Oracle Role Grant 數(shù)據(jù)庫的用戶和權(quán)限管理

1、Oracle的的用戶用戶和權(quán)限和權(quán)限管理管理本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo) 數(shù)據(jù)庫安全性問題一直是人們關(guān)注的焦點(diǎn)，數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入對于任何一個應(yīng)用系統(tǒng)來說都是至關(guān)重要的問題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫的安全性能。第五章第五章第五章第五章第五章第五章 OracleOracleOracle的用戶和權(quán)限管理的用戶和權(quán)限管理的用戶和權(quán)限管理的用戶和權(quán)限管理的用戶和權(quán)限管理的用戶和權(quán)限管理本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排本章內(nèi)容安排 5.1 用戶管理1 1用戶鑒別用戶鑒別2 2用戶的表空間設(shè)置和定額用戶的表空間設(shè)置和定額5.1.1 數(shù)據(jù)庫的存取控制3

2、 3用戶資源限制和環(huán)境文件用戶資源限制和環(huán)境文件4 4用戶環(huán)境文件用戶環(huán)境文件1. 用戶鑒別用戶鑒別為了防止非授權(quán)的數(shù)據(jù)庫用戶的使用，Oracle提供三種確認(rèn)方法：操作系統(tǒng)確認(rèn)、Oracle數(shù)據(jù)庫確認(rèn)網(wǎng)絡(luò)服務(wù)確認(rèn)。由操作系統(tǒng)鑒定用戶的優(yōu)點(diǎn)是：1）用戶能更快，更方便地聯(lián)入數(shù)據(jù)庫。2）通過操作系統(tǒng)對用戶身份確認(rèn)進(jìn)行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫用戶信息一致，那么Oracle無須存儲和管理用戶名以及密碼。3）用戶進(jìn)入數(shù)據(jù)庫和操作系統(tǒng)審計(jì)信息一致。 2 2用戶的表空間設(shè)置和定額用戶的表空間設(shè)置和定額 關(guān)于表空間的使用有幾種設(shè)置選擇：用戶的缺省表空間用戶的臨時表空間數(shù)據(jù)庫表空間的空間使用定額3. 用戶資

3、源限制和環(huán)境文件用戶資源限制和環(huán)境文件用戶可用的各種系統(tǒng)資源總量的限制是用戶安全域的部分。利用顯式地設(shè)置資源限制，安全管理員可防止用戶無控制地消耗寶貴的系統(tǒng)資源。資源限制是由環(huán)境文件管理。一個環(huán)境文件是命名的一組賦給用戶的資源限制。另外Oracle為安全管理員在數(shù)據(jù)庫提供是否對環(huán)境文件資源限制的選擇。Oracle可限制幾種類型的系統(tǒng)資源的使用，每種資源可在會話級、調(diào)用級或兩者上控制。在會話級：每一次用戶連接到一數(shù)據(jù)庫，建立一會話。每一個會話在執(zhí)行SQL語句的計(jì)算機(jī)上耗費(fèi)CPU時間和內(nèi)存量進(jìn)行限制。在調(diào)用級：在SQL語句執(zhí)行時，處理該語句有幾步，為了防止過多地調(diào)用系統(tǒng)，Oracle在調(diào)用級可設(shè)置

4、幾種資源限制。有下列資源限制：（1）為了防止無控制地使用CPU時間，Oracle可限制每次Oracle調(diào)用的CPU時間和在一次會話期間Oracle調(diào)用所使用的CPU的時間，以0.01秒為單位。（2）為了防止過多的I/O，Oracle可限制每次調(diào)用和每次會話的邏輯數(shù)據(jù)塊讀的數(shù)目。（3）Oracle在會話級還提供其它幾種資源限制。每個用戶的并行會話數(shù)的限制。會話空閑時間的限制，如果一次會話的Oracle調(diào)用之間時間達(dá)到該空閑時間，當(dāng)前事務(wù)被回滾，會話被中止，會話資源返回給系統(tǒng)。每次會話可消逝時間的限制，如果一次會話期間超過可消逝時間的限制，當(dāng)前事務(wù)被回滾，會話被刪除，該會話的資源被釋放。每次會話的

