Oracle 用户和权限

Oracle 用户和权限

          Oracle中，一般不会轻易在一个服务器上创建多个数据库，在一个数据库中，不同的项目由不同的用户访问，每一个用户拥有自身创建的数据库对象，因此用户的概念在oracle中非常重要。

用户管理

注意:

如果要创建用户只能在管理员下完成：

• Ø 超级管理员：sys/sys（sys是默认密码）
• Ø 普通管理员：system/system（system是默认密码）
• Ø 用户：Scott/tiger（tiger是默认密码）

1、创建用户

语法结构：Create user 用户名 identified by 密码【account lock| unlock】;

语法解析：

• Ø Lock | unlock 创建用户时是否锁定，默认为锁定状态。锁定的用户无法正常的登录进行数据库操作。
• Ø 比如：create user test identified by admin;
• Ø 用户名：test
• Ø 密码：admin

尽管用户创建成功，但是还不能正常的登录oracle数据库系统，因为该用户还没有如何权限。如果用户能够正常登录。至少需要create session 的系统权限。Oracle用户对数据库管理或者对象操作的权利，分为系统权限和数据库对象权限。

• 系统权限：比如createsession，create  table 等，拥有系统权限的用户，允许拥有相应的系统操作。
•  数据库对象权限：比如对表中的数据进行增删改操作等，拥有数据库对象权限的用户可以对所拥有的对象进行对应的操作。

 

2、删除用户

            Drop  user 用户名；

            如果该用户下面已经存在表等一些数据库对象。则必须使用级联删除

            比如 dropuser  test cascade;

           

3、修改用户的密码

           Alter user 用户名 identified by 新密码；

      设置密码失效

提示用户在第一次连接的时候需要修改密码，让用户的密码到期

比如：alter usertest password expire;

4、修改用户处于锁定（非锁定）状态

           Alter user 用户名 account lock|unlock;

      锁住一个用户

语法：Alter user用户名 account lock|unlock;

比如：Alter usertest account lock;

Alter user test accountunlock;

5、数据库角色（role）

数据库角色就是若干个系统权限的集合。下面几个常用角色：

• Connect角色，主要应用在临时用户，特别是那些不需要建表的用户，通常只赋予它们connect 角色，connect 是使用oracle的简单权限，拥有connect角色的用户，可以与服务器建立连接会话（session,客户端对服务器连接，称为会话）。
• Resource角色，更可靠和正式的数据库用户可以授予resource 角色。Resourc 提供给用户另外的权限以创建他们自己的表、序列、过程(procedure)、触发器(trigger)、索引（index）等
• DBA角色，dba角色拥有所有的系统权限，包括无限制的空间限额和给其他用户授予各种权限的能力。用户system拥有dba角色。

一般情况下，一个普通的用户，拥有connect和resource 两个角色即可进行常规的数据库开发工作。

可以把某个权限授予某个角色，可以把权限、角色授予某个用户。系统权限只能有DBA用户授权，对象权限由拥有该对象的用户授权，授权的语法是：

语法结构：Grant 角色|权限 to 用户（角色）；

 

回收权限：revoke 角色|权限 from 用户（角色）；

查看权限：select *from user_sys_privs

      

1)        connect,  resource, dba

这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。Oracle建议用户自己设计数据管理和安全的权限规划，而不要简单的使用这些预定义角色。将来的版本中这些角色可能不会作为预定义角色。

2)        delete_catalog_role,  execute_catalog_role,  select_catalog_role

这些角色主要用于访问数据字典视图和包。

3)        exp_full_database,  imp_full_database

这两个角色用于数据导入导出工具的使用

6、权限

     创建session权限

一般在数据库中，一个用户的连接称为建立一个session，如果一个新的用户想访问数据库，则必须要授予创建session的权限。

语法：grant 权限 to 用户；

比如：给test用户创建session的权限:grantcreate session to test;

以上用户虽然可以连接了，但是不能有如何的操作（比如创建表），只是可以连接数据库了。

Conn 命令表示切换用户，show user;表示查看当前用户。

（对于权限，角色，用户三者的关系，可以应用电视机（人民的名义）的例子来解释，比如：检查局局长属于一个角色，而侯亮平属于某个普通用户，中央领导赋予了其局长的角色，因此侯亮平拥有了局长这个角色的权力范围）

1)        connect,  resource, dba

这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。Oracle建议用户自己设计数据管理和安全的权限规划，而不要简单的使用这些预定义角色。将来的版本中这些角色可能不会作为预定义角色。

2)        delete_catalog_role,  execute_catalog_role,  select_catalog_role

这些角色主要用于访问数据字典视图和包。

3)        exp_full_database,  imp_full_database

这两个角色用于数据导入导出工具的使用

    对象授权

以上的所有操作只针对于test用户，如果test用户要访问其他用户呢？例如：访问emp表此时如果要想让其可以访问，则必须把scott用户下的emp表的查询权限给test。

（可以scott用户授权和管理员用户授权）

7、数据库设计范式

1、第一范式：字段要设计的不可再分

Name字段，可拆分成 firstname+lastname

2、第二范式：两个表的关系，在第三张表关系中体现

比如学生和课程表。为多对多的关系。这种关系需要在第三张表中体现

3、第三范式：多张表中，只存在关系，不存在具体信息（具体开发中用的最多）

比如：emp ，dept

如果一对 多用第三张表（关系表）来表示，则会出现问题。（一个员工可能属于多个部门，显然这是不符合现实逻辑的）

4、总范式：数据库表关联越少越好，SQL语句复杂度越低越好

三种范式其实只供参考。数据库设计原则：数据库表关联越少越好，SQL语句复杂度越低越好。所以有时候，违反了第三范式，但是简化了查询语句。加快了检索速度。