第16章用戶、角色與權限控制用戶是數據庫對象之一，只有使用了合法的用戶登錄之后，才可以對數據庫進行各種操作。但是這些操作又必須是受限的，這就要求數據庫對用戶的權限進行控制。角色是權限的集合，用以更加高效、靈活地分配權限給用戶。用戶、權限和角色是Oracle數據庫進行權限控制的主要手段。本章的主要內容包括：用戶及用戶的創建；權限及權限的分配；角色及角色的使用。通過本章的學習，讀者將清晰的了解用戶、權限和角色這三者的概念及相互關系，并掌握如何在Oracle數據庫進行權限控制。用戶、角色與權限控制共15頁，您現在瀏覽的是第1頁!16.1用戶Oracle用戶分為兩類：一類是具有系統管理權限的用戶，稱為系統用戶；另一類為普通用戶。從創建時機上講，Oracle數據庫在創建時，會提供若干默認用戶（如系統用戶system）；另外，系統用戶可以在登錄數據庫后創建其他用戶。這些用戶共同組成了Oracle數據庫的用戶集合。本小節將講述Oracle用戶的概況，并講解如何創建普通用戶。用戶、角色與權限控制共15頁，您現在瀏覽的是第2頁!16.1.1Oracle中的用戶概況在Oracle數據庫中，存在著視圖dba_users。該視圖存儲了所有用戶的基本信息，我們搜尋視圖內容來查看Oracle中的用戶概況。用戶、角色與權限控制共15頁，您現在瀏覽的是第3頁!16.1.2利用系統用戶創建新的用戶對于開發人員來說，并不會經常使用系統用戶登錄數據庫。因為系統用戶的權限范圍較大，如果出現失誤，可能對數據庫造成較大傷害。因此，往往開發人員會使用特定的用戶進行開發任務。創建新用戶的語法如下所示：createuser用戶名identifiedby密碼defaulttablespace名稱空間其中，createuser命令用戶創建新的用戶，并指定用戶名；identifiedby選項是必需的，用于指定新用戶的密碼；defaulttablespace用于指定新建用戶的默認表空間，新用戶登錄之后，所有操作均默認在該名稱空間進行。用戶、角色與權限控制共15頁，您現在瀏覽的是第4頁!16.1.4系統用戶——system與sys系統用戶sys和system是Oracle數據庫默認創建的用戶。用戶sys角色為sysdba（數據庫管理員），是數據庫中權限最高的用戶，可以進行任意操作而不受限制。system用戶角色為sysoper（數據庫操作員），權限僅次于sys用戶。我們在16.1.1節中提到，一個用戶的狀態有可能是EXPIRED&LOCKED，即被鎖定的。用戶、角色與權限控制共15頁，您現在瀏覽的是第5頁!16.2.1系統權限系統權限是Oracle內置的、與具體對象無關的權限類型。這些權限不指向具體對象，而是針對某種操作而言。例如，創建表的權限，當表未創建時，自然無從談對針對特定表的權限。1．獲得系統權限信息2．分配系統權限3．adminoption選項4．收回用戶的系統權限用戶、角色與權限控制共15頁，您現在瀏覽的是第6頁!16.3角色利用grant命令為用戶分配權限是一件非常耗時的工作，尤其是當數據庫中用戶眾多，而且權限關系比較復雜時。有鑒于此，Oracle提供了角色這一策略來協助數據庫管理員來更加靈活地實現權限分配。角色是權限的集合。一個角色可能包含多個權限信息。在Oracle中，我們可以首先創建一個角色，該角色包含了多種權限。然后將角色分配給多個用戶，從而在最大程度上實現復用性。用戶、角色與權限控制共15頁，您現在瀏覽的是第7頁!16.3.2角色的延伸——繼承一個角色可以繼承其他角色的權限集合，這為某些角色的實現提供了更加便利的途徑。例如，角色role_employee已經具備了表system.employees增刪改查的權限。現希望創建一個新的角色role_test，該角色具有表system.employees增刪改查權限之外，還希望擁有創建會話（createsession）和創建表（createtable）的權限。那么，可以利用已有角色role_employee來實現新角色。用戶、角色與權限控制共15頁，您現在瀏覽的是第8頁!16.4本章實例并非所有角色都需要用戶手動創建。Oracle數據庫提供了多個內置角色。其中最常見的為DBA、CONNECT和RESOURCE。其中，DBA是數據庫管理員角色，我們利用該角色可以對數據庫進行所有操作。本實例將講述CONNECT和RESOURCE角色的主要權限。用戶、角色與權限控制共15頁，您現在瀏覽的是第9頁!16.1.3用戶的對象集合——模式模式（Schema）是用戶的附屬對象，依賴于對象的存在而存在。一個用戶在數據庫中所擁有的所有對象的集合即為該用戶的模式。這些對象包括：表、索引、視圖、存儲過程等。用戶、角色與權限控制共15頁，您現在瀏覽的是第10頁!16.2權限權限（Privilege）是Oracle中控制用戶操作的主要策略。Oracle中的權限分為兩種，系統權限和對象權限。本節將詳細講述系統權限和對象權限的概念及區別。用戶、角色與權限控制共15頁，您現在瀏覽的是第11頁!16.2.2對象權限對象權限是指用戶在已存在對象上的權限。這些權限主要包括以下幾種：select：可用于查詢表、視圖和序列。insert：向表或視圖中插入新的記錄update：更新表中數據delete：刪除表中數據execute：函數、存儲過程、程序包等的調用或執行index：為表創建索引references：為表創建外鍵alter：修改表或者序列的屬性用戶、角色與權限控制共15頁，您現在瀏覽的是第12頁!16.3.1利用角色進行權限分配創建角色應該使用createrole命令。角色創建之后，會以對象的形式的存儲在數據庫中，并可以在數據字典中獲得其信息。【示例16-7】在16.2節，我們使用了grant命令將多個權限分別賦予了用戶test和test_user。現假設用戶test和test_user都應該具有表system.employees的select、update、insert和update權限。那么，可以首先創建一個角色，并將以上權限賦予該角色。用戶、角色與權限控制共15頁，您現在瀏覽的是第13頁!16.3.3禁用/啟用角色當用戶登錄數據庫時，會話會自動加載當前用戶的角色信息（如果該用戶屬于某個或某些角色的話）。可以通過視圖session_roles來查看用戶所具有的角色信息。C:\>sqlplustest/abc123@tstSQL*Plus:Release10.1.0.2.0-Productionon星期日3月1400:16:502010Copyright(c)1982,2004,Oracle.Allrightsreserved.Connectedto:OracleDatabase10gEnterpriseEditionRelease10.1.0.2.0-ProductionWiththePartitioning,OLAPandDataMiningoptions用戶、角色與權限控制