实验三安全管理【开发语言及实现平台或实验环境】Oracle10g【实验目的】练习创建用户、用户的授权、创建角色、将角色授权给用户等安全管理命令【实验原理】一、用户管理1创建用户基本语法：CREATE USER user_name IDENTIFIED[BY password|EXTERNALL Y|GLOBALL YAS 'external_name'][DEFAULT TABLESPACE tablespace_name][TEMPORARY TABLESPACE temp_tablesapce_name][QUOTA n K|M|UNLIMITED ON tablespace_name][PROFILE profile_name][PASSWORD EXPIRE][ACCOUNT LOCK|UNLOCK];注意：在创建新用户后，必须为用户授予适当的权限。

例如，授予用户CREATE SESSION 权限后，用户才可以连接到数据库。

参数说明：user_name：用于设置新建用户名，在数据库中用户名必须是唯一的；IDENTIFIED：用于指明用户身份认证方式；BY password：用于设置用户的数据库身份认证，其中password为用户口令；EXTERNALL Y：用于设置用户的外部身份认证；GLOBALL Y AS'external_name'：用于设置用户的全局身份认证，其中external_name为Oracle 的安全管理服务器相关信息；DEFAULT TABLESPACE：用于设置用户的默认表空间，如果没有指定，Oracle将数据库默认表空间作为用户的默认表空间；TEMPORARY TABLESPACE：用于设置用户的临时表空间；QUOTA：用于指定用户在特定表空间上的配额，即用户在该表空间中可以分配的最大空间；PROFILE：用于为用户指定概要文件，默认值为DEFAULT，采用系统默认的概要文件；PASSWORD EXPIRE：用于设置用户口令的初始状态为过期，用户在首次登录数据库时必须修改口令；ACCOUNT LOCK：用于设置用户初始状态为锁定，默认为不锁定；ACCOUNT UNLOCK：用于设置用户初始状态为不锁定或解除用户的锁定状态。

实例：创建一个用户user3，口令为user3，默认表空间为USERS，在该表空间的配额为10 MB，初始状态为锁定。

CREATE USER user3 IDENTIFIED BY user3DEFAULT TABLESPACE USERS QUOTA 10M ON USERS ACCOUNT LOCK;创建一个用户user4，口令为user4，默认表空间为USERS，在该表空间的配额为10 MB。

口令设置为过期状态，即首次连接数据库时需要修改口令。

概要文件为example_profile（假设该概要文件已经创建）。

CREATE USER user4 IDENTIFIED BY user4DEFAULT TABLESPACE USERSQUOTA 10M ON USERSPROFILE example_profilePASSWORD EXPIRE;2. 修改用户基本语法：ALTER USER user_name [IDENTIFIED][BY password|EXTERNALL Y|GLOBALL YAS 'external_name'][DEFAULT TABLESPACE tablespace_name][TEMPORARY TABLESPACE temp_tablesapce_name][QUOTA n K|M|UNLIMITED ON tablespace_name][PROFILE profile_name][DEFAULT ROLE role_list|ALL [EXCEPT role_list]|NONE][PASSWORD EXPIRE][ACCOUNT LOCK|UNLOCK];参数说明：role_list：角色列表；ALL ：表示所有角色；EXCEPT role_list：表示除了role_list列表中的角色之外的其他角色；NONE：表示没有默认角色。

注意，指定的角色必须是使用GRANT命令直接授予该用户的角色。

实例：将用户user3的口令修改为newuser3，同时将该用户解锁。

ALTER USER user3IDENTIFIED BY newuser3 ACCOUNT UNLOCK;3.删除用户基本语法DROP USER user_name [ CASCADE ];步骤先删除用户所拥有的对象再删除用户将参照该用户对象的其他数据库对象标志为INV ALID实例：DROP USER users4;二、权限管理1.系统权限管理(1) 系统权限的授权语法：GRANT sys_priv_list TOuser_list|role_list|PUBLIC[WITH ADMIN OPTION];参数说明：sys_priv_list：表示系统权限列表，以逗号分隔；user_list：表示用户列表，以逗号分隔；role_list：表示角色列表，以逗号分隔；PUBLIC：表示对系统中所有用户授权；WITH ADMIN OPTION：表示允许系统权限接收者再把此权限授予其他用户。

