資源描述:
《11、用戶角色和權限》由會員上傳分享�,免費在線閱讀,更多相關內(nèi)容在行業(yè)資料-天天文庫�。
1、第1章數(shù)據(jù)庫用戶管理【學習目標】Oracle數(shù)據(jù)庫用戶是數(shù)據(jù)庫安全機制的一種�。本章主要內(nèi)容是介紹Oracle數(shù)據(jù)庫用戶、模式(Schema)的概念����,數(shù)據(jù)庫用戶的身份驗證機制,以及如何創(chuàng)建和管理數(shù)據(jù)庫用戶�����?��!颈菊乱c】?創(chuàng)建數(shù)據(jù)庫用戶?修改和刪除數(shù)據(jù)庫用戶?獲取數(shù)據(jù)庫用戶信息【關鍵術語】Schema模式Quota配額Databaseauthentication數(shù)據(jù)庫驗證Operatingsystemauthentication操作系統(tǒng)驗證1.1用戶與安全1.1.1數(shù)據(jù)的安全訪問Oracle數(shù)據(jù)庫的安全包括在對象級控制數(shù)據(jù)庫訪問和使用的機制�,這是通過數(shù)據(jù)庫
2��、用戶來實現(xiàn)的�,數(shù)據(jù)庫用戶是定義在數(shù)據(jù)庫中的一個名稱,它是存取數(shù)據(jù)庫中信息的通道,是Oracle數(shù)據(jù)庫的基本訪問控制機制����。數(shù)據(jù)安全策略決定哪個用戶訪問特定模式對象�,在對象上允許每個用戶的特定類型操作。用戶在訪問Oracle數(shù)據(jù)庫時必須提供一個數(shù)據(jù)庫帳戶��,只有合法身份的用戶才能夠訪問數(shù)據(jù)庫����。在Oracle數(shù)據(jù)庫中,每個數(shù)據(jù)庫用戶有一系列安全屬性���,見圖13-1����。帳戶鎖定表空間配額臨時表空間默認表空間角色權限資源限制用戶安全屬性直接權限認證機制圖13-1用戶安全屬性各個屬性的含義如下:?認證機制:指明用戶連接到數(shù)據(jù)庫時的身份驗證方式����。?帳戶鎖定:指明用戶是否被
3、鎖定����,當用戶被鎖定后,該用戶將無法連接到數(shù)據(jù)庫。?默認表空間:當用戶創(chuàng)建數(shù)據(jù)庫對象時�����,如果沒有顯式地指定對象所處的表空間����,Oracle把對象存放在用戶的默認表空間中。?臨時表空間:用戶的一些操作(如排序)需要存放臨時數(shù)據(jù)的地方����,Oracle將把臨時數(shù)據(jù)存放到用戶的臨時表空間中。?表空間配額:指明用戶在某個表空間中所能使用的存儲空間大小���。?資源限制:每個用戶有一個唯一的概要文件��,在文件中設置了用戶的資源限制和口令策略���。?直接權限:直接分配給用戶的權限。?角色權限:權限不是直接分配給用戶的����,而是先分配給角色,然后把角色再分配給用戶��,這是用戶獲取權限的另一種
4、方式����。為了防止數(shù)據(jù)庫用戶未經(jīng)授權使用,每個用戶在連接到數(shù)據(jù)庫時都需要進行身份驗證�,Oracle提供了三種身份驗證方式:?數(shù)據(jù)庫驗證?操作系統(tǒng)驗證?網(wǎng)絡驗證數(shù)據(jù)庫驗證表示用戶名和口令的驗證由Oracle完成�,用戶在連接數(shù)據(jù)庫時必須同時提供用戶名和口令。采用數(shù)據(jù)庫驗證具有以下一些優(yōu)點:?用戶帳戶及其身份驗證信息全部存儲在數(shù)據(jù)庫中���,驗證由OracleServer完成����,而不需要借助數(shù)據(jù)庫外的任何控制��。?當使用數(shù)據(jù)庫驗證時�,Oracle提供了嚴格的口令管理特征以加強口令的安全性,例如帳戶鎖定��、口令有效期以及口令長度����、復雜度等。?易于管理����。操作系統(tǒng)驗證也是一種常用
5���、的驗證方式,在操作系統(tǒng)驗證方式下����,Oracle將使用操作系統(tǒng)自身的驗證機制來判斷用戶的身份。網(wǎng)絡驗證指口令管理和用戶驗證由網(wǎng)絡服務完成��,如OracleAdvancedNetworkingOption���。身份驗證方式是在創(chuàng)建用戶時確定的�����,可以根據(jù)需要隨時修改驗證方式����。本書只介紹數(shù)據(jù)庫驗證和操作系統(tǒng)驗證的用戶的管理����。1.1.1數(shù)據(jù)庫模式對象模式是一系列對象的集合。一個模式只能夠被一個數(shù)據(jù)庫用戶所擁有����,并且模式的名稱與這個用戶的名稱相同�����。ORACLE數(shù)據(jù)庫中的每個用戶都擁有一個唯一的模式����,他所創(chuàng)建的所有模式對象都保存在自己的模式中�。模式對象的類型有表���、索引��、簇
6�����、�、觸發(fā)器�����、PL/SQL���、序列���、同義詞�����、視圖���、存儲過程和存儲函數(shù)等,當然��,Oracle中并不是所有的對象都是模式對象���,非模式對象有:?表空間?用戶?角色?回滾段?概要文件當用戶在數(shù)據(jù)庫中創(chuàng)建一個模式對象后�,這個模式對象默認地屬于這個用戶的模式�����。一個用戶可以訪問其模式的所有對象���,但其它用戶要訪問另一個模式的對象時�,必須在對象名前加上它所屬的模式名���。例如用戶SCOTT檢索其模式的表EMP時��,可以直接執(zhí)行語句:SELECT*FROMEMP���;但是�����,如果要訪問SMITH模式的CLASS表時���,則必須執(zhí)行語句:SELECT*FROMSMITH.CLASS。初學者在剛剛
7��、接觸模式概念時��,常常不清楚數(shù)據(jù)庫用戶與模式之間的區(qū)別����。造成這種情況的原因是因為在Oracle數(shù)據(jù)庫中����,模式與數(shù)據(jù)庫用戶是一一對應,每個數(shù)據(jù)庫用戶都擁有一個與他的用戶名相同的模式����。因此�,在Oracle數(shù)據(jù)庫中���,模式與用戶兩個概念的差別很小����,經(jīng)?����?梢蕴鎿Q����。例如“用戶A擁有TEMP表”和“模式A擁有TEMP表”兩句話的意義是相同的。因此不必在語言上完全區(qū)分模式與用戶����,但是,一定要清楚模式與用戶是兩個完全不同的概念�����。1.1創(chuàng)建用戶操作使用CREATEUSER語句可以創(chuàng)建一個新的數(shù)據(jù)庫用戶,執(zhí)行該語句的用戶必須具有CREATEUSER系統(tǒng)權限�。在創(chuàng)建用戶之前,首
8����、先要確認這個用戶的一些信息:?用戶名稱是什么??該用戶采用什么驗證方式�����??用戶的缺省表空間和臨
