1、数据库原理与应用数据库原理与应用 第9章 Oracle的安全性学习目标学习目标 了解Oracle数据库系统层的安全设置方法。掌握利用企业管理控制台和命令行两种方式对用户、角色、授权和概要文件的管理方法。9.1 安全性概述安全性概述9.2 Oracle数据库权限数据库权限9.3 Oracle用户用户Oracle角色角色第第9章章 Oracle的安全性的安全性 9.1安全性概述安全性概述 Oracle9i数据库的安全性包括以下几个层次:(1)物理层的安全性。(2)操作系统层的安全性。(3)网络层的安全性。(4)数据库系统层的安全性。(5)应用系统层的安全性。9.2 Oracle数据库权限数据库权限
2、9.1 安全性概述安全性概述9.3 Oracle用户用户Oracle角色角色第第9章章 Oracle的安全性的安全性 9.2 Oracle数据库的权限数据库的权限 权限是能够在数据库中执行某种操作或访问某个对象的权力,数据库系统层的安全性是通过对用户授予特定的访问数据库对象的权限来确保数据库系统层的安全。Oracle数据库权限主要分两类:系统级权限 系统级权限规定用户对一类数据库对象的操作权限;例如:CREATE ANY TABLE、SELECT ANY TABLE、DROP ANY TABLE、ALTER ANY TABLE等。对象级权限。对象级权限规定用户对某个数据库对象中数据的操作权限;
3、例如:SELECT、INSERT、UPDATE、DELETE等。9.2 Oracle数据库的权限数据库的权限 Oracle数据库中的用户可以按其获得的权限的高低分为三类:(1)系统用户(DBA):指具有系统控制与操作特权的用户,一般指系统管理员或数据库管理员。(2)数据库对象的属主(Owner):指创建某个数据库对象的用户,该用户无需授权就拥有对该数据库对象的所有操作权限。(3)一般用户:指经过授权被允许对数据库进行某些特定数据操作的用户,一般指操作别的用户的数据库对象。9.3 Oracle用户用户9.2 Oracle数据库权限数据库权限9.1 安全性概述安全性概述Oracle角色角色第第9章
4、章 Oracle的安全性的安全性 9.3.1 创建用户创建用户9.3.2 查看用户查看用户9.3.3 修改用户修改用户9.3.4 权限管理权限管理9.3 Oracle用户用户 9.3.5 删除用户删除用户9.3.1 创建用户创建用户 Oracle数据库中创建用户的方法有企业管理控制台方式和命令行方式两种。企业管理控制台方式 登录到数据库后,选择【安全性】/【用户】选项,单击鼠标右键,在弹出的快捷菜单中通过选择【创建】选项出现创建用户窗口。【一般信息】页如图9-1所示。9.3.1 创建用户创建用户“一般信息”选项卡用于定义用户的一般属性,主要信息如表9-1所示。项目说明名称用户的名称,即登录时的
5、用户名,在同一数据库中是惟一的概要文件用户的概要文件。下拉列表中包含已连接数据库的所有概要文件。默认为DEFAULT概要文件。关于概要文件的内容将在9.5节详细讲解验证指定Oracle数据库用来验证用户的方法,有口令、外部、全局三种验证方法。口令是指用口令来验证用户。外部是指由操作系统验证用户。全局是指该用户在多个数据库中的全局标识,通过全局方式验证用户,该验证方式只在Oracle8中使用口令即刻失效选中该选项后,用户的口令会立即失效。创建的新用户必须在第一次试图登录时更改口令表空间用户默认和临时使用的表空间。下拉列表中包含已连接数据库的所有表空间状态用户的状态。选中锁定将锁定用户的账号并禁止
6、访问该账号。选中未锁定将解除对用户账号的锁定并允许访问该账号9.3.1 创建用户创建用户“角色”选项卡用于为用户授予角色,同时使用户具有角色权限,如图9-2所示。“可用”列表中包含所有可用角色,在“可用”列表中选中要授予用户的角色,单击“”按钮将其添加到“已授予”列表中;在“已授予”列表中选中要收回的角色,单击“”按钮将其收回;选中“管理选项”使用户具有将此角色授予其他用户的权限,但不允许循环授权,即被授权者不能再把权限授回给授权者。9.3.1 创建用户创建用户“系统”选项卡用于为用户授予系统级权限,如图9-3所示。“可用”列表中包含所有可用系统权限,在“可用”列表中选中要授予用户的系统权限,
