定接受權(quán)限的用戶(hù)名，即可將系統(tǒng)權(quán)限授予指定的用戶(hù)。例如：利用下面的語(yǔ)句可以相關(guān)權(quán)限授予用戶(hù)chenjie：GRANT CREATE USER,ALTER USER,DROP USER TO chenjieWITH ADMIN OPTION;2授予對(duì)象權(quán)限授予對(duì)象權(quán)限 Oracle對(duì)象權(quán)限指用戶(hù)在指定的表上進(jìn)行特殊操作的權(quán)利。 在GRANT

16、關(guān)鍵字之后指定對(duì)象權(quán)限的名稱(chēng)，然后在ON關(guān)鍵字后指定對(duì)象名稱(chēng)，最后在TO關(guān)鍵字之后指定接受權(quán)限的用戶(hù)名，即可將指定對(duì)象的對(duì)象權(quán)限授予指定的用戶(hù)。 使用一條GRANT語(yǔ)句可以同時(shí)授予用戶(hù)多個(gè)對(duì)象權(quán)限，各個(gè)權(quán)限名稱(chēng)之間用逗號(hào)分隔。 有三類(lèi)對(duì)象權(quán)限可以授予表或視圖中的字段，它們是分別是INSERT，UPDATE和REFERENCES對(duì)象權(quán)限。 例如：利用下面的語(yǔ)句可以將CUSTOMER表的SELECT和INSERT，UPDATE對(duì)象權(quán)限授予用戶(hù)chenqian：GRANT SELECT,INSERT(CUSTOMER_ID,CUSTOMER_name),UPDATE(desc) ON CUSTOME

17、R TO chenqian WITH ADMIN OPTION; 在授予對(duì)象權(quán)限時(shí)，可以使用一次關(guān)鍵字ALL或ALL PRIVILEGES將某個(gè)對(duì)象的所有對(duì)象權(quán)限全部授予指定的用戶(hù)。3授予角色授予角色 在GRANT關(guān)鍵字之后指定角色的名稱(chēng)，然后在TO關(guān)鍵字之后指定用戶(hù)名，即可將角色授予指定的用戶(hù)。Oracle數(shù)據(jù)庫(kù)系統(tǒng)預(yù)先定義了CONNECT、RESOURCE、DBA、 EXP_FULL_DATABASE、IMP_FULL_DATABASE五個(gè)角色。CONNECT具有創(chuàng)建表、視圖、序列等權(quán)限；RESOURCE具有創(chuàng)建過(guò)程、觸發(fā)器、表、序列等權(quán)限、DBA具有全部系統(tǒng)權(quán)限；EXP_FULL_DAT

18、ABASE、 IMP_FULL_DATABASE具有卸出與裝入數(shù)據(jù)庫(kù)的權(quán)限。 通過(guò)查詢(xún)sys.dba_sys_privs可以了解每種角色擁有的權(quán)限。例如：利用下面的語(yǔ)句可以將DBA角色授予用戶(hù)chenjie：GRANT DBA TO chenjie WITH GRANT OPTION;在同一條GRANT語(yǔ)句中，可以同時(shí)為用戶(hù)授予系統(tǒng)權(quán)限和角色。 如果在為某個(gè)用戶(hù)授予角色時(shí)使用了WITH ADMIN OPTION選項(xiàng)，該用戶(hù)將具有如下權(quán)利：（1）將這個(gè)角色授予其他用戶(hù)，使用或不使用WITH ADMIN OPTION選項(xiàng)。（2）從任何具有這個(gè)角色的用戶(hù)那里回收該角色。（3）刪除或修改這個(gè)角色。注意

19、：不能使用一條GRANT語(yǔ)句同時(shí)為用戶(hù)授予對(duì)象權(quán)限和角色。 使用REVOKE語(yǔ)句可以回收己經(jīng)授予用戶(hù)（或角色）的系統(tǒng)權(quán)限、對(duì)象權(quán)限與角色，執(zhí)行回收權(quán)限操作的用戶(hù)同時(shí)必須具有授予相同權(quán)限的能力。例如：利用下面的語(yǔ)句可以回收已經(jīng)授予用戶(hù)chenqian的SELECT和UPDATE對(duì)象權(quán)限：REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian; 利用下面的語(yǔ)句可以回收已經(jīng)授予用戶(hù)chenjie的CREATE ANY TABLE系統(tǒng)權(quán)限：REVOKE CREATE ANY TABLE FROM chenjie; 利用下面的語(yǔ)句可以回收己經(jīng)授予用戶(hù)chenjie的