5、專用SGA空間量的限制。4用戶環(huán)境文件用戶環(huán)境文件用戶環(huán)境文件是指定資源限制的命名集，可賦給Oracle數(shù)據(jù)庫的有效的用戶。利用用戶環(huán)境文件可容易地管理資源限制。在許多情況中決定用戶的環(huán)境文件的合適資源限制的最好的方法是收集每種資源使用的歷史信息。5.1.2 創(chuàng)建用戶使用CREATE USER語句可以創(chuàng)建一個新的數(shù)據(jù)庫用戶，執(zhí)行該語句的用戶必須具有CREATE USER系統(tǒng)權(quán)限。在創(chuàng)建用戶時必須指定用戶的認(rèn)證方式。一般會通過Oracle數(shù)據(jù)庫對用戶身份進(jìn)行驗(yàn)證，即采用數(shù)據(jù)庫認(rèn)證方式。在這種情況下，創(chuàng)建用戶時必須為新用戶指定一個口令，口令以加密方式保存在數(shù)據(jù)庫中。當(dāng)用戶連接數(shù)據(jù)庫時，Oracle

6、從數(shù)據(jù)庫中提取口令來對用戶的身份進(jìn)行驗(yàn)證。 使用IDENTIFIED BY子句為用戶設(shè)置口令，這時用戶將通過數(shù)據(jù)庫來進(jìn)行身份認(rèn)證。如果要通過操作系統(tǒng)來對用戶進(jìn)行身份認(rèn)證，則必須使用IDENTIFIED EXTERNAL BY子句。使用DEFAULT TABLESPACE子句為用戶指定默認(rèn)表空間。如果沒有指定默認(rèn)表空間，Oracle會把SYSTEM表空間作為用戶的默認(rèn)表空間。為用戶指定了默認(rèn)表空間之后，還必須使用QUOTA子句來為用戶在默認(rèn)表空間中分配的空間配額。 此外，常用的一些子句有：TEMPORARY TABLESPACE子句：為用戶指定臨時表空間。PROFILE子句：為用戶指定一個概要文

7、件。如果沒有為用戶顯式地指定概要文件，Oracle將自動為他指定DEFAULT概要文件。DEFAULT ROLE子句：為用戶指定默認(rèn)的角色。PASSWORD EXPIRE子句：設(shè)置用戶口令的初始狀態(tài)為過期。ACCOUNT LOCK子句：設(shè)置用戶賬戶的初始狀態(tài)為鎖定，缺省為：ACCOUNT UNLOCK。在建立新用戶之后，通常會需要使用GRANT語句為他授予CREATE SESSION系統(tǒng)權(quán)限，使他具有連接到數(shù)據(jù)庫中的能力?；?yàn)樾掠脩糁苯邮谟鐿racle中預(yù)定義的CONNECT角色。5.1.3 修改用戶在創(chuàng)建用戶之后，可以使用ALTER USER語句對用戶進(jìn)行修改，執(zhí)行該語句的用戶必須具有ALT

8、ER USER系統(tǒng)權(quán)限。例如：利用下面的語句可以修改用戶chenjie的認(rèn)證方式、默認(rèn)表空間、空間配額：ALTER USER chenjieIDENTIFIED BY chenjie_pwQUATA 10M ON mbl_tbs; ALTER USER語句最常用的情況是用來修改用戶自己 的 口 令 ， 任 何 用 戶 都 可 以 使 用 A L T E R USERIDENTIFIED BY語句來修改自己的口令，而不需要具有任何其他權(quán)限。但是如果要修改其他用戶的口令，則必須具有ALTER USER系統(tǒng)權(quán)限。 DBA還會經(jīng)常使用ALTER USER語句鎖定或解鎖用戶賬戶。例如：ALTER USE