7、单击“”按钮将其添加到“已授予”列表中;在“已授予”列表中选中要收回的系统权限,单击“”按钮将其收回;选中“管理选项”使用户具有将此系统级权限授予其他用户的权限,同样不能循环授权。9.3.1 创建用户创建用户“对象”选项卡用于为用户授予对象级权限,当一个用户是某数据库对象的属主时,它就拥有操纵该数据库对象的所有权限,但其他用户必须经过授权才能操纵该数据库对象,如图9-4所示。“对象”列表中包含所有可用对象,“可用权限”列表中包含该对象的可用权限,在“对象”列表中选中要授予用户的对象,在“可用权限”列表中选中要授予用户的可用权限,单击“”按钮将其添加到“已授予”列表中;在“已授予”列表中选中要收
8、回的对象权限,单击“”按钮将其收回;选中“授权选项”使用户具有将此对象级权限授予其他用户的权限,同样不能循环授权。9.3.1 创建用户创建用户“限额”选项卡用于指定用户可在其中分配空间的表空间,以及用户在其中可分配的最大空间数量,如图9-5所示。“详细资料”列表中包含已连接数据库的所有表空间和用户在每个表空间中的限额大小,限额大小即用户在每个表空间中被允许使用的最大空间数量。限额大小分无、无限制、值三种。(1)无:用户在所选表空间上无任何限额。(2)无限制:用户在所选表空间上有无限制限额。使用无限制限额,用户可以无限制地分配表空间中的空间。(3)值:指定特定的限额,在单行编辑器中输入限额值。在
9、下拉列表中选择K bytes或M bytes以指定KB或MB单位。9.3.1 创建用户创建用户 其他选项卡的信息读者参考其他参考资料。所有选项卡设置完毕后,单击“显示SQL”按钮,即可显示自动形成的创建用户的CREATE USER语句和为用户授权的GRANT语句,单击“创建”按钮即可完成新用户创建。命令行方式命令行方式 命令行方式创建用户的方法为在SQL Plus或SQL Plus Worksheet中使用CREATE USER命令创建用户,命令的一般格式如下:CREATE USER PROFILE IDENTIFIED BY|EXTERNALLY|GLOBALLY AS PASSWORD E
10、XPIRE DEFAULT TABLESPACE TEMPORARY TABLESPACE QUOTA|UNLIMITED ON ACCOUNT UNLOCK|LOCK;【例9.1】创建用户user1,口令为user1,默认表空间为xk,临时表空间为temp,在xk表空间上的限额为10M,未锁定状态。CREATE USER user1 PROFILE default IDENTIFIED BY user1 DEFAULT TABLESPACE xk TEMPORARY TABLESPACE temp QUOTA 10M ON xk ACCOUNT UNLOCK;命令行方式命令行方式 9.3.2
11、 查看用户查看用户9.3.1 创建用户创建用户9.3.3 修改用户修改用户9.3.4 权限管理权限管理9.3 Oracle用户用户 9.3.5 删除用户删除用户9.3.2 查看用户查看用户 查看用户的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要查看的用户,双击鼠标左键或单击鼠标右键,在快捷菜单中选中“查看编辑详细资料”即可出现查看用户窗口。2.命令行方式命令行方式 用户信息存储在数据字典DBA_USERS中,使用查询命令DESC可以得到存储在DBA_USERS中的用户信息,基本信息如表9-2所示。名称是否为空?类型USERNAM
12、ENOT NULLVARCHAR2(30)USER_IDNOT NULLNUMBERPASSWORD VARCHAR2(30)ACCOUNT_STATUSNOT NULLVARCHAR2(32)LOCK_DATE DATEEXPIRY_DATE DATEDEFAULT_TABLESPACENOT NULLVARCHAR2(30)TEMPORARY_TABLESPACENOT NULLVARCHAR2(30)CREATEDNOT NULLDATEPROFILENOT NULLVARCHAR2(30)INITIAL_RSRC_CONSUMER_GROUP VARCHAR2(30)EXTERNAL_
13、NAME VARCHAR2(4000)2.命令行方式命令行方式 【例9.2】查看用户user1的用户名、用户标识、锁定日期、账号状态、默认表空间信息。SELECT USERNAME,USER_ID,LOCK_DATE,ACCOUNT_STATUS,DEFAULT_TABLESPACE FROM DBA_USERS WHERE USERNAME=USER1;9.3.3 修改用户修改用户9.3.2 查看用户查看用户9.3.1 创建用户创建用户9.3.4 权限管理权限管理9.3 Oracle用户用户 9.3.5 删除用户删除用户9.3.3 修改用户修改用户 修改用户的方法有企业管理控制台方式和命令行
