用户、权限和角色管理

1.1  用户管理

每个用户有一系列的属性，包括以下几个方面：

A. 唯一的用户名，必须字母开头，最多30字节，不能有特殊字符。

B. 认证： 通常使用密码认证

C. 默认表空间： 用户创建后，如果在用户下创建了对象，那么生成与用户同名的schema,

即schema与用户名的区别在于是否存在用户对象。10g之前，如果没有指定default tbs,

那么system会被作为默认表空间；10g或之后，在建库的时候就可以指定一个数据库级的

默认表空间，这样定义用户没有指定默认表空间的话，默认就使用这个数据库级的TBS.

可以通过下面的语句查询：

select * from database_properties ;

或者 select name,value$ from props$ where name like 'DEFAULT%'

D. 默认临时表空间： Oracle9i之前，如果没有指定，会使用system作为临时表空间，9i开始，

可以为数据库指定默认临时表空间，定义用户时没有指定的话，使用数据库默认的临时表空间。

E. profile(配置文件)，用于控制用户密码策略以及资源使用。

F. 用户组

G. 锁定状态： 可以将用户锁定和解锁 。

 

数据库创建后，会预先建立两个非常重要的用户：sys及system, sys是超级用户，权限太大，

所以登陆的时候需要加入as sysdba 增强安全性，因为以as sysdba登陆后，登陆的时间信息

会记录在审计文件中。system仅仅时候数据库管理员，没有sys那么大权限。

通常我们不使用sys及system等用户登入数据库进行管理，而是创建一个用户，赋予该用户DBA

角色权限，用该用户来进行日常管理工作。

 

1.1.1  创建和删除用户

CREATE USER sidney

    IDENTIFIED BY out_standing1

    DEFAULT TABLESPACE example

    QUOTA 10M ON example

    TEMPORARY TABLESPACE temp

    QUOTA 5M ON system

    PROFILE app_user

    PASSWORD EXPIRE;

认证方式： 密码认证，外部认证，全局认证

 

外部认证 -

密码认证大家都熟悉，这里介绍一下外部认证。使用外部认证需要使用参数os_authent_prefix，

如果操作系统存在一个用户susan,  而数据库中存在一个用户ops$susan, 则只要以susan用户登

陆OS, 当登陆数据库时，可以不用提供用户密码，即可以以ops$susan登陆到数据库。若此参数为

空，那么只要数据库中存在与操作系统同名的用户，该用户就可以通过外部认证登陆数据库，因

为不完全，oracle不建议采用该认证方式。

SQL> show parameter os_authent_prefix

NAME                                 TYPE        VALUE

------------------------------------ ----------- ------------------------------

os_authent_prefix                    string      ops$

 

全局认证 -  需要采用oracle的高级安全设置.

 

--------------

 

创建用户语法：

  CREATE USER username

            IDENTIFIED {BY password|EXTERNALLY}

           [DEFAULT TABLESPACE tablespace_name]

           [TEMPORARY TABLESPACE tablespace_name]

           [QUOTA [n [K|M]] ON tablespace_name]

           [PASSWORD EXPIRE]

           [ACCOUNT LOCK|UNLOCK]

           [PROFILE filename];

参数：

IDENTIFIED BY password:

     用来指定用户的确认方式为数据库确认，password是为该用户指定的密码

IDENTIFIED   EXTERNALLY:

     指定确认方式为操作系统确认，并且生成一个用操作系统确认的用户

DEFAULT TABLESPACE:

     用户默认的表空间，用于在该用户模式下创建的对象(如表、索引、簇、视图等)没有指

定表空间时数据库默认的存储表空间

TEMPORARY TABLESPACE:

        临时表空间，用于存储排序等事务处理时的存储空间用户暂存段表空间

QUOTA [n [K|M]] [UNLIMITD] ON tsname:

        指定表空间的限制配额，就是限制允许用户使用的表空间的数量(大小)，UNLIMITD

表示无大小限制

PASSWORD EXPIRE:

     表明用户第一次登录时要修改密码

ACCOUNT LOCK|UNLOCK:

         锁定用户,lock为锁定，unlock为未锁定或解锁，默认为不锁定(unlocked)

PROFILE filename:

         用户的配置文件，用于限制用户对系统资源的使用，如果没有指定，则系统使用默

认的用户配置文件

 

 

举例：

1. 创建一个数据库验证的用户：

  CREATE USER testUser

      IDENTIFIED BY test

      DEFAULT TABLESPACE basedata

      TEMPORARY TABLESPACE TEMP

      QUOTA UNLIMITED ON USERS

      PASSWORD EXPIRE

      ACCOUNT UNLOCK

      PROFILE DEFAULT;

2. 授予用户连接权限 (用户只有拥有CREATE SESSION 权限才可能与数据库建立连接)

     GRANT CREATE SESSION TO testUser;

3. 修改用户信息