20、OPT_ROLE角色：REVOKE OPT_ROLE FROM chenjie;5.2.4 回收權(quán)限或角色在回收對(duì)象權(quán)限時(shí)，可以使用關(guān)鍵字ALL或ALL PRIVILEGES將某個(gè)對(duì)象的所有對(duì)象權(quán)限全部回收。例如：利用下面的語(yǔ)句可以回收己經(jīng)授予用戶(hù)chenqian的CUSTOMER表的所有對(duì)象權(quán)限：REVOKE ALL ON CUSTOMER FROM chenjie; 一個(gè)用戶(hù)可以同時(shí)被授予多個(gè)角色，但是并不是所有的這些角色都同時(shí)起作用。角色可以處于兩種狀態(tài)：激活狀態(tài)或禁用狀態(tài)，禁用狀態(tài)的角色所具有權(quán)限并不生效。 當(dāng)用戶(hù)連接到數(shù)據(jù)庫(kù)中時(shí)，只有他的默認(rèn)角色（Default Role）處于激活狀

21、態(tài)。在ALTER USER角色中使用DEFAULT ROLE子句可以改變用戶(hù)的默認(rèn)角色。例如：如果要將用戶(hù)所擁有的一個(gè)角色設(shè)置為默認(rèn)角色，可以使用下面的語(yǔ)句：ALTER USER chenjie DEFAULT ROLE connect,OPT_ROLE;5.2.5 激活和禁用角色 在用戶(hù)會(huì)話的過(guò)程中，還可以使用SET ROLE語(yǔ)句來(lái)激活或禁用他所擁有的角色。用戶(hù)所同時(shí)激活的最大角色數(shù)目由初始化參數(shù)ENABLED ROLES決定（默認(rèn)值為30）。如果角色在創(chuàng)建時(shí)使用了IDENTIFIED BY子句，則在使用SET ROLE語(yǔ)句激活角色時(shí)也需要在IDENTIFIED BY子句中提供口令。 如果要

22、激活用戶(hù)所擁有的所有角色，可以使用下面的語(yǔ)句：SET ROLE ALL; 5.3 概要文件1 1資源限制參數(shù)資源限制參數(shù)2 2口令策略參數(shù)口令策略參數(shù)5.3.1 概要文件中的參數(shù)1資源限制參數(shù)資源限制參數(shù)資源參數(shù)的值可以是一個(gè)整數(shù)，也可以是UNLIMITED或DEFAULT即使用默認(rèn)概要文件中的參數(shù)設(shè)置。大部分資源限制都可以在兩個(gè)級(jí)別進(jìn)行：會(huì)話級(jí)或調(diào)用級(jí)。會(huì)話級(jí)資源限制是對(duì)用戶(hù)在一個(gè)會(huì)話過(guò)程中所能使用的資源進(jìn)行的限制，而調(diào)用級(jí)資源限制是對(duì)一條SQL語(yǔ)句在執(zhí)行過(guò)程中所能使用的資源進(jìn)行的限制。當(dāng)會(huì)話或一條SQL語(yǔ)句占用的資源超過(guò)概要文件中的限制時(shí)，Oracle將中止并回退當(dāng)前的操作，然后向用戶(hù)返回