14、方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要修改的用户,双击鼠标左键或单击鼠标右键,在快捷菜单中选中“查看编辑详细资料”即可出现修改用户窗口,其基本操作同创建用户方法。单击“显示SQL”按钮,即可显示自动形成的修改用户的ALTER USER语句,此语句即为命令行方式修改用户的命令。2.命令行方式命令行方式 命令行方式修改用户的方法为在SQL Plus或SQL Plus Worksheet中使用ALTER USER命令修改用户,命令的一般格式如下:ALTER USER PROFILE IDENTIFIED BY|EXTERNALLY|GLOBALLY AS PA
15、SSWORD EXPIRE DEFAULT TABLESPACE TEMPORARY TABLESPACE QUOTA|UNLIMITED ON ACCOUNT UNLOCK|LOCK;2.命令行方式命令行方式 【例9.3】修改用户user1,口令为user11,而且为锁定状态。ALTER USER user1 IDENTIFIED BY user11 ACCOUNT LOCK;9.3.4 权限管理权限管理9.3.2 查看用户查看用户9.3.3 修改用户修改用户9.3.1 创建用户创建用户9.3 Oracle用户用户 9.3.5 删除用户删除用户9.3.4 权限管理权限管理 为了数据库系统的安
16、全,应严格为了数据库系统的安全,应严格控制用户的权限。控制用户的权限。1.授予/收回权限 创建了用户后,必须为用户授权才能使用。授予/收回用户权限的方法有企业管理控制台方式和命令行方式两种。(1)企业管理控制台方式 在企业管理控制台中,选中要授予/收回权限的用户,双击鼠标左键或单击鼠标右键,在快捷菜单中选中“查看编辑详细资料”即可出现查看/修改用户状态的窗口,按照创建用户中所讲授予/收回权限方法即可改变用户的权限。单击“显示SQL”按钮,即可显示自动形成的授予权限的GRANT语句、收回权限的REVOKE语句。(2)命令行方式)命令行方式 命令行方式授予/收回用户权限的方法为在SQL Plus或
17、SQL Plus Worksheet中使用GRANT/REVOKE命令修改用户权限。授予权限 GRANT命令授予权限,一般格式如下:GRANT|ON ,|ON TO|WITH ADMIN OPTION|WITH GRANT OPTION;授予权限授予权限【例9.4】为用户user1授予connect角色、alter any role系统级权限、授予usepi方案中student表的DELETE对象级权限,且每个权限均能再授予他人。GRANT alter any role TO user1 WITH ADMIN OPTION;GRANT delete ON usepi.student TO us
18、er1 WITH GRANT OPTION;GRANT connect TO user1 WITH ADMIN OPTION;收回权限收回权限 REVOKE命令收回权限,一般格式如下:REVOKE|ON ,|ON FROM|;其中:【例9.5】为用户user1收回connect角色,收回usepi方案student表的DELETE对象级权限。REVOKE connect FROM user1;REVOKE delete ON usepi.student FROM user1;2.查看权限查看权限 用户拥有的系统权限存储在数据字典USER_SYS_PRIVS中,使用查询命令DESC可以得到存储在
19、USER_SYS_PRIVS中的用户系统权限信息,基本信息如表9-3所示。名称是否为空?类型USERNAME VARCHAR2(30)PRIVILEGENOT NULLVARCHAR2(40)ADMIN_OPTION VARCHAR2(3)2.查看权限查看权限 【例9.6】查看用户usepi的系统权限。SELECT*FROM USER_SYS_PRIVS WHERE USERNAME=USEPI;2.查看权限查看权限 用户拥有的角色存储在数据字典USER_SYS_ROLES中,使用查询命令DESC可以得到存储在USER_SYS_ROLES中的用户系统角色信息,基本信息如表9-4所示。名称是否为
