用戶(hù)與權(quán)限管理-(2)課件_第1頁(yè)
用戶(hù)與權(quán)限管理-(2)課件_第2頁(yè)
用戶(hù)與權(quán)限管理-(2)課件_第3頁(yè)
用戶(hù)與權(quán)限管理-(2)課件_第4頁(yè)
用戶(hù)與權(quán)限管理-(2)課件_第5頁(yè)
已閱讀5頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

管理安全性

——用戶(hù)與權(quán)限管理單世民用戶(hù)與權(quán)限管理概述對(duì)于任意一個(gè)多用戶(hù)計(jì)算機(jī)系統(tǒng)來(lái)說(shuō),訪問(wèn)和訪問(wèn)安全都是至關(guān)重要的。既要允許很多用戶(hù)訪問(wèn)計(jì)算機(jī)系統(tǒng),又要防止未授權(quán)的用戶(hù)訪問(wèn)。Oracle提供了三種用戶(hù)認(rèn)證方法:口令認(rèn)證操作系統(tǒng)認(rèn)證全局認(rèn)證用戶(hù)管理建立用戶(hù)帳號(hào)CREATEUSER

username

IDENTIFIEDBY

password[DEFAULTTABLESPACE

default_tablespace][TEMPORARYTABLESPACE

temp_tablespace][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}] CREATEUSER

Michael

IDENTIFIEDBY

lincoln用戶(hù)管理用戶(hù)與模式

在Oracle中,數(shù)據(jù)庫(kù)用戶(hù)和模式是安全的最基本的單元。術(shù)語(yǔ)“用戶(hù)”和“模式”經(jīng)?;Q使用,然而它們是有區(qū)別的:數(shù)據(jù)庫(kù)模式定義為數(shù)據(jù)庫(kù)對(duì)象的集合。模式的名稱(chēng)就是擁有或控制這些數(shù)據(jù)庫(kù)對(duì)象集合的用戶(hù)名稱(chēng)。所有的數(shù)據(jù)庫(kù)對(duì)象,包括表、視圖、索引、觸發(fā)器、Java存儲(chǔ)過(guò)程、PL/SQL程序包、函數(shù)等,都?xì)wOracle數(shù)據(jù)庫(kù)中的某一個(gè)用戶(hù)所有。甚至Oracle的數(shù)據(jù)字典、系統(tǒng)目錄也是名稱(chēng)為sys的模式的一部分。在Oracle數(shù)據(jù)庫(kù)中,可以存在沒(méi)有擁有任何數(shù)據(jù)庫(kù)對(duì)象的用戶(hù)(不是模式),但是不會(huì)沒(méi)有命名的模式或數(shù)據(jù)庫(kù)對(duì)象集合。用戶(hù)管理修改用戶(hù)帳號(hào)口令刪除用戶(hù)帳號(hào) ALTERUSER

Michael

IDENTIFIEDBY

saraDROPUSER

Michael如果將Cascade關(guān)鍵字用于dropuser命令的末尾,則在從數(shù)據(jù)庫(kù)中刪除用戶(hù)之前,刪除用戶(hù)的所有對(duì)象。該關(guān)鍵字不僅可以刪除所有的用戶(hù)對(duì)象,而且還可以刪除其他用戶(hù)模式中對(duì)已刪除對(duì)象表進(jìn)行引用的約束,使其他用戶(hù)所擁有的引用了已刪除對(duì)象的對(duì)象無(wú)效。用戶(hù)管理用戶(hù)的默認(rèn)表空間與臨時(shí)表空間ALTERUSER

username

DEFAULTTABLESPACE

default_tablespace

TEMPORARYTABLESPACE

temp_tablespace如果不進(jìn)行指定,則用戶(hù)的默認(rèn)表空間為USERS表空間;默認(rèn)的臨時(shí)表空間是TEMP表空間,如果沒(méi)有創(chuàng)建TEMP表空間,則SYSTEM表空間為用戶(hù)臨時(shí)表空間用戶(hù)管理默認(rèn)的數(shù)據(jù)庫(kù)用戶(hù)

