Oracle数据库的用户和权限管理

Oracle的用户 和权限管理

第五章 Oracle的用户和权限管理本章学习目标数据库安全性问题一直是人们关注的焦点， 数据库数据的丢失以及数据库被非法用户的侵 入对于任何一个应用系统来说都是至关重要的 问题。确保信息安全的重要基础在于数据库的 安全性能。

本章内容安排5.1 用户管理 5.2 权限和角色5.3 概要文件

5.1 用户管理5.1.1 数据库的存取控制

5.1.2 创建用户5.1.3 修改用户 5.1.4 删除用户

5.1.1 数据库的存取控制

1.用户鉴别2.用户的表空间设置和定额 3.用户资源限制和环境文件 4.用户环境文件

1. 用户鉴别为了防止非授权的数据库用户的使用，Oracle提供三种确认方法： 操作系统确认、Oracle数据库确认网络服务确认。 由操作系统鉴定用户的优点是： 1)用户能更快，更方便地联入数据库。 2)通过操作系统对用户身份确认进行集中控制：如果操作系统与数 据库用户信息一致，那么Oracle无须存储和管理用户名以及密码。

3)用户进入数据库和操作系统审计信息一致。

2.用户的表空间设置和定额关于表空间的使用有几种设置选择： 用户的缺省表空间

用户的临时表空间 数据库表空间的空间使用定额

3. 用户资源限制和环境文件 用户可用的各种系统资源总量的限制是用户安全域的部分。 利用显式地设置资源限制，安全管理员可防止用户无控制地 消耗宝贵的系统资源。资源限制是由环境文件管理。一个环 境文件是命名的一组赋给用户的资源限制。另外Oracle为安 全管理员在数据库提供是否对环境文件资源限制的选择。 Oracle可限制几种类型的系统资源的使用，每种资源可在 会话级、调用级或两者上控制。

在会话级：每一次用户连接到一数据库，建立一会话。每

一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。 在调用级：在SQL语句执行时，处理该语句有几步，为了 防止过多地调用系统，Oracle在调用级可设置几种资源限制。

有下列资源限制：(1)为了防止无控制地使用CPU时间，Oracle可限制每次Oracle调用 的CPU时间和在一次会话期间Oracle调用所使用的CPU的时间，以0.01秒

为单位。(2)为了防止过多的I/O,Oracle可限制每次调用和每次会话的逻辑 数据块读的数目。

(3)Oracle在会话级还提供其它几种资源限制。 每个用户的并行会话数的限制。 会话空闲时间的限制，如果一次会话的Oracle调用之间时间达到该空

闲时间，当前事务被回滚，会话被中止，会话资源返回给系统。 每次会话可消逝时间的限制，如果一次会话期间超过可消逝时间的限 制，当前事务被回滚，会话被删除，

该会话的资源被释放。 每次会话的专用SGA空间量的限制。

4.用户环境文件用户环境文件是指定资源限制的命名集，可赋给Oracle数 据库的有效的用户。利用用户环境文件可容易地管理资源限 制。 在许多情况中决定用户的环境文件的合适资源限制的最好 的方法是收集每种资源使用的历史信息。

5.1.2 创建用户使用CREATE USER语句可以创建一个新的数据库用户， 执行该语句的用户必须具有CREATE USER系统权限。

在创建用户时必须指定用户的认证方式。一般会通过Oracle数据库对用户身份进行验证，即采用数据库认证方式。 在这种情况下，创建用户时必须为新用户指定一个口令，口 令以加密方式保存在数据库中。当用户连接数据库时， Oracle从数据库中提取口令来对用户的身份进行验证。

使用IDENTIFIED BY子句为用户设置口令，这时用户将通过 数据库来进行身份认证。如果要通过操作系统来对用户进行身

份认证，则必须使用IDENTIFIED EXTERNAL BY子句。使用DEFAULT TABLESPACE子句为用户指定默认表空间。如果 没有指定默认表空间，Oracle会把SYSTEM表空间作为用户的默 认表空间。为用户指定了默认表空间之后，还必须使用QUOTA 子句来为用户在默认表空间中分配的空间配额。

此外，常用的一些子句有：

①TEMPORARY TABLESPACE子句：为用户指定临时表空间。②PROFILE子句：为用户指定一个概要文件。如果没有为用户显式地指定概 要文件，Oracle将自动为他指定DEFAULT概要文件。 ③DEFAULT ROLE子句：为用户指定默认的角色。 ④PASSWORD EXPIRE子句：设置用户口令的初始状态为过期。 ⑤ACCOUNT UNLOCK。 LOCK子句：设置用户账户的初始状态为锁定，缺省为：ACCOUNT

在建立新用户之后，通常会需要使用GRANT语句为他授予CREATE

SESSION系

统权限，使他具有连接到数据库中的能力。或为新用户直接授予Oracle中预 定义的CONNECT角色。

5.1.3 修改用户在创建用户之后，可以使用ALTER USER语句对用 户进行修改，执行该语句的用户必须具有ALTER USER 系统权限。例如：利用下面的语句可以修改用户chenjie的认证 方式、默认表空间、空间配额： ALTER USER chenjie

IDENTIFIED BY chenjie_pwQUATA 10M ON mbl_tbs;

ALTER USER语句最常用的情况是用来修改用户自 己 的 口 令 ， 任 何 用 户 都 可 以 使 用 ALTER

USER IDENTIFIED BY语句来修改自己的口令，而不需要具有任何其他权限。但是如果要修改其他用 户的口令，则必须具有ALTER USER系统权限。