20、空?类型USERNAME VARCHAR2(30)GRANTED_ROLE VARCHAR2(30)ADMIN_OPTION VARCHAR2(3)DEFAULT_ROLE VARCHAR2(3)OS_GRANTED VARCHAR2(3)2.查看权限查看权限 【例9.7】查看用户usepi拥有的角色。SELECT GRANTED_ROLE,ADMIN_OPTION FROM USER_ROLE_PRIVS WHERE USERNAME=USEPI;2.查看权限查看权限 用户拥有的表级对象权限存储在数据字典USER_TAB_PRIVS中,使用查询命令DESC可以得到存储在USER_ TAB _
21、PRIVS中的用户系统权限信息,基本信息如表9-5所示。名称是否为空?类型GRANTEENOT NULLVARCHAR2(30)OWNERNOT NULLVARCHAR2(30)TABLE_NAMENOT NULLVARCHAR2(30)GRANTORNOT NULLVARCHAR2(30)PRIVILEGENOT NULLVARCHAR2(40)GRANTABLE VARCHAR2(3)HIERARCHY VARCHAR2(3)2.查看权限查看权限 【例9.8】查看用户usepi的表级对象权限。SELECT GRANTEE,GRANTOR,TABLE_NAME PRIVILEGE FROM
22、USER_TAB_PRIVS WHERE GRANTEE=USEPI;9.3.5 删除用户删除用户9.3.2 查看用户查看用户9.3.3 修改用户修改用户9.3.4 权限管理权限管理9.3 Oracle用户用户 9.3.1 创建用户创建用户9.3.5 删除用户删除用户 删除用户的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要删除的用户,单击鼠标右键,在快捷菜单中选中“移去”即可删除该用户。2.命令行方式命令行方式 命令行方式删除用户的方法为在SQL Plus或SQL Plus Worksheet中使用DROP USER命令删除用户
23、,命令的一般格式如下:DROP USER;【例9.9】删除用户user1,写出其SQL命令。DROP USER user1;Oracle角色角色9.2 Oracle数据库权限数据库权限9.3 Oracle用户用户9.1 安全性概述安全性概述第第9章章 Oracle的安全性的安全性 9.4 Oracle角色角色 如果数据库用户很多,例如,一个班有40名学生,每个学生都是Oracle的用户,这些学生用户的权限又相同,此时如果对每个学生单独授权或修改权限,很麻烦而且不利于集中管理,因此,角色应运而生。角色是对权限的集中管理机制,是一组权限的集合,当把角色授予不同学生用户时,这些用户就具有了相同的权限
24、,角色的权限改变,用户的权限也跟着改变。Oracle数据库提供了CONNECT、RESOURCE、DBA三种最基本的角色。具有CONNECT角色的用户可以登录数据库,执行数据查询和操纵;具有RESOURCE角色的用户可以创建表;具有DBA角色的用户可以执行某些授权命令、创建表、对任何表的数据进行操纵,还可以执行一些管理操作。DBA角色拥有最高级别的权限。9.4.1 创建角色创建角色9.4.2 查看角色查看角色9.4.3 修改角色修改角色9.4 Oracle角色角色 9.4.4 删除角色删除角色9.4.1 创建角色创建角色 Oracle数据库中创建角色的方法有企业管理控制台方式和命令行方式两种。
25、企业管理控制台方式 登录到数据库后,选择【安全性】/【角色】选项,单击鼠标右键,在弹出的快捷菜单中通过选择【创建】选项出现创建角色窗口。【一般信息】页如图9-6所示。9.4.1 创建角色创建角色“一般信息”选项卡用于定义角色的一般属性,主要信息如表9-6所示。项目说明名称角色的名称。输入新角色的名称,在同一数据库中是惟一的验证Oracle数据库用来验证角色的方法,有无、口令、外部、全局四种验证方法,与用户验证方法相似9.4.1 创建角色创建角色 其他选项卡的操作与创建用户相同,不再赘述。所有选项卡设置完毕后,单击“显示SQL”按钮,即可显示自动形成的创建角色的CREATE ROLE语句,此语句
26、即为命令行方式创建角色的命令,单击“创建”按钮即可完成新角色创建。角色的授予/回收权限与用户相同,不再赘述。命令行方式命令行方式 命令行方式创建角色的方法为在SQL Plus或SQL Plus Worksheet中使用CREATE ROLE命令创建角色,命令的一般格式如下:CREATE ROLE NOT IDENTIFIED|IDENTIFIED BY|IDENTIFIED EXTERNALLY|IDENTIFIED GLOBALLY;【例9.10】创建角色role1,口令role1,同时为角色授予connect角色和CREATE TABLE权限,同时将该角色授予usepi。CREATE RO