9、R chenjie ACCOUNT LOCK;ALTER USER chenjie ACCOUNT UNLOCK;5.1.4 刪除用戶使用DROP USER語句可以刪除已有的用戶，執(zhí)行該語句的用戶必須具有DROP USER系統(tǒng)權(quán)限。如果用戶當(dāng)前正連接到數(shù)據(jù)庫中，則不能刪除這個用戶。要刪除已連接的用戶，首先必須使用ALTER SYSTEMKILL SESSION語句終止他的會話，然后再使用DROP USER語句將其刪除。如果要刪除的用戶模式中包含有模式對象，必須在DROP USER子句中指定CASCADE關(guān)鍵字，否則Oracle將返回錯誤信息。例如：利用下面的語句將刪除用戶chenjie，并且同

10、時刪除他所擁有的所有表、索引等模式對象：DROP USER chenjie CASCADE; 5.2 權(quán)限和角色 1 1權(quán)限權(quán)限2 2角色角色5.2.1 基本概念1.權(quán)限權(quán)限 權(quán)限是執(zhí)行一種特殊類型的SQL語句或存取另一用戶的對象的權(quán)力。有兩類權(quán)限：系統(tǒng)權(quán)限和對象權(quán)限。1）系統(tǒng)權(quán)限：是執(zhí)行一處特殊動作或者在對象類型上執(zhí)行一種特殊動作的權(quán)利。 系統(tǒng)權(quán)限可授權(quán)給用戶或角色，一般，系統(tǒng)權(quán)限只授予管理人員和應(yīng)用開發(fā)人員，終端用戶不需要這些相關(guān)功能。2）對象權(quán)限：在指定的表、視圖、序列、過程、函數(shù)或包上執(zhí)行特殊動作的權(quán)利。2.角色角色為相關(guān)權(quán)限的命名組，可授權(quán)給用戶和角色。數(shù)據(jù)庫角色包含下列功能：（1）

11、一個角色可授予系統(tǒng)權(quán)限或?qū)ο髾?quán)限。（2）一個角色可授權(quán)給其它角色，但不能循環(huán)授權(quán)。（3）任何角色可授權(quán)給任何數(shù)據(jù)庫用戶。（4）授權(quán)給用戶的每一角色可以是可用的或者不可用的。一個用戶的安全域僅包含當(dāng)前對該用戶可用的全部角色的權(quán)限。（5）一個間接授權(quán)角色對用戶可顯式地使其可用或不可用。在一個數(shù)據(jù)庫中，每一個角色名必須唯一。角色名與用戶不同，角色不包含在任何模式中，所以建立角色的用戶被刪除時不影響該角色。一般，建立角色服務(wù)有兩個目的：為數(shù)據(jù)庫應(yīng)用管理權(quán)限和為用戶組管理權(quán)限。相應(yīng)的角色稱為應(yīng)用角色和用戶角色。應(yīng)用角色是授予的運(yùn)行數(shù)據(jù)庫應(yīng)用所需的全部權(quán)限。用戶角色是為具有公開權(quán)限需求的一組數(shù)據(jù)庫用戶而建

12、立的。用戶權(quán)限管理是受應(yīng)用角色或權(quán)限授權(quán)給用戶角色所控制，然后將用戶角色授權(quán)給相應(yīng)的用戶。ORACEL利用角色更容易地進(jìn)行權(quán)限管理。有下列優(yōu)點(diǎn)：（1）減少權(quán)限管理，不要顯式地將同一權(quán)限組授權(quán)給幾個用戶，只需將這權(quán)限組授給角色，然后將角色授權(quán)給每一用戶。（2）動態(tài)權(quán)限管理，如果一組權(quán)限需要改變，只需修改角色的權(quán)限，所有授給該角色的全部用戶的安全域?qū)⒆詣拥胤从硨巧鞯男薷?。?）權(quán)限的選擇可用性，授權(quán)給用戶的角色可選擇地使其可用或不可用。（4）應(yīng)用可知性，當(dāng)用戶經(jīng)用戶名執(zhí)行應(yīng)用時，該數(shù)據(jù)庫應(yīng)用可查詢字典，將自動地選擇使角色可用或不可用。（5）應(yīng)用安全性，角色使用可由口令保護(hù)，應(yīng)用可提供正確的口

