1、Oracle 安全管理安全管理用戶(hù)與模式用戶(hù)與模式l用戶(hù)用戶(hù)是指在數(shù)據(jù)庫(kù)中定義的、用來(lái)訪問(wèn)數(shù)據(jù)庫(kù)是指在數(shù)據(jù)庫(kù)中定義的、用來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的名稱(chēng)，的名稱(chēng)，模式模式是指一系列數(shù)據(jù)庫(kù)對(duì)象（如表、是指一系列數(shù)據(jù)庫(kù)對(duì)象（如表、視圖、索引等）的集合，模式對(duì)象是數(shù)據(jù)庫(kù)數(shù)視圖、索引等）的集合，模式對(duì)象是數(shù)據(jù)庫(kù)數(shù)據(jù)的邏輯結(jié)構(gòu)。據(jù)的邏輯結(jié)構(gòu)。l用戶(hù)的作用是連接數(shù)據(jù)庫(kù)并訪問(wèn)模式中的對(duì)象，用戶(hù)的作用是連接數(shù)據(jù)庫(kù)并訪問(wèn)模式中的對(duì)象，而模式的作用是創(chuàng)建和管理數(shù)據(jù)庫(kù)的對(duì)象。而模式的作用是創(chuàng)建和管理數(shù)據(jù)庫(kù)的對(duì)象。l在在OracleOracle數(shù)據(jù)庫(kù)中，模式與用戶(hù)是一一對(duì)應(yīng)的，數(shù)據(jù)庫(kù)中，模式與用戶(hù)是一一對(duì)應(yīng)的，一個(gè)模式只能被一個(gè)用

2、戶(hù)所擁有并且名字必須一個(gè)模式只能被一個(gè)用戶(hù)所擁有并且名字必須與用戶(hù)的名稱(chēng)相同，而一個(gè)用戶(hù)也只能擁有一與用戶(hù)的名稱(chēng)相同，而一個(gè)用戶(hù)也只能擁有一個(gè)模式。個(gè)模式。用戶(hù)與模式用戶(hù)與模式l當(dāng)用戶(hù)訪問(wèn)自己模式中的對(duì)象時(shí)，不需當(dāng)用戶(hù)訪問(wèn)自己模式中的對(duì)象時(shí)，不需要指定模式名。要指定模式名。l經(jīng)過(guò)授權(quán)的用戶(hù)還可以訪問(wèn)其他模式的經(jīng)過(guò)授權(quán)的用戶(hù)還可以訪問(wèn)其他模式的對(duì)象，訪問(wèn)時(shí)要在對(duì)象，訪問(wèn)時(shí)要在對(duì)象名的前面加上模對(duì)象名的前面加上模式名式名。一、創(chuàng)建用戶(hù)一、創(chuàng)建用戶(hù)l語(yǔ)法格式如下：語(yǔ)法格式如下：CREATE USER CREATE USER user_nameuser_nameIDENTIFIED BY passwo

3、rd | EXTERNALLY | IDENTIFIED BY password | EXTERNALLY | GLOBALLY GLOBALLY DEFAULT TABLESPACE DEFAULT TABLESPACE default_tablespacedefault_tablespace TEMPORARY TABLESPACE TEMPORARY TABLESPACE temp_tablespacetemp_tablespace QUOTA QUOTA size|UNLIMITEDsize|UNLIMITED ON ON tablesapce_nametablesapce_name

4、PROFILE PROFILE profileprofile PASSWORD EXPIRE PASSWORD EXPIRE ACCOUNT LOCK | UNLOCK ; ACCOUNT LOCK | UNLOCK ;一、創(chuàng)建用戶(hù)一、創(chuàng)建用戶(hù)（1 1）user_nameuser_name是要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)用戶(hù)的名稱(chēng)。是要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)用戶(hù)的名稱(chēng)。（2 2）IDENTIFIED IDENTIFIED 子句用于指定數(shù)據(jù)庫(kù)用戶(hù)的認(rèn)子句用于指定數(shù)據(jù)庫(kù)用戶(hù)的認(rèn)證方式，證方式，passwordpassword是指要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)用戶(hù)的是指要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)用戶(hù)的密碼，也就是使用密碼認(rèn)證方式，密碼，也就是使用密碼認(rèn)

5、證方式，EXTERNALLYEXTERNALLY表示要使用外部認(rèn)證方式，表示要使用外部認(rèn)證方式，GLOBALLYGLOBALLY表示要使表示要使用全局認(rèn)證方式。用全局認(rèn)證方式。（3 3）DEFAULT TABLESPACEDEFAULT TABLESPACE用于指定創(chuàng)建用戶(hù)的默用于指定創(chuàng)建用戶(hù)的默認(rèn)表空間。認(rèn)表空間。一、創(chuàng)建用戶(hù)一、創(chuàng)建用戶(hù)（4 4）TEMPORARY TABLESPACETEMPORARY TABLESPACE用于指定用戶(hù)的臨時(shí)用于指定用戶(hù)的臨時(shí)表空間。表空間。（5 5）QUOTAQUOTA（配額）在（配額）在OracleOracle數(shù)據(jù)庫(kù)中用于對(duì)資數(shù)據(jù)庫(kù)中用于對(duì)資源的使用進(jìn)