27、LE role1 IDENTIFIED BY role1;GRANT connect TO role1 WITH ADMIN OPTION;GRANT CREATE TABLE TO role1;GRANT role1 TO usepi;命令行方式命令行方式 9.4.2 查看角色查看角色9.4.1 创建角色创建角色9.4.3 修改角色修改角色9.4 Oracle角色角色 9.4.4 删除角色删除角色9.4.2 查看角色查看角色 查看角色的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要查看的角色,双击鼠标左键或单击鼠标右键,在快捷菜
28、单中选中“查看编辑详细资料”即可出现查看角色窗口。2.命令行方式命令行方式 角色信息存储在数据字典DBA_ROLES中,使用查询命令DESC可以得到存储在DBA_ROLES中的角色信息,基本信息如表9-7所示。名称是否为空?类型 ROLENOT NULLVARCHAR2(30)PASSWORD_REQUIRED VARCHAR2(8)2.命令行方式命令行方式 【例9.11】查看角色role1的信息。SELECT*FROM DBA_ROLES WHERE ROLE=ROLE1;【例9.12】查看角色role1的角色权限信息。SELECT*FROM ROLE_ROLE_PRIVS WHERE RO
29、LE=ROLE1;9.4.3 修改角色修改角色9.4.2 查看角色查看角色9.4.1 创建角色创建角色9.4 Oracle角色角色 9.4.4 删除角色删除角色9.4.3 修改角色修改角色 修改角色的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要修改的角色,双击鼠标左键或单击鼠标右键,在快捷菜单中选中“查看编辑详细资料”即可出现修改角色窗口,其基本操作同创建角色方法。单击“显示SQL”按钮,即可显示自动形成的修改角色的ALTER ROLE语句,此语句即为命令行方式修改角色的命令。2.命令行方式命令行方式 命令行方式修改角色的方法为
30、在SQL Plus或SQL Plus Worksheet中使用ALTER ROLE命令修改角色,命令的一般格式如下:ALTER ROLE NOT IDENTIFIED|IDENTIFIED BY|IDENTIFIED EXTERNALLY|IDENTIFIED GLOBALLY;【例9.13】修改角色role1,去掉口令。ALTER ROLE role1 NOT IDENTIFIED;9.4.4删除角色删除角色9.4.2 查看角色查看角色9.4.3 修改角色修改角色9.4 Oracle角色角色 9.4.1 创建角色创建角色9.4.4 删除角色删除角色 删除角色的方法有企业管理控制台方式和命令行
31、方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要删除的角色,单击鼠标右键,在快捷菜单中选中“移去”即可删除该角色。2.命令行方式命令行方式 命令行方式删除角色的方法为在SQL Plus或SQL Plus Worksheet中使用DROP ROLE命令删除角色,命令的一般格式如下:DROP ROLE;【例9.14】删除角色role1,写出其SQL命令。DROP ROLE role1;9.2 Oracle数据库权限数据库权限9.3 Oracle用户用户Oracle角色角色第第9章章 Oracle的安全性的安全性 9.1 安全性概述安全性概述9.5 Oracle概要文件
32、概要文件 Oracle数据库为了合理分配和使用系统资源,提出了概要文件的概念。所谓概要文件就是怎样使用系统资源的配置文件,将概要文件赋予某个用户时,在用户连接数据库时,系统就按概要文件为其分配资源。例如,学生上机考试时,一旦考试结束即让学生身份的用户自动失效,以防止学生超时答卷,此时可以利用概要文件来实现;另外,在学生选课系统中有时输入用户名和密码三次后就锁定用户,这也是利用概要文件来实现的。9.5.1 创建概要文件创建概要文件9.5.2 为用户分配概要文件为用户分配概要文件9.5.4 修改概要文件修改概要文件9.5 Oracle概要文件概要文件 9.5.5 删除概要文件删除概要文件9.5.3