13、令使用角色，如不知其口令，不能使用角色。使用CREATE ROLE語句可以創(chuàng)建一個新的角色，執(zhí)行該語句的用戶必須具有CREATE ROLE系統(tǒng)權(quán)限。在角色剛剛創(chuàng)建時，它并不具有任何權(quán)限，這時的角色是沒有用處的。因此，在創(chuàng)建角色之后，通常會立即為它授予權(quán)限。例如：利用下面的語句創(chuàng)建了一個名為OPT_ROLE的角色，并且為它授予了一些對象權(quán)限和系統(tǒng)權(quán)限：CREATE ROLE OPT_ROLE;GRANT SELECT ON sal_history TO OPT_ROLE;GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE;GRANT CREATE VIE

14、W TO OPT_ROLE;5.2.2 創(chuàng)建角色在創(chuàng)建角色時必須為角色命名，新建角色的名稱不能與任何數(shù)據(jù)庫用戶或其他角色的名稱相同。與用戶類似，角色也需要進(jìn)行認(rèn)證。在執(zhí)行CREATE ROLE語句創(chuàng)建角色時，默認(rèn)地將使用NOT IDENTIFIED子句，即在激活和禁用角色時不需要進(jìn)行認(rèn)證。如果需要確保角色的安全性，可以在創(chuàng)建角色時使用IDENTIFIED子句來設(shè)置角色的認(rèn)證方式。與用戶類似，角色也可以使用兩種方式進(jìn)行認(rèn)證。使用ALTER ROLE語句可以改變角色的口令或認(rèn)證方式。例如：利用下面的語句來修改OPT_ROLE角色的口令（假設(shè)角色使用的是數(shù)據(jù)庫認(rèn)證方式）：ALTER ROLE OPT

15、_ROLE IDENTIFIED BY accts*new;1 1授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限2 2授予對象權(quán)限授予對象權(quán)限5.2.3 授予權(quán)限或角色3 3授予角色授予角色1.授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限在GRANT關(guān)鍵字之后指定系統(tǒng)權(quán)限的名稱，然后在TO關(guān)鍵字之后指定接受權(quán)限的用戶名，即可將系統(tǒng)權(quán)限授予指定的用戶。例如：利用下面的語句可以相關(guān)權(quán)限授予用戶chenjie：GRANT CREATE USER,ALTER USER,DROP USER TO chenjieWITH ADMIN OPTION;2授予對象權(quán)限授予對象權(quán)限 Oracle對象權(quán)限指用戶在指定的表上進(jìn)行特殊操作的權(quán)利。 在GRANT

16、關(guān)鍵字之后指定對象權(quán)限的名稱，然后在ON關(guān)鍵字后指定對象名稱，最后在TO關(guān)鍵字之后指定接受權(quán)限的用戶名，即可將指定對象的對象權(quán)限授予指定的用戶。 使用一條GRANT語句可以同時授予用戶多個對象權(quán)限，各個權(quán)限名稱之間用逗號分隔。 有三類對象權(quán)限可以授予表或視圖中的字段，它們是分別是INSERT，UPDATE和REFERENCES對象權(quán)限。 例如：利用下面的語句可以將CUSTOMER表的SELECT和INSERT，UPDATE對象權(quán)限授予用戶chenqian：GRANT SELECT,INSERT(CUSTOMER_ID,CUSTOMER_name),UPDATE(desc) ON CUSTOME