6、行限制。源的使用進(jìn)行限制。（6 6）PASSWORD EXPIREPASSWORD EXPIRE用于指定用戶(hù)密碼初始狀用于指定用戶(hù)密碼初始狀態(tài)為過(guò)期。態(tài)為過(guò)期。（7 7）ACCOUNTACCOUNT用于指定用戶(hù)的鎖定狀態(tài)。用于指定用戶(hù)的鎖定狀態(tài)。（8 8）創(chuàng)建用戶(hù)后，）創(chuàng)建用戶(hù)后，OracleOracle數(shù)據(jù)庫(kù)就會(huì)自動(dòng)創(chuàng)建一數(shù)據(jù)庫(kù)就會(huì)自動(dòng)創(chuàng)建一個(gè)與該用戶(hù)名稱(chēng)相同的模式，該用戶(hù)創(chuàng)建的所個(gè)與該用戶(hù)名稱(chēng)相同的模式，該用戶(hù)創(chuàng)建的所有對(duì)象都會(huì)保存在這個(gè)模式中。有對(duì)象都會(huì)保存在這個(gè)模式中。二、系統(tǒng)權(quán)限管理二、系統(tǒng)權(quán)限管理1 1常用的系統(tǒng)權(quán)限常用的系統(tǒng)權(quán)限lOracleOracle數(shù)據(jù)庫(kù)的系統(tǒng)權(quán)限非常多，共

7、有數(shù)據(jù)庫(kù)的系統(tǒng)權(quán)限非常多，共有200200多種，多種，總體上可以分為操作數(shù)據(jù)庫(kù)的權(quán)限和操作對(duì)象的總體上可以分為操作數(shù)據(jù)庫(kù)的權(quán)限和操作對(duì)象的權(quán)限，可以通過(guò)查詢(xún)視圖權(quán)限，可以通過(guò)查詢(xún)視圖system_privilege_mapsystem_privilege_map了解了解OracleOracle數(shù)據(jù)庫(kù)中的系統(tǒng)權(quán)限。數(shù)據(jù)庫(kù)中的系統(tǒng)權(quán)限。l特殊的系統(tǒng)權(quán)限就是特殊的系統(tǒng)權(quán)限就是sysdbasysdba（數(shù)據(jù)庫(kù)管理員）和（數(shù)據(jù)庫(kù)管理員）和sysopersysoper（數(shù)據(jù)庫(kù)操作員）。（數(shù)據(jù)庫(kù)操作員）。二、系統(tǒng)權(quán)限管理二、系統(tǒng)權(quán)限管理2 2為用戶(hù)授予系統(tǒng)權(quán)限為用戶(hù)授予系統(tǒng)權(quán)限l語(yǔ)法格式如下：語(yǔ)法格式如下：

8、GRANT GRANT sys_privsys_priv, , sys_privsys_priv, , TO user, user , | role, TO user, user , | role, role , | PUBLICrole , | PUBLICWITH ADMIN OPTIONWITH ADMIN OPTION二、系統(tǒng)權(quán)限管理二、系統(tǒng)權(quán)限管理3 3回收授予的系統(tǒng)權(quán)限回收授予的系統(tǒng)權(quán)限l語(yǔ)法格式如下：語(yǔ)法格式如下：REVOKE REVOKE sys_privsys_priv , , sys_privsys_priv, , FROM user, user , | role, FRO

9、M user, user , | role, role , | PUBLICrole , | PUBLIC二、系統(tǒng)權(quán)限管理二、系統(tǒng)權(quán)限管理4 4查看用戶(hù)的系統(tǒng)權(quán)限查看用戶(hù)的系統(tǒng)權(quán)限l可以通過(guò)以下的數(shù)據(jù)字典視圖了解與用戶(hù)系統(tǒng)權(quán)限相關(guān)可以通過(guò)以下的數(shù)據(jù)字典視圖了解與用戶(hù)系統(tǒng)權(quán)限相關(guān)的信息：的信息：（1 1）user_sys_privsuser_sys_privs：顯示授予給當(dāng)前用戶(hù)的系統(tǒng)權(quán)限信：顯示授予給當(dāng)前用戶(hù)的系統(tǒng)權(quán)限信息，包括用戶(hù)名稱(chēng)、系統(tǒng)權(quán)限和是否能轉(zhuǎn)授權(quán)限的標(biāo)志息，包括用戶(hù)名稱(chēng)、系統(tǒng)權(quán)限和是否能轉(zhuǎn)授權(quán)限的標(biāo)志信息等信息。信息等信息。（2 2）dba_sys_privsdba_sys_pr