33、 查看概要文件查看概要文件9.5.1 创建概要文件创建概要文件 Oracle数据库中创建概要文件的方法有企业管理控制台方式和命令行方式两种。企业管理控制台方式 登录到数据库后,选择【安全性】/【概要文件】选项,单击鼠标右键,在弹出的快捷菜单中通过选择【创建】选项出现创建概要文件窗口。【一般信息】页如图9-7所示。主要信息如表9-8所示。9.5.1 创建概要文件创建概要文件项目说明名称概要文件的名称,在同一数据库中是惟一的详细资料CPU/会话(CPU_PER_SESSION)允许一个会话占用CPU的时间总量。该限值以秒来表示CPU/调用(CPU_PER_CALL)允许一个调用占用CPU的时间最大
34、值。该限值以秒来表示连接时间(CONNECT_TIME)允许一个会话持续时间的最大值。该限值以分钟来表示空闲时间(IDLE_TIME)允许一个会话处于空闲状态的时间最大值。空闲时间是会话中持续不活动的一段时间。长时间运行的查询和其他操作不受此限值的约束。该限值以分钟来表示数据库服务并行会话(SESSIONS_PER_USER)允许一个用户进行的并行会话的最大数量读取数/会话(LOGICAL_READS_PER_SESSION)会话中允许读取数据块的总数。该限值包括从内存和磁盘读取的块读取数/调用(LOGICAL_READS_PER_CALL)允许一个调用在处理一个SQL语句时读取的数据块的最大
35、数量专用SGA(PRIVATE_SGA)在系统全局区(SGA)的共享池中,一个会话可分配的专用空间量的最大值。专用SGA的限值只在使用多线程服务器体系结构的情况下适用。该限值以千字节(KB)来表示组合限制(COMPOSITE_LIMIT)一个会话耗费的资源总量。一个会话耗费的资源总量是会话占用CPU的时间、连接时间、会话中的读取数和分配的专用SGA空间量几项的加权和9.5.1 创建概要文件创建概要文件“口令”选项卡用于设置账号口令参数,如图9-8所示,主要信息如表9-9示。9.5.1 创建概要文件创建概要文件项目说明口令失效有效期(PASSWORD_LIFE_TIME)限定多少天后口令失效失效
36、后锁定(PASSWORD_GRACE_TIME)限定口令失效后第一次用它成功登录之后多少天内可以更改此口令保留口令历史记录保留(PASSWORD_REUSE_MAX)指定口令能被重复使用前必须更改的次数。如果指定了一个值,保留时间就会被禁用保留时间(PASSWORD_REUSE_TIME)限定口令失效后经过多少天才可以重复使用。如果指定了一个值,保留就会被禁用启用口令复杂性函数(PASSWORD_VERIFY_FUNCTION)在分配了该概要文件的用户登录到数据库中的时候,允许使用一个PL/SQL例行程序来校验口令,PL/SQL例行程序必须在本地可用,才能在应用该概要文件的数据库上执行登录失败
37、后锁定账号登录失败(FAILED_LOGIN_ATTEMPTS)限定用户在几次登录失败后将无法使用该账号锁定时间(PASSWORD_LOCK_TIME)在登录失败达到指定次数后,指定该账号将被锁定的天数。如果指定了无限制,则只有数据库管理员才能为该账号解除锁定9.5.1 创建概要文件创建概要文件 所有选项卡设置完毕后,单击“显示SQL”按钮,即可显示自动形成的创建概要文件的CREATE PROFILE语句,此语句即为命令行方式创建概要文件的命令,单击“创建”按钮即可完成新概要文件的创建。命令行方式命令行方式 命令行方式创建概要文件的方法为在SQL Plus或SQL Plus Worksheet
38、中使用CREATE PROFILE命令创建概要文件,命令的一般格式如下:CREATE PROFILE LIMIT CPU_PER_SESSION CPU_PER_CALL CONNECT_TIME IDLE_TIME SESSIONS_PER_USER LOGICAL_READS_PER_SESSION LOGICAL_READS_PER_CALL PRIVATE_SGA COMPOSITE_LIMIT 命令行方式命令行方式 FAILED_LOGIN_ATTEMPTS PASSWORD_LOCK_TIME PASSWORD_GRACE_TIME PASSWORD_LIFE_TIME PASSW
39、ORD_REUSE_MAX PASSWORD_REUSE_TIME PASSWORD_VERIFY_FUNCTION;【例9.15】创建概要文件usepi_pro,要求空闲时间为15分,登录3次后锁定,有效期为30天。CREATE PROFILE usepi_pro LIMIT IDLE_TIME 15 FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LIFE_TIME 30;命令行方式命令行方式 9.5.2 为用户分配概要文件为用户分配概要文件9.5.1 创建概要文件创建概要文件9.5.4 修改概要文件修改概要文件9.5 Oracle概要文件概要文件 9.5.5 删除概要文