17、R TO chenqian WITH ADMIN OPTION; 在授予對象權(quán)限時，可以使用一次關(guān)鍵字ALL或ALL PRIVILEGES將某個對象的所有對象權(quán)限全部授予指定的用戶。3授予角色授予角色 在GRANT關(guān)鍵字之后指定角色的名稱，然后在TO關(guān)鍵字之后指定用戶名，即可將角色授予指定的用戶。Oracle數(shù)據(jù)庫系統(tǒng)預(yù)先定義了CONNECT、RESOURCE、DBA、 EXP_FULL_DATABASE、IMP_FULL_DATABASE五個角色。CONNECT具有創(chuàng)建表、視圖、序列等權(quán)限；RESOURCE具有創(chuàng)建過程、觸發(fā)器、表、序列等權(quán)限、DBA具有全部系統(tǒng)權(quán)限；EXP_FULL_DAT

18、ABASE、 IMP_FULL_DATABASE具有卸出與裝入數(shù)據(jù)庫的權(quán)限。 通過查詢sys.dba_sys_privs可以了解每種角色擁有的權(quán)限。例如：利用下面的語句可以將DBA角色授予用戶chenjie：GRANT DBA TO chenjie WITH GRANT OPTION;在同一條GRANT語句中，可以同時為用戶授予系統(tǒng)權(quán)限和角色。 如果在為某個用戶授予角色時使用了WITH ADMIN OPTION選項(xiàng)，該用戶將具有如下權(quán)利：（1）將這個角色授予其他用戶，使用或不使用WITH ADMIN OPTION選項(xiàng)。（2）從任何具有這個角色的用戶那里回收該角色。（3）刪除或修改這個角色。注意

19、：不能使用一條GRANT語句同時為用戶授予對象權(quán)限和角色。 使用REVOKE語句可以回收己經(jīng)授予用戶（或角色）的系統(tǒng)權(quán)限、對象權(quán)限與角色，執(zhí)行回收權(quán)限操作的用戶同時必須具有授予相同權(quán)限的能力。例如：利用下面的語句可以回收已經(jīng)授予用戶chenqian的SELECT和UPDATE對象權(quán)限：REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian; 利用下面的語句可以回收已經(jīng)授予用戶chenjie的CREATE ANY TABLE系統(tǒng)權(quán)限：REVOKE CREATE ANY TABLE FROM chenjie; 利用下面的語句可以回收己經(jīng)授予用戶chenjie的

20、OPT_ROLE角色：REVOKE OPT_ROLE FROM chenjie;5.2.4 回收權(quán)限或角色在回收對象權(quán)限時，可以使用關(guān)鍵字ALL或ALL PRIVILEGES將某個對象的所有對象權(quán)限全部回收。例如：利用下面的語句可以回收己經(jīng)授予用戶chenqian的CUSTOMER表的所有對象權(quán)限：REVOKE ALL ON CUSTOMER FROM chenjie; 一個用戶可以同時被授予多個角色，但是并不是所有的這些角色都同時起作用。角色可以處于兩種狀態(tài)：激活狀態(tài)或禁用狀態(tài)，禁用狀態(tài)的角色所具有權(quán)限并不生效。 當(dāng)用戶連接到數(shù)據(jù)庫中時，只有他的默認(rèn)角色（Default Role）處于激活狀

21、態(tài)。在ALTER USER角色中使用DEFAULT ROLE子句可以改變用戶的默認(rèn)角色。例如：如果要將用戶所擁有的一個角色設(shè)置為默認(rèn)角色，可以使用下面的語句：ALTER USER chenjie DEFAULT ROLE connect,OPT_ROLE;5.2.5 激活和禁用角色 在用戶會話的過程中，還可以使用SET ROLE語句來激活或禁用他所擁有的角色。用戶所同時激活的最大角色數(shù)目由初始化參數(shù)ENABLED ROLES決定（默認(rèn)值為30）。如果角色在創(chuàng)建時使用了IDENTIFIED BY子句，則在使用SET ROLE語句激活角色時也需要在IDENTIFIED BY子句中提供口令。 如果要

