Oracle 用户和权限
Oracle中,一般不会轻易在一个服务器上创建多个数据库,在一个数据库中,不同的项目由不同的用户访问,每一个用户拥有自身创建的数据库对象,因此用户的概念在oracle中非常重要。
用户管理
注意:
如果要创建用户只能在管理员下完成:
- Ø 超级管理员:sys/sys(sys是默认密码)
- Ø 普通管理员:system/system(system是默认密码)
- Ø 用户:Scott/tiger(tiger是默认密码)
1、创建用户
语法结构:Create user 用户名 identified by 密码【account lock| unlock】;
语法解析:
- Ø Lock | unlock 创建用户时是否锁定,默认为锁定状态。锁定的用户无法正常的登录进行数据库操作。
- Ø 比如:create user test identified by admin;
- Ø 用户名:test
- Ø 密码:admin
尽管用户创建成功,但是还不能正常的登录oracle数据库系统,因为该用户还没有如何权限。如果用户能够正常登录。至少需要create session 的系统权限。Oracle用户对数据库管理或者对象操作的权利,分为系统权限和数据库对象权限。
- 系统权限:比如createsession,create table 等,拥有系统权限的用户,允许拥有相应的系统操作。
- 数据库对象权限:比如对表中的数据进行增删改操作等,拥有数据库对象权限的用户可以对所拥有的对象进行对应的操作。
2、删除用户
Drop user 用户名;
如果该用户下面已经存在表等一些数据库对象。则必须使用级联删除
比如 dropuser test cascade;
3、修改用户的密码
Alter user 用户名 identified by 新密码;
设置密码失效
提示用户在第一次连接的时候需要修改密码,让用户的密码到期
比如:alter usertest password expire;
4、修改用户处于锁定(非锁定)状态
Alter user 用户名 account lock|unlock;
锁住一个用户
语法:Alter user用户名 account lock|unlock;
比如:Alter usertest account lock;
Alter user test accountunlock;
5、数据库角色(role)
数据库角色就是若干个系统权限的集合。下面几个常用角色:
- Connect角色,主要应用在临时用户,特别是那些不需要建表的用户,通常只赋予它们connect 角色,connect 是使用oracle的简单权限,拥有connect角色的用户,可以与服务器建立连接会话(session,客户端对服务器连接,称为会话)。
- Resource角色,更可靠和正式的数据库用户可以授予resource 角色。Resourc 提供给用户另外的权限以创建他们自己的表、序列、过程(procedure)、触发器(trigger)、索引(index)等
- DBA角色,dba角色拥有所有的系统权限,包括无限制的空间限额和给其他用户授予各种权限的能力。用户system拥有dba角色。
一般情况下,一个普通的用户,拥有connect和resource 两个角色即可进行常规的数据库开发工作。
可以把某个权限授予某个角色,可以把权限、角色授予某个用户。系统权限只能有DBA用户授权,对象权限由拥有该对象的用户授权,授权的语法是:
语法结构:Grant 角色|权限 to 用户(角色);
回收权限:revoke 角色|权限 from 用户(角色);
查看权限:select *from user_sys_privs
1) connect, resource, dba
这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。Oracle建议用户自己设计数据管理和安全的权限规划,而不要简单的使用这些预定义角色。将来的版本中这些角色可能不会作为预定义角色。
2) delete_catalog_role, execute_catalog_role, select_catalog_role
这些角色主要用于访问数据字典视图和包。
3) exp_full_database, imp_full_database
这两个角色用于数据导入导出工具的使用
6、权限
创建session权限
一般在数据库中,一个用户的连接称为建立一个session,如果一个新的用户想访问数据库,则必须要授予创建session的权限。
语法:grant 权限 to 用户;
比如:给test用户创建session的权限:grantcreate session to test;
以上用户虽然可以连接了,但是不能有如何的操作(比如创建表),只是可以连接数据库了。
Conn 命令表示切换用户,show user;表示查看当前用户。
(对于权限,角色,用户三者的关系,可以应用电视机(人民的名义)的例子来解释,比如:检查局局长属于一个角色,而侯亮平属于某个普通用户,中央领导赋予了其局长的角色,因此侯亮平拥有了局长这个角色的权力范围)
1) connect, resource, dba
这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。Oracle建议用户自己设计数据管理和安全的权限规划,而不要简单的使用这些预定义角色。将来的版本中这些角色可能不会作为预定义角色。
2) delete_catalog_role, execute_catalog_role, select_catalog_role
这些角色主要用于访问数据字典视图和包。
3) exp_full_database, imp_full_database
这两个角色用于数据导入导出工具的使用
对象授权
以上的所有操作只针对于test用户,如果test用户要访问其他用户呢?例如:访问emp表此时如果要想让其可以访问,则必须把scott用户下的emp表的查询权限给test。
(可以scott用户授权和管理员用户授权)
7、数据库设计范式
1、第一范式:字段要设计的不可再分
Name字段,可拆分成 firstname+lastname
2、第二范式:两个表的关系,在第三张表关系中体现
比如学生和课程表。为多对多的关系。这种关系需要在第三张表中体现
3、第三范式:多张表中,只存在关系,不存在具体信息(具体开发中用的最多)
比如:emp ,dept
如果一对 多用第三张表(关系表)来表示,则会出现问题。(一个员工可能属于多个部门,显然这是不符合现实逻辑的)
4、总范式:数据库表关联越少越好,SQL语句复杂度越低越好
三种范式其实只供参考。数据库设计原则:数据库表关联越少越好,SQL语句复杂度越低越好。所以有时候,违反了第三范式,但是简化了查询语句。加快了检索速度。