23、錯(cuò)誤信息。這時(shí)用戶(hù)仍然有機(jī)會(huì)提交或回退當(dāng)前的事務(wù)。如果受到的是會(huì)話級(jí)限制，在提交或回退事務(wù)后用戶(hù)會(huì)話被中止（斷開(kāi)連接），但是如果受到的是調(diào)用級(jí)限制，用戶(hù)會(huì)話還能夠繼續(xù)進(jìn)行，只是當(dāng)前執(zhí)行的SQL語(yǔ)句被終止。 以下為概要文件中使用的各種資源參數(shù)：SESSIONS_PER_USER：該參數(shù)限制每個(gè)用戶(hù)所允許建立的最大并發(fā)會(huì)話數(shù)目。達(dá)到這個(gè)限制時(shí)，用戶(hù)不能再建立任何數(shù)據(jù)庫(kù)連接。CPU_PER_SESSION：該參數(shù)限制每個(gè)會(huì)話所能使用的CPU時(shí)間。CPU_PER_CALL：該參數(shù)限制每條SQL語(yǔ)句所能使用的CPU時(shí)間。LAGICAL_READS_PER_SESSION：該參數(shù)限制每個(gè)會(huì)話所能讀取的數(shù)據(jù)

24、塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤(pán)中讀取的數(shù)據(jù)塊。LAGICAL_READS_PER_CALL：該參數(shù)限制每條SQL語(yǔ)句所能讀取的數(shù)據(jù)塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤(pán)中讀取的數(shù)據(jù)塊。CONNECT_TIME：該參數(shù)限制每個(gè)會(huì)話能連接到數(shù)據(jù)庫(kù)的最長(zhǎng)時(shí)間。當(dāng)連接時(shí)間達(dá)到該參數(shù)的限制時(shí)，.用戶(hù)會(huì)話將自動(dòng)斷開(kāi)。IDLE_TIME：該參數(shù)限制每個(gè)會(huì)話所允許的最大連續(xù)空閑時(shí)間。如果一個(gè)會(huì)話持續(xù)的空閑時(shí)間達(dá)到該參數(shù)的限制，該會(huì)話將自動(dòng)斷開(kāi)。COMPOSITE_LIMIT：該參數(shù)用于設(shè)置“組合資源限制”。PRIVATE_SGA：在共享服務(wù)器操作模式下，執(zhí)行SQL語(yǔ)句和PL/SQL語(yǔ)句時(shí)，Orac

25、le將在SGA中創(chuàng)建私有SQL區(qū)。該參數(shù)限制在SGA中為每個(gè)會(huì)話所能分配的最大私有SQL區(qū)大小。在專(zhuān)用服務(wù)器操作模式下，該參數(shù)不起作用。2口令策略參數(shù)口令策略參數(shù)使用概要文件可以實(shí)現(xiàn)如下三種口令策略：（1）賬戶(hù)的鎖定賬戶(hù)鎖定策略是指用戶(hù)在連續(xù)輸入多少次錯(cuò)誤的口令后，將由Oracle自動(dòng)鎖定用戶(hù)的賬戶(hù)，并且可以設(shè)置賬戶(hù)鎖定的時(shí)間。（2）口令的過(guò)期時(shí)間口令過(guò)期策略用于強(qiáng)制用戶(hù)定期修改自己的口令。當(dāng)口令過(guò)期后，Oracle將隨時(shí)提醒用戶(hù)修改口令。如果用戶(hù)仍然不修改自己的口令，Oracle將使他的口令失效。（3）口令的復(fù)雜度在概要文件中可以通過(guò)指定的函數(shù)來(lái)強(qiáng)制用戶(hù)的口令必須具有一定的復(fù)雜度。以下為在概

26、要文件中使用的各種口令參數(shù)：FAILED_LOGIN_ATTEMPTS：該參數(shù)指定允許的輸入錯(cuò)誤口令的次數(shù)，超過(guò)該次數(shù)后用戶(hù)賬戶(hù)被自動(dòng)鎖定。PASSWORD_LOCK_TIME：該參數(shù)指定用戶(hù)賬戶(hù)由于口令輸入錯(cuò)誤而被鎖定后，持續(xù)保持鎖定狀態(tài)的時(shí)間。PASSWORD_LIFE_TIME：該參數(shù)指定同一個(gè)用戶(hù)口令可以持續(xù)使用的時(shí)間。如果在達(dá)到這個(gè)限制之前用戶(hù)還沒(méi)有更換另外一個(gè)口令，他的口令將失效。這時(shí)必須由DBA為他重新設(shè)置新的口令。PASSWORD_GRACE_TIME：該參數(shù)指定用戶(hù)口令過(guò)期的時(shí)間。如果在達(dá)到這個(gè)限制之前用戶(hù)還沒(méi)有更換另外一個(gè)口令，Oracle將對(duì)他提出警告。在口令過(guò)期之后，用