22、激活用戶所擁有的所有角色，可以使用下面的語句：SET ROLE ALL; 5.3 概要文件1 1資源限制參數(shù)資源限制參數(shù)2 2口令策略參數(shù)口令策略參數(shù)5.3.1 概要文件中的參數(shù)1資源限制參數(shù)資源限制參數(shù)資源參數(shù)的值可以是一個整數(shù)，也可以是UNLIMITED或DEFAULT即使用默認(rèn)概要文件中的參數(shù)設(shè)置。大部分資源限制都可以在兩個級別進(jìn)行：會話級或調(diào)用級。會話級資源限制是對用戶在一個會話過程中所能使用的資源進(jìn)行的限制，而調(diào)用級資源限制是對一條SQL語句在執(zhí)行過程中所能使用的資源進(jìn)行的限制。當(dāng)會話或一條SQL語句占用的資源超過概要文件中的限制時，Oracle將中止并回退當(dāng)前的操作，然后向用戶返回

23、錯誤信息。這時用戶仍然有機(jī)會提交或回退當(dāng)前的事務(wù)。如果受到的是會話級限制，在提交或回退事務(wù)后用戶會話被中止（斷開連接），但是如果受到的是調(diào)用級限制，用戶會話還能夠繼續(xù)進(jìn)行，只是當(dāng)前執(zhí)行的SQL語句被終止。 以下為概要文件中使用的各種資源參數(shù)：SESSIONS_PER_USER：該參數(shù)限制每個用戶所允許建立的最大并發(fā)會話數(shù)目。達(dá)到這個限制時，用戶不能再建立任何數(shù)據(jù)庫連接。CPU_PER_SESSION：該參數(shù)限制每個會話所能使用的CPU時間。CPU_PER_CALL：該參數(shù)限制每條SQL語句所能使用的CPU時間。LAGICAL_READS_PER_SESSION：該參數(shù)限制每個會話所能讀取的數(shù)據(jù)

24、塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤中讀取的數(shù)據(jù)塊。LAGICAL_READS_PER_CALL：該參數(shù)限制每條SQL語句所能讀取的數(shù)據(jù)塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤中讀取的數(shù)據(jù)塊。CONNECT_TIME：該參數(shù)限制每個會話能連接到數(shù)據(jù)庫的最長時間。當(dāng)連接時間達(dá)到該參數(shù)的限制時，.用戶會話將自動斷開。IDLE_TIME：該參數(shù)限制每個會話所允許的最大連續(xù)空閑時間。如果一個會話持續(xù)的空閑時間達(dá)到該參數(shù)的限制，該會話將自動斷開。COMPOSITE_LIMIT：該參數(shù)用于設(shè)置“組合資源限制”。PRIVATE_SGA：在共享服務(wù)器操作模式下，執(zhí)行SQL語句和PL/SQL語句時，Orac

25、le將在SGA中創(chuàng)建私有SQL區(qū)。該參數(shù)限制在SGA中為每個會話所能分配的最大私有SQL區(qū)大小。在專用服務(wù)器操作模式下，該參數(shù)不起作用。2口令策略參數(shù)口令策略參數(shù)使用概要文件可以實(shí)現(xiàn)如下三種口令策略：（1）賬戶的鎖定賬戶鎖定策略是指用戶在連續(xù)輸入多少次錯誤的口令后，將由Oracle自動鎖定用戶的賬戶，并且可以設(shè)置賬戶鎖定的時間。（2）口令的過期時間口令過期策略用于強(qiáng)制用戶定期修改自己的口令。當(dāng)口令過期后，Oracle將隨時提醒用戶修改口令。如果用戶仍然不修改自己的口令，Oracle將使他的口令失效。（3）口令的復(fù)雜度在概要文件中可以通過指定的函數(shù)來強(qiáng)制用戶的口令必須具有一定的復(fù)雜度。以下為在概

