TP7管理用户权限及角色解析.ppt

第十章 管理用户权限及角色 10.1 系统权限的授予与撤消 对于系统权限而言： 开发者具有创建和删除数据对象的权限： CLUSTER,PROCEDURE , ABLE ,VIEW,TRIGER,FUNCTION, PUBLIC SYNONYM ，DATABASE LINK ，PUBLIC SYNONYM，SEQUENCE ，SNAPSHOTP ，TYPE ， LIBRARY DBA具有上述数据对象的any 权限，即在其他用户对象模式下，创建上述对象和删除上述对象的权限。此外，还具有对用户和角色的管理权限。 此外，DBA还具有对数据库的维护权限。 上述权限详见教材152-154页。 10.2 对象权限的授权与撤消 一般情况下，我们先将对象的访问权授予某个角色，然后把角色授予用户 一般来说，如果系统并不复杂时常采用无角色的授权。 建议采用角色授权与用户授予角色的授权方式来管理系统。 10.2 对象权限的授予与撤消 GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] GRANT object_privilege | ALL column ON schema.object FROM user | role | PUBLIC WITH GRANT OPTION 10.2 对象权限的授予与撤消 object_privilege:对象的权限，可以是： ALTER DELETE EXECUTE INDEX INSERT REFERENCES SELECT UPDATE 10.2 对象权限的授予与撤消 例1： GRANT INSERT, UPDATE ON sales TO larry WITH GRANT OPTION; 例2 GRANT ALL TO PUBLIC; 10.2 对象权限的授予与撤消 例3： GRANT select ON dept TO stu10 , stu11 ; 例4： GRANT select , insert(empno , ename) , update(ename) ON emp TO scott WITH GRANT OPTION ; 对象特权的回收： 例1： REVOKE select ON dept FROM stu10 , stu11 ; 例2： REVOKE all ON emp FROM scott ; 10.2 对象权限的授予与撤消 本章难点： 权限的级联授予 级联授权通过参数来实现，它们是： 系统权限：with admin option 对象权限：with grant option REVOKE ? 10.2 对象权限的授予与撤消 实践是检验真理的唯一标准 课堂实验： 对象级联授权的实验 行命令回收系统特权或角色： REVOKE FROM 10.3 系统权限的授予与撤消 GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] 10.3 系统权限的授予与撤消 实践是检验真理的唯一标准 课堂实验： 系统权限级联授权的实验 10.5 角色与授权 角色是一个数据库实体，它包括一组权限。即角色是包括一个或多个权限的集合。 它不被哪个用户拥有，它只能授予某些用户。 这些角色不要与用户名相同。 根据各个用户的情况（比如他们所担当的工作）来授予不同的角色。 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 10.5 角色与授权 1.CREATE ROLE语法 CREATE ROLE role [ [ NOT IDENTIFIED|IDENTIFIED] [ BY password| EXTERNALLY|GLOBALLY ]; role 角色名 IDENTIFIED BY password 角色口令 IDENTIFIED BY EXETERNALLY 角色名在操作系统下验证。 IDENTIFIED GLOBALLY 用户是ORACLE 安全域中心服务器来验证，此角色有全局用户来使用。 10.5 角色与授权 示例： CREATE ROLE vendor IDENTIFIED GLOBALLY; CREATE ROLE