40、件删除概要文件9.5.3 查看概要文件查看概要文件9.5.2 为用户分配概要文件为用户分配概要文件 创建完概要文件后,可以为用户分配概要文件。Oracle数据库为用户分配概要文件的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台企业管理控制台 登录到数据库后,选择“安全性”“概要文件”,单击鼠标右键,在快捷菜单中选中“为用户分配概要文件”,出现分配概要文件对话框,如图9-9所示。在概要文件下拉列表框中选中概要文件,在用户列表中选中用户,可按键盘上的Shift键同时选择多个用户,单击“应用”按钮即可。2.命令行方式命令行方式 创建了概要文件后,可以利用ALTER USER命令为用户分
41、配概要文件。【例9.16】为用户usepi分配概要文件usepi_pro。ALTER USER usepi PROFILE usepi_pro;9.5.3 查看概要文件查看概要文件9.5.1 创建概要文件创建概要文件9.5.4 修改概要文件修改概要文件9.5 Oracle概要文件概要文件 9.5.5 删除概要文件删除概要文件9.5.2 为用户分配概要文件为用户分配概要文件9.5.3 查看概要文件查看概要文件 查看概要文件的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要查看的概要文件,双击鼠标左键或单击鼠标右键,在快捷菜单中选中“查
42、看编辑详细资料”即可出现查看概要文件窗口。2.命令行方式命令行方式 概要文件信息存储在数据字典DBA_ PROFILES中,使用查询命令DESC可以得到存储在DBA_ PROFILES中的概要文件信息,基本信息如表9-10所示。名称是否为空?类型PROFILENOT NULLVARCHAR2(30)RESOURCE_NAMENOT NULLVARCHAR2(32)RESOURCE_TYPE VARCHAR2(8)LIMIT VARCHAR2(40)2.命令行方式命令行方式 【例9.17】查看概要文件usepi_pro的信息。SELECT*FROM DBA_PROFILES WHERE PROF
43、ILE=USEPI_PRO;9.5.4 修改概要文件修改概要文件9.5.1 创建概要文件创建概要文件9.5.3 查看概要文件查看概要文件9.5 Oracle概要文件概要文件 9.5.5 删除概要文件删除概要文件9.5.2 为用户分配概要文件为用户分配概要文件9.5.3 修改概要文件修改概要文件 修改概要文件的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要修改的概要文件,双击鼠标左键或单击鼠标右键,在快捷菜单中选中“查看编辑详细资料”即可出现修改概要文件窗口,其基本操作同创建概要文件方法。单击“显示SQL”按钮,即可显示自动形成的修
44、改概要文件的ALTER PROFILE语句,此语句即为命令行方式修改概要文件的命令。2.命令行方式命令行方式 命令行方式修改概要文件的方法为在SQL Plus或SQL Plus Worksheet中使用ALTER PROFILE命令修改概要文件,命令的一般格式如下:ALTER PROFILE LIMIT CPU_PER_SESSION CPU_PER_CALL CONNECT_TIME IDLE_TIME SESSIONS_PER_USER LOGICAL_READS_PER_SESSION LOGICAL_READS_PER_CALL PRIVATE_SGA COMPOSITE_LIMIT
45、2.命令行方式命令行方式 FAILED_LOGIN_ATTEMPTS PASSWORD_LOCK_TIME PASSWORD_GRACE_TIME PASSWORD_LIFE_TIME PASSWORD_REUSE_MAX PASSWORD_REUSE_TIME PASSWORD_VERIFY_FUNCTION;2.命令行方式命令行方式 【例9.18】修改概要文件usepi_pro,要求空闲时间为60分,口令有效期60天。ALTER PROFILE usepi_pro LIMIT IDLE_TIME 60 PASSWORD_LIFE_TIME 60;9.5.5 删除概要文件删除概要文件9.5.