26、要文件中使用的各種口令參數(shù)：FAILED_LOGIN_ATTEMPTS：該參數(shù)指定允許的輸入錯誤口令的次數(shù)，超過該次數(shù)后用戶賬戶被自動鎖定。PASSWORD_LOCK_TIME：該參數(shù)指定用戶賬戶由于口令輸入錯誤而被鎖定后，持續(xù)保持鎖定狀態(tài)的時間。PASSWORD_LIFE_TIME：該參數(shù)指定同一個用戶口令可以持續(xù)使用的時間。如果在達(dá)到這個限制之前用戶還沒有更換另外一個口令，他的口令將失效。這時必須由DBA為他重新設(shè)置新的口令。PASSWORD_GRACE_TIME：該參數(shù)指定用戶口令過期的時間。如果在達(dá)到這個限制之前用戶還沒有更換另外一個口令，Oracle將對他提出警告。在口令過期之后，用

27、戶在達(dá)到PASSWORD_LIFE_TIME參數(shù)的限制之前有機(jī)會主動修改口令。PASSWORD_REUSE_TIME：該參數(shù)指定用戶在能夠重復(fù)使用一個口令前必須經(jīng)過的時間。PASSWORD_REUSE_MAX：該參數(shù)指定用戶在能夠重復(fù)使用一 個 口 令 之 前 必 須 對 口 令 進(jìn) 行 修 改 的 次 數(shù) 。PASSWORD_REUSE_TIME參數(shù)和PASSWORD_REUSE_MAX參數(shù)只能設(shè)置一個，而另一個參數(shù)必須指定為UNLIMITED。PASSWORD_VERIFY_FUNCTION：該參數(shù)指定用于驗(yàn)證用戶口令復(fù)雜度的函數(shù)。Oracle通過一個內(nèi)置腳本提供了一個默認(rèn)函數(shù)用于驗(yàn)證用戶

28、口令的復(fù)雜度，所有指定時間的口令參數(shù)都以天為單位。修改數(shù)據(jù)庫的資源限制狀態(tài)有兩種方式：在數(shù)據(jù)庫啟動之前，可以通過設(shè)置初始化參數(shù)RESOURCE_LIMIT來決定資源限制的狀態(tài)。如果RESOURCE LIMIT參數(shù)設(shè)置為TRUE，啟動數(shù)據(jù)庫后資源限制將處于激活狀態(tài)；反之如果RESOURCE LIMIT參數(shù)設(shè)置為FALSE，啟動數(shù)據(jù)庫后資源限制將處于禁用狀態(tài)。默認(rèn)情況下，RESOURCE_LIMIT參數(shù)為FALSE。在數(shù)據(jù)庫啟動之后（處于打開狀態(tài)），可以使用ALTER SYSTEM語句來改變資源限制的狀態(tài)，執(zhí)行該語句的用戶必須具有ALTER SYSTEM系統(tǒng)權(quán)限。5.3.2 激活和禁用資源限制例如

29、：利用下面的語句可以將資源限制由禁用狀態(tài)切換到激活狀態(tài)：ALTER SYSTEM SET RESOURCE_LIMIT= TRUE; 如果在數(shù)據(jù)庫中使用了服務(wù)器端初始化參數(shù)文件（SPFILE），在使用ALTER SYSTEM語句改變資源限制的狀態(tài)時，可以選擇在初始化參數(shù)文件中修改記錄（默認(rèn)的ALTER SYSTEM語句將使用SCOPE=BOTH子句），這樣在下一次啟動數(shù)據(jù)庫時修改仍然有效。1 1創(chuàng)建概要文件創(chuàng)建概要文件2 2修改概要文件修改概要文件5.3.3 管理概要文件3 3刪除概要文件刪除概要文件4 4指定概要文件指定概要文件 5 5設(shè)置組合資源限制設(shè)置組合資源限制1創(chuàng)建概要文件創(chuàng)建概要文件使用CREATE PROFILE語句可以創(chuàng)建概要文件，執(zhí)行該語句的用戶必須具有CREATE PROFILE系統(tǒng)權(quán)限。DBA可以根據(jù)需要使用下面的語句來修改DEFAULT概要文件中的參數(shù)設(shè)置：ALTER PROFILE limit_file L