27、戶(hù)在達(dá)到PASSWORD_LIFE_TIME參數(shù)的限制之前有機(jī)會(huì)主動(dòng)修改口令。PASSWORD_REUSE_TIME：該參數(shù)指定用戶(hù)在能夠重復(fù)使用一個(gè)口令前必須經(jīng)過(guò)的時(shí)間。PASSWORD_REUSE_MAX：該參數(shù)指定用戶(hù)在能夠重復(fù)使用一 個(gè) 口 令 之 前 必 須 對(duì) 口 令 進(jìn) 行 修 改 的 次 數(shù) 。PASSWORD_REUSE_TIME參數(shù)和PASSWORD_REUSE_MAX參數(shù)只能設(shè)置一個(gè)，而另一個(gè)參數(shù)必須指定為UNLIMITED。PASSWORD_VERIFY_FUNCTION：該參數(shù)指定用于驗(yàn)證用戶(hù)口令復(fù)雜度的函數(shù)。Oracle通過(guò)一個(gè)內(nèi)置腳本提供了一個(gè)默認(rèn)函數(shù)用于驗(yàn)證用戶(hù)

28、口令的復(fù)雜度，所有指定時(shí)間的口令參數(shù)都以天為單位。修改數(shù)據(jù)庫(kù)的資源限制狀態(tài)有兩種方式：在數(shù)據(jù)庫(kù)啟動(dòng)之前，可以通過(guò)設(shè)置初始化參數(shù)RESOURCE_LIMIT來(lái)決定資源限制的狀態(tài)。如果RESOURCE LIMIT參數(shù)設(shè)置為T(mén)RUE，啟動(dòng)數(shù)據(jù)庫(kù)后資源限制將處于激活狀態(tài)；反之如果RESOURCE LIMIT參數(shù)設(shè)置為FALSE，啟動(dòng)數(shù)據(jù)庫(kù)后資源限制將處于禁用狀態(tài)。默認(rèn)情況下，RESOURCE_LIMIT參數(shù)為FALSE。在數(shù)據(jù)庫(kù)啟動(dòng)之后（處于打開(kāi)狀態(tài)），可以使用ALTER SYSTEM語(yǔ)句來(lái)改變資源限制的狀態(tài)，執(zhí)行該語(yǔ)句的用戶(hù)必須具有ALTER SYSTEM系統(tǒng)權(quán)限。5.3.2 激活和禁用資源限制例如

29、：利用下面的語(yǔ)句可以將資源限制由禁用狀態(tài)切換到激活狀態(tài)：ALTER SYSTEM SET RESOURCE_LIMIT= TRUE; 如果在數(shù)據(jù)庫(kù)中使用了服務(wù)器端初始化參數(shù)文件（SPFILE），在使用ALTER SYSTEM語(yǔ)句改變資源限制的狀態(tài)時(shí)，可以選擇在初始化參數(shù)文件中修改記錄（默認(rèn)的ALTER SYSTEM語(yǔ)句將使用SCOPE=BOTH子句），這樣在下一次啟動(dòng)數(shù)據(jù)庫(kù)時(shí)修改仍然有效。1 1創(chuàng)建概要文件創(chuàng)建概要文件2 2修改概要文件修改概要文件5.3.3 管理概要文件3 3刪除概要文件刪除概要文件4 4指定概要文件指定概要文件 5 5設(shè)置組合資源限制設(shè)置組合資源限制1創(chuàng)建概要文件創(chuàng)建概要文件使用CREATE PROFILE語(yǔ)句可以創(chuàng)建概要文件，執(zhí)行該語(yǔ)句的用戶(hù)必須具有CREATE PROFILE系統(tǒng)權(quán)限。DBA可以根據(jù)需要使用下面的語(yǔ)句來(lái)修改DEFAULT概要文件中的參數(shù)設(shè)置：ALTER PROFILE limit_file L