每個(gè)Oracle數(shù)據(jù)庫(kù)都有兩個(gè)默認(rèn)的數(shù)據(jù)庫(kù)用戶(hù)帳號(hào)SYS和SYSTEMSYS帳號(hào)擁有數(shù)據(jù)庫(kù)數(shù)據(jù)字典對(duì)象,除非需要安裝屬于SYS的額外的數(shù)據(jù)字典對(duì)象,否則不應(yīng)使用SYS進(jìn)行數(shù)據(jù)庫(kù)操作SYSTEM帳號(hào)是默認(rèn)的數(shù)據(jù)庫(kù)管理員帳號(hào),可以使用此帳號(hào)啟動(dòng)一個(gè)新的數(shù)據(jù)庫(kù)權(quán)限管理除非用戶(hù)具有執(zhí)行特定的數(shù)據(jù)庫(kù)操作權(quán)限,否則,用戶(hù)既不能與數(shù)據(jù)庫(kù)服務(wù)器連接,也不能做任何事情例如:除非用戶(hù)具有CREATESESSION系統(tǒng)權(quán)限,否則用戶(hù)不能與Oracle數(shù)據(jù)庫(kù)連接除非用戶(hù)具有CREATETABLE系統(tǒng)權(quán)限,否則用戶(hù)不能在自己的模式中創(chuàng)建表權(quán)限管理在Oracle數(shù)據(jù)庫(kù)中,有兩類(lèi)權(quán)限:對(duì)象權(quán)限和系統(tǒng)權(quán)限。對(duì)象級(jí)別權(quán)限是由用戶(hù)賦予的訪問(wèn)或操作數(shù)據(jù)庫(kù)對(duì)象的權(quán)限。例如,如果需要向scott.emp表中插入行的數(shù)據(jù)庫(kù)用戶(hù)必須擁有完成這項(xiàng)工作的指定權(quán)限。系統(tǒng)權(quán)限不是控制對(duì)指定數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn),而是用來(lái)許可對(duì)各種特性的訪問(wèn),或許可Oracle數(shù)據(jù)庫(kù)中的特定任務(wù)。權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限的類(lèi)型--系統(tǒng)權(quán)限

系統(tǒng)權(quán)限(SystemPrivilege)向用戶(hù)提供了執(zhí)行某一種或某一類(lèi)型的數(shù)據(jù)庫(kù)操作的能力,有近100種系統(tǒng)權(quán)限。

系統(tǒng)權(quán)限不是控制對(duì)指定數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn),而是用來(lái)許可對(duì)各種特性的訪問(wèn),或許可Oracle數(shù)據(jù)庫(kù)中的特定任務(wù)。權(quán)限管理系統(tǒng)權(quán)限的授予和撤銷(xiāo)REVOKE{sys_priv_1[,sys_priv_2]...|ALL[PRIVILEGES]}FROM{user_1[,user_2]...|PUBLIC};GRANT{sys_priv_1[,sys_priv_2]...|ALL[PRIVILEGES]}TO{user_1[,user_2]...|PUBLIC}[WITHADMINOPTION];權(quán)限管理使用系統(tǒng)權(quán)限時(shí),需要注意以下幾點(diǎn):一般情況下,都應(yīng)該將CREATESESSION權(quán)限授予用戶(hù)用戶(hù)需要CREATETABLE權(quán)限來(lái)在自己的模式中創(chuàng)建、修改、刪除或查詢(xún)?nèi)魏伪砣绻獎(jiǎng)h除其他模式中的表,用戶(hù)必須具有DROPANYTABLE系統(tǒng)權(quán)限CREATEANYPROCEDURE允許用戶(hù)創(chuàng)建、修改、刪除或執(zhí)行任何存儲(chǔ)過(guò)程、程序包和函數(shù)開(kāi)發(fā)人員一般需要幾個(gè)系統(tǒng)權(quán)限,包括CREATETABLE,CREATEVIEW,CREATETYPE等,以創(chuàng)建支持前臺(tái)應(yīng)用程序的數(shù)據(jù)庫(kù)模式權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限的類(lèi)型--對(duì)象權(quán)限

對(duì)象權(quán)限控制用戶(hù)是否能在特定數(shù)據(jù)庫(kù)對(duì)象(如表、視圖或存儲(chǔ)過(guò)程)上執(zhí)行特定類(lèi)型的操作對(duì)象權(quán)限適用對(duì)象允許的操作SELECT表、視圖、序列查詢(xún)UPDATE表、視圖或其中的字段更新DELETE表和視圖刪除行INSERT表、視圖或其中的字段插入行EXECUTE存儲(chǔ)過(guò)程,存儲(chǔ)函數(shù)與程序包執(zhí)行PL/SQL存儲(chǔ)對(duì)象READ目錄讀取目錄INDEX表在表上建立索引REFERENCES表或其中字段在其他表中創(chuàng)建的外鍵能引用表或表中的字段ALTER表或序列修改表或序列的結(jié)構(gòu)權(quán)限管理對(duì)象權(quán)限的授予和撤銷(xiāo)REVOKE{obj_priv_1[,obj_priv_2]...|ALL[PRIVILEGES]}

ON

{[schema.]object[(column1[,column2])]|DIRECTORY

dir}FROM{user_1[,user_2]...|PUBLIC}[CASCADECONSTRAINTS][FORCE];GRANT{obj_priv_1[,obj_priv_2]...|ALL[PRIVILEGES]}