例：为用户user1授予CREATE SESSION，CREATE TABLE，CREATE INDEX系统权限。

CONNECT SYSTEM/MANAGER@ORCL;GRANT CREATE SESSION,CREATE TABLE,CREATE VIEW TO user1;为用户user2授予CREATE SESSION，CREATE TABLE ，CREATE INDEX系统权限。

user2获得权限后，为用户user3授予CREATE TABLE权限。

CONNECT SYSTEM/MANAGER@ORCL;GRANT CREATE SESSION,CREATE TABLE,CREATE VIEW TO user2 WITH ADMIN OPTION;CONNECT user2/user2 @ORCLGRANT CREATE TABLE TO user3;（2）系统权限的回收语法：REVOKE sys_priv_listFROM user_list|role_list|PUBLIC;例：回收user1的CREATE TABLE，CREATE VIEW 权限，语句为：CONNECT SYSTEM/MANAGER@ORCL;REVOKE CREATE TABLE，CREATE VIEW FROM user1;2. 对象权限的管理(1) 对象权限的授权语法:GRANT obj_priv_list|ALL ON [schema.]objectTO user_list|role_list [WITH GRANT OPTION];参数说明:obj_priv_list：表示对象权限列表，以逗号分隔；[schema.]object：表示指定的模式对象，默认为当前模式中的对象；user_list：表示用户列表，以逗号分隔；role_list：表示角色列表，以逗号分隔；WITH GRANT OPTION：表示允许对象权限接收者把此对象权限授予其他用户。

例：将scott模式下的emp表的SELECT，UPDA TE，INSERT权限授予user1用户。

CONNECT SYSTEM/MANAGER@ORCL;GRANT SELECT,INSERT,UPDA TE ON scott.emp TO user1;例：将scott模式下的emp表的SELECT，UPDATE，INSERT权限授予user2用户。

user2用户再将emp表的SELECT，UPDA TE权限授予user3用户。

CONNECT SYSTEM/MANAGER@ORCL;GRANT SELECT,INSERT,UPDA TE ON scott.emp TO user2 WITH GRANT OPTION; CONNECT user2/user2@ORCLGRANT SELECT,UPDATE ON scott.emp TO user3;(2) 对象权限的回收语法：REVOKE obj_priv_list | ALL ON [schema.]object FROM user_list|role_list;三、角色管理1、创建角色语法为CREATE ROLE role_name [NOT IDENTIFIED][IDENTIFIED BY password];参数说明role_name：用于指定自定义角色名称，该名称不能与任何用户名或其他角色相同；NOT IDENTIFIED：用于指定该角色由数据库授权，使该角色生效时不需要口令；IDENTIFIED BY password：用于设置角色生效时的认证口令。

例如，创建不同类型的角色。

CREATE ROLE high_manager_role;CREATE ROLE middle_manager_role IDENTIFIED BY middlerole;CREATE ROLE low_manager_role IDENTIFIED BY lowrole;2、角色权限的授予与回收实例：GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role;GRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager_role;GRANT CONNECT,RESOURCE,DBA TO high_manager_role;GRANT SELECT,UPDATE,INSERT,DELETE ON scott.emp TO high_manager_role; REVOKE CONNECT FROM low_manager_role;REVOKE CREATE TABLE,CREATE VIEW FROM middle_manager_role;REVOKE UPDATE,DELETE ,INSERT ON scott.emp FROM high_manager_role;3、修改角色语法：ALTER ROLE role_name[NOT IDENTIFIED]|[IDENTIFIED BY password]；实例：ALTER ROLE high_manager_role IDENTIFIED BY highrole;ALTER ROLE middle_manager_role NOT IDENTIFIED;4、角色的生效与失效语法：SET ROLE [role_name[IDENTIFIED BY password ]]|[ALL [EXCEPT role_name]]|[NONE];参数说明：role_name：表示进行生效或失效设置的角色名称；IDENTIFIED BY password：用于设置角色生效或失效时的认证口令；ALL：表示使当前用户所有角色生效；EXCEPT role_name：表示除了特定角色外，其余所有角色生效；NONE：表示使当前用户所有角色失效。