第10章用户权限与安全讲述.pptx

数据库原理与应用 （Oracle版） 人民邮电出版社 2 第10章 用户权限与安全 10.1 用户和模式 10.2 管理用户 10.3 用户配置文件管理 10.4 管理权限 10.5 管理角色 10.1 用户和模式 由于Oracle中的对象是一种基于模式的管理方式，每个数据库对象都显式地属于一个用户，属于这个用户的对象的集合称为模式（Schema），通过灵活地控制用户的权限，即可灵活地控制用户模式对象的安全性。 用户是定义在数据库中的一个名称，它是Oracle数据库的基本访问控制机制，用来连接和访问数据库对象。 人民邮电出版社 3 10.1 用户和模式 “数据库用户账户”是一种组织数据库对象的所有权和访问权限的方法，简称用户。要访问数据库，用户必须指定有效的数据库用户账户，而且还要根据该用户账户的要求成功通过验证。每个数据库用户都有一个唯一的数据库账户。 每个数据库用户账户都由用户名标识，用户的属性（包括：认证方式、用于数据库认证的口令、用于永久和临时数据存储的默认表空间、表空间限额、账户状态、口令状态）组成。 人民邮电出版社 4 10.1 用户和模式 “数据库用户账户”是一种组织数据库对象的所有权和访问权限的方法，简称用户。要访问数据库，用户必须指定有效的数据库用户账户，而且还要根据该用户账户的要求成功通过验证。每个数据库用户都有一个唯一的数据库账户。 每个数据库用户账户都由用户名标识，用户的属性（包括：认证方式、用于数据库认证的口令、用于永久和临时数据存储的默认表空间、表空间限额、账户状态、口令状态）组成。 人民邮电出版社 5 10.1 用户和模式 模式（Schema） 对Oracle来说，模式是指数据库对象的集合，是对用户所创建的数据对象的总称。模式对象是数据库数据的逻辑结构，包括表、视图、索引、同义词、序列、过程和程序包等。 一个用户一般对应一个模式，该用户的模式名等于用户名，并作为该用户缺省的模式。 一个用户有一个缺省的模式，当然一个用户还可以使用其他的模式。 人民邮电出版社 6 10.2 管理用户 Oracle数据库的安全保护流程可以总结为3个步骤： 首先，用户向数据库提供身份识别信息，即提供一个数据库账号； 其次，用户还需要证明他们所给出的身份识别信息是有效的，这是通过输入口令实现的； 最后，假设口令是正确的，那么数据库认为身份识别信息是可信赖的。此时，数据库将会在基于身份识别信息的基础上决定用户所拥有的权限，即用户可以对数据库执行什么操作。 人民邮电出版社 7 10.2 管理用户 数据库的存取控制包括： 用户认证 操作系统认证、Oracle数据库认证、网络服务认证 用户的表空间设置和配额 用户的缺省表空间、用户的临时表空间、数据库表空间的空间使用配额 用户资源限制和配置文件 用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制，管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由用户配置文件管理。用户配置文件是指定资源限制的命名集，可赋给Oracle数据库的有效用户。利用用户配置文件可容易地管理资源限制。 人民邮电出版社 8 10.2 管理用户 创建用户 CREATE USER 用户名 IDENTIFIED BY 口令 [DEFAULT TABLESPACE 缺省表空间名] [TEMPORARY TABLESPACE 临时表空间名] [QUOTA 存储空间配额 [ K | M ] | UNLIMITED ON 缺省表空间名] [PROFILE 配置文件名] [PASSWORD EXPIRE] [ACCOUNT LOCK | UNLOCK]; 人民邮电出版社 9 10.2 管理用户 创建用户 以system/ustb2012身份创建一个用户tom，其口令是ustb2012，默认的表空间是users，零时表空间是temp，并授予其CREATE SESSION权限。 SQL CONN system/ustb2012 SQL CREATE USER tom IDENTIFIED BY ustb2012 DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUDTA 3M ON users; SQL GRANT CREATE SESSION to tom; 人民邮电出版社 10 10.2 管理用户 修改用户 在创建用户之后，可以使用ALTER USER语句对用户进行修改，一般由DBA或具有ALTER USER系统权限的用户来进行用户的修改。对用户的修改包括：口令、缺省表空间、临时表空间、表空间配额、配置文件、缺省角色、用户账户的锁定或解锁等。 修改口令 以tom登录，并使用ALTER USER修改其自己的口令为ustb2013。 SQLCONN