ON

{[schema.]object[(column1[,column2])]|DIRECTORY

dir}TO{user_1[,user_2]...|PUBLIC}[WITHGRANTOPTION][WITHHIERARCHYOPTION];權(quán)限管理使用對(duì)象權(quán)限時(shí)需要注意以下幾個(gè)問(wèn)題:如果一個(gè)視圖引用了其他模式中的表或視圖,則該視圖的擁有者必須以WITHGRANTOPTION方式獲得這些表或視圖的權(quán)限,才能將該視圖的對(duì)象權(quán)限授予其他用戶(hù)用戶(hù)只在具有某個(gè)表的所有權(quán)限時(shí),才能鎖定這個(gè)表SELECT對(duì)象權(quán)限只能授予整個(gè)表而不能授予表中的字段角色與權(quán)限管理數(shù)據(jù)庫(kù)角色就是權(quán)限的命名集合。使用角色可以大大降低用戶(hù)權(quán)限的維護(hù)負(fù)擔(dān)。角色可以是對(duì)象權(quán)限或系統(tǒng)權(quán)限的命名集合。數(shù)據(jù)庫(kù)管理員只需創(chuàng)建特定的數(shù)據(jù)庫(kù)角色,使其反映組織或應(yīng)用的安全權(quán)限,就可以將這些角色賦予用戶(hù)。角色與權(quán)限管理利用角色進(jìn)行權(quán)限管理權(quán)限1權(quán)限2權(quán)限3角色1角色2用戶(hù)1用戶(hù)2用戶(hù)3角色與權(quán)限管理創(chuàng)建角色刪除角色 CREATEROLErole_name;DROPROLE

role;角色與權(quán)限管理將系統(tǒng)權(quán)限授予角色將對(duì)象權(quán)限授予角色GRANT{sys_priv_1[,sys_priv_2]...|ALL[PRIVILEGES]}TOrole_1[,role_2]...[WITHADMINOPTION][WITHHIERARCHYOPTION];GRANT{obj_priv_1[,obj_priv_2]...|ALL[PRIVILEGES]}

ON

{[schema.]object[(column1[,column2])]|DIRECTORY

dir}TO{role_1[,role_2]...|PUBLIC}[WITHGRANTOPTION][WITHHIERARCHYOPTION];角色與權(quán)限管理撤銷(xiāo)角色的系統(tǒng)權(quán)限撤銷(xiāo)角色的對(duì)象權(quán)限REVOKE{sys_priv_1[,sys_priv_2]...|ALL[PRIVILEGES]}FROM{role_1[,role_2]...};REVOKE{obj_priv_1[,obj_priv_2]...|ALL[PRIVILEGES]}

ON

{[schema.]object[(column1[,column2])]|DIRECTORY

dir}FROM{user_1[,user_2]...}

[CASCADECONSTRAINTS][FORCE];角色與權(quán)限管理將角色授予用戶(hù)或其他角色撤銷(xiāo)授予用戶(hù)或其他角色的角色GRANTrole_1[,role_2]...

TO{user_1[,user_2]...|PUBLIC|role_1[,role_2]}[WITHADMINOPTION];REVOKErole_1[,role_2]...

FROM{user_1[,user_2]...|PUBLIC|role_1[,role_2]};PL/SQL與角色默認(rèn)情況下,PL/SQL函數(shù)、過(guò)程、程序包都要使用“定義者”的命名空間和權(quán)限執(zhí)行。需要注意的是,這些已編譯的“PL/SQL程序”對(duì)象要使用直接賦予設(shè)計(jì)用戶(hù)的權(quán)限執(zhí)行,而不使用用戶(hù)通過(guò)數(shù)據(jù)庫(kù)角色得到的對(duì)象權(quán)限來(lái)執(zhí)行。當(dāng)然,這將使讓作為特定數(shù)據(jù)庫(kù)用戶(hù)在SQL*Plus中測(cè)試特定DML語(yǔ)句的開(kāi)發(fā)人員混淆,他們將發(fā)現(xiàn)PL/SQL過(guò)程中的相同語(yǔ)句不能夠編譯。大多數(shù)情況下,造成這種問(wèn)題的原因是由于對(duì)象權(quán)限是通過(guò)角色授予,而不是直接授予設(shè)計(jì)用戶(hù)的。PL/SQL與角色通常情況下,應(yīng)用開(kāi)發(fā)的安全方法是不直接將表和視圖上的權(quán)限賦予數(shù)據(jù)庫(kù)用戶(hù),只能夠通過(guò)PL/SQL過(guò)程、函數(shù)或程序包訪問(wèn)附屬的表和視圖,而執(zhí)行這些已編譯對(duì)象的權(quán)限要通過(guò)數(shù)據(jù)庫(kù)角色提供。這種方式的最大優(yōu)點(diǎn)是:除了通過(guò)公開(kāi)的方

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論