10、ivs：顯示數(shù)據(jù)庫(kù)中所有授予給用戶(hù)和角：顯示數(shù)據(jù)庫(kù)中所有授予給用戶(hù)和角色的系統(tǒng)權(quán)限信息，包括接受者、系統(tǒng)權(quán)限和是否可以色的系統(tǒng)權(quán)限信息，包括接受者、系統(tǒng)權(quán)限和是否可以轉(zhuǎn)授等信息。轉(zhuǎn)授等信息。（3 3）session_privssession_privs：顯示當(dāng)前用戶(hù)所擁有的全部系統(tǒng)權(quán)：顯示當(dāng)前用戶(hù)所擁有的全部系統(tǒng)權(quán)限的信息。限的信息。三、對(duì)象權(quán)限管理三、對(duì)象權(quán)限管理1 1常用的對(duì)象權(quán)限常用的對(duì)象權(quán)限 Oracle Oracle數(shù)據(jù)庫(kù)中有數(shù)據(jù)庫(kù)中有8 8種對(duì)象權(quán)限，它們分別是：種對(duì)象權(quán)限，它們分別是： （1 1）SELECTSELECT權(quán)限：執(zhí)行查詢(xún)操作，能夠執(zhí)行的對(duì)象權(quán)限：執(zhí)行查詢(xún)操作，能夠執(zhí)

11、行的對(duì)象是表、視圖和序列。是表、視圖和序列。（2 2）INSERTINSERT權(quán)限：執(zhí)行插入數(shù)據(jù)的操作，能夠執(zhí)行權(quán)限：執(zhí)行插入數(shù)據(jù)的操作，能夠執(zhí)行的對(duì)象是表和視圖。的對(duì)象是表和視圖。（3 3）UPDATEUPDATE權(quán)限：執(zhí)行更新數(shù)據(jù)的操作，能夠執(zhí)行權(quán)限：執(zhí)行更新數(shù)據(jù)的操作，能夠執(zhí)行的對(duì)象是表和視圖。的對(duì)象是表和視圖。（4 4）DETELEDETELE權(quán)限：執(zhí)行刪除數(shù)據(jù)的操作，能夠執(zhí)行權(quán)限：執(zhí)行刪除數(shù)據(jù)的操作，能夠執(zhí)行的對(duì)象是表和視圖。的對(duì)象是表和視圖。三、對(duì)象權(quán)限管理三、對(duì)象權(quán)限管理（5 5）ALTERALTER權(quán)限：執(zhí)行修改對(duì)象的操作，能夠執(zhí)行權(quán)限：執(zhí)行修改對(duì)象的操作，能夠執(zhí)行的對(duì)象是表和

12、序列。的對(duì)象是表和序列。（6 6）INDEXINDEX權(quán)限：執(zhí)行創(chuàng)建索引的操作，能夠執(zhí)行權(quán)限：執(zhí)行創(chuàng)建索引的操作，能夠執(zhí)行的對(duì)象是表。的對(duì)象是表。（7 7）REFERENCESREFERENCES權(quán)限：執(zhí)行外鍵引用的操作，能權(quán)限：執(zhí)行外鍵引用的操作，能夠執(zhí)行的對(duì)象是表。夠執(zhí)行的對(duì)象是表。（8 8）EXECUTEEXECUTE權(quán)限：執(zhí)行對(duì)象的操作，能夠執(zhí)行的權(quán)限：執(zhí)行對(duì)象的操作，能夠執(zhí)行的對(duì)象是函數(shù)、過(guò)程和包。對(duì)象是函數(shù)、過(guò)程和包。三、對(duì)象權(quán)限管理三、對(duì)象權(quán)限管理2 2為用戶(hù)授予對(duì)象權(quán)限為用戶(hù)授予對(duì)象權(quán)限GRANT GRANT obj_priv(column_nameobj_priv(colum

13、n_name, .) , , .) , obj_priv(column_nameobj_priv(column_name, .), , .), ON ON obj_nameobj_nameTO user, user , | role, TO user, user , | role, role , | PUBLICrole , | PUBLICWITH GRANT OPTIONWITH GRANT OPTION三、對(duì)象權(quán)限管理三、對(duì)象權(quán)限管理3 3回收授予的對(duì)象權(quán)限回收授予的對(duì)象權(quán)限REVOKE REVOKE obj_priv(column_nameobj_priv(column_name, .

14、) , .) , , obj_priv(column_nameobj_priv(column_name, .), , .), ON ON obj_nameobj_name FROM user, user , | role, FROM user, user , | role, role , | PUBLICrole , | PUBLIC三、對(duì)象權(quán)限管理三、對(duì)象權(quán)限管理4 4查看用戶(hù)的對(duì)象權(quán)限查看用戶(hù)的對(duì)象權(quán)限l可以通過(guò)以下的數(shù)據(jù)字典視圖了解與用戶(hù)系統(tǒng)權(quán)可以通過(guò)以下的數(shù)據(jù)字典視圖了解與用戶(hù)系統(tǒng)權(quán)限相關(guān)的信息：限相關(guān)的信息：user_tab_privsuser_tab_privs、all_tab_privsall_tab_privs、dba_tab_privsdba_tab_privs、user_col_privsuser_col_privs、all_col_privsall_col_privs、dba_col_privsdba_col_privs、user_tab_privs_madeuser_tab_privs_made、all_tab_privs_madeall_tab_privs_made、dba_tab_privs_madedba_tab_priv