46、1 创建概要文件创建概要文件9.5.3 查看概要文件查看概要文件9.5 Oracle概要文件概要文件 9.5.4 修改概要文件修改概要文件9.5.2 为用户分配概要文件为用户分配概要文件9.5.4 删除概要文件删除概要文件 删除概要文件的方法有企业管理控制台方式和命令行方式两种。1.企业管理控制台方式企业管理控制台方式 在企业管理控制台中,选中要删除的概要文件,单击鼠标右键,在快捷菜单中选中“移去”即可删除该概要文件。2.命令行方式命令行方式 命令行方式删除概要文件的方法为在SQL Plus或SQL Plus Worksheet中使用DROP PROFILE命令删除概要文件,命令的一般格式如下
47、:DROP PROFILE;【例9.19】删除概要文件usepi_pro,写出其SQL命令。DROP PROFILE usepi_pro;综合实例综合实例【例9.20】综合案例。假设学生选课系统中需要用户xk_useri(i=1,2,30),口令与用户名相同,默认表空间为xk,临时表空间为temp,在xk表空间上的限额为10M,未锁定状态,3次登录失败后锁定帐户1天,帐户有效期为60天。每个用户具有相同的权限如下:登录到学生选课数据库;创建自己方案下的表(CREATE TABLE);创建自己方案下的索引(CREATE INDEX);创建自己方案下的视图(CREATE VIEW);创建自己方案下
48、的同义词(CREATE SYNONYM);创建自己方案下的序列(CREATE SEQUENCE);创建自己方案下的存储过程或存储函数(CREATE PROCEDURE);综合实例综合实例 创建自己方案下的触发器(CREATE TRIGGER);为了系统安全,授权给用户xk_user1的权限用户xk_user1不能再授予他人。由于用户有特别要求时,一般情况下首先为用户创建概要文件xk_profile:CREATE PROFILE xk_profile LIMIT FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1 PASSWORD_LIFE_TIME 60;
49、由于系统有30个用户,且30个用户具有相同的权限,此时利用角色机制。CREATE ROLE xk_role;综合实例综合实例 GRANT CONNECT TO xk_role;GRANT CREATE TABLE TO xk_role;GRANT CREATE INDEX TO xk_role;GRANT CREATE VEW TO xk_role;GRANT CREATE SYNONYM TO xk_role;GRANT CREATE SEQUENCE TO xk_role;GRANT CREATE PROCEDURE TO xk_role;GRANT CREATE TRIGGER TO x
50、k_role;创建用户xk_useri(i=1,2,.30),概要文件为xk_profile,且将角色xk_role授予用户。CREATE USER xk_user1 PROFILE xk_profile IDENTIFIED BY xk_user1综合实例综合实例 DEFAULT TABLESPACE xk TEMPORARY TABLESPACE temp QUOTA 10M ON xk ACCOUNT UNLOCK;GRANT xk_role TO xk_user1;同理创建其他29个用户并授权,不再赘述。9.2 Oracle数据库权限数据库权限9.3 Oracle用户用户Oracle角
