oracle基础教程（第五天）管理索引、权限和角色

期望目标

1.掌握维护oracle数据完整性的技巧

2.理解索引概念，会建立索引

3.管理oracle的权限和角色

维护数据的完整性

数据的完整性用于确保数据库数据遵从一定的商业和逻辑规则。在oracle中，数据完整性可以使用约束、触发器、应用程序（过程、函数）三种方法来实现，在这三种方法中，因为约束易于维护，并且具有最好的性能，所以作为维护数据完整性的首选。

约束

约束用于确保数据库数据满足特定的商业规则。在oracle中，约束包括：not null、unique(唯一)、primary key、foreign key和check(检查)五种。

not null(非空)

如果在列上定义了not null，那么当插入数据时，必须为列提供数据。

unique(唯一)

当定义了唯一约束后，该列值是不能重复的，但是可以为null。

primary key(主键)

用于唯一的标示表行的数据，当定义主键约束后，该列不但不能重复而且不能为null。

需要说明的是：一张表最多只能有一个主键，但是可以有多个unqiue约束。

foreign key(外键)

用于定义主表和从表之间的关系。外键约束要定义在从表上，主表则必须具有主键约束或是unique约束，当定义外键约束后，要求外键列数据必须在主表的主键列存在或是为null。

check

用于强制行数据必须满足的条件，假定在sal列上定义了check约束，并要求sal列值在1000~2000之间，如果不在1000~2000之间就会提示出错。

商店售货系统表设计案例---创建

SQL>create table scott.goods (--商品表

    goodsId char(8) primary key,--主键

       goodsName varchar2(30),

       unitprice number(10,2) check (unitprice > 0),

       category varchar2(8),

       provider varchar2(30)

);

SQL>create table customer (--客户表

    customerId char(8) primary key,--主键

    name varchar2(50) not null,--不为空

    address varchar2(50),

    email varchar2(50) unique,

    sex char(2) default '男' check (sex in ('男','女')),

    cardId char(18)

);

SQL>create table purchase (--购买表

    customerId char(8) references customer (customerId),

    goodsId char(8) references goods (goodsId),

    nums number(5) check (nums between 1 and 30)

);

商店售货系统表设计案例(2)---维护

增加商品名不能为空

SQL>alter table goods modify goodsName not null;

增加身份证不能重复

SQL> alter table customer add constraint cardunique unique(cardId);

增加客户的住址限制 

SQL> alter table customer add constraint addresscheck check (address in ('东城','西城'));

删除约束

当不在需要某个约束时，可以删除。

SQL>alter table 表名 drop constraint 约束名称；

特别说明：

在删除主键约束的时候，可能有错误，比如：

SQL>alter table 表名 drop primary key;

这是因为如果两张表存在主从关系，那么在删除主表的主键约束时，必须带上cascade选项，如下：

SQL>alter table 表名 drop primary key cascade;

显示约束信息

1.显示约束信息

通过查询数据字典视图user_constraints，可以显示当前用户所有的约束的信息。

SQL>select constraint_name,constraint_type,status,validated from user_constraints where table_name = '表名'；

2.显示约束列

通过查询数据字典视图user_cons_cloumns，可以显示约束所对应的表列信息。

SQL>select column_name,position from user_cons_cloumns where constraint_name='约束名';

3.当然也有更容易的方法，直接用pl/sql developer查看即可。

表级定义和列级定义

列级定义

列级定义是在定义列的同时定义约束

如在department表定义主键约束

SQL>create table department4(

dept_id number(2) constraint pk_department primary key,

name varchar2(12),

loc varchar2(12)

);

表级定义

表级定义是指在定义了所有列后，再定义约束。这里需要注意的是not null约束只能在列级上定义。

以在建立employee2表时定义主键约束和外键约束为例：

SQL>create table employee2(

emp_id number(4),name varchar2(15),dept_id number(2),

constraint pk_employee primary key (emp_id),

constraint fk_department foreign_key (dept_id)

references department4(dept_id));

管理索引   ---    原理介绍

索引是用于加速数据存取的数据对象。合理的使用索引可以大大降低i/o次数，从而提高数据访问性能。索引有很多种，我们主要介绍常用的几种：

为什么添加了索引后，会加快查询速度呢？

管理索引---创建索引

单列索引

单列索引是基于单个列所建立的索引，比如：

create index 索引名 on 表名(列名)

复合索引

复合索引是基于两列或是多列的索引。在同一张表上可以有多个索引，但是要求列的组合必须不同，比如：

create index emp_idx1 on emp (ename,job);

create index emp_idx2 on emp (job,name);

使用原则

(1)在大表上建立索引才有意义

(2)在where子句或是连接条件上经常引用的列上建立索引

(3)索引的层次不要超过4层

索引缺点分析

索引有一些先天不足：

1.建立索引，系统要占用大约为表的1.2倍的硬盘和内存空间来保存索引。

2.更新数据的时候，系统必须要有额外的时间来同时对索引进行更新，以维持数据和索引的一致性。

实践证明，不恰当的索引不但于事无补，反而会降低系统性能。因为大量的索引在进行插入、修改和删除时比没有索引花费更多的时间。

比如在如下字段建立索引应该是不恰当的：

1.很少或从不引用的字段

2.逻辑型的字段，如男或女（是或否）等。综上所述，提高查询效率是以消耗一定的系统资源为代价的，索引不能盲目的建立，这是考验一个DBA是否优秀的很重要的指标。 

其他索引

按照数据存储方式，可以分为B*树、反向索引、位图索引；

按照索引列的个数分类，可以分为单列索引、复合索引；

按照索引列值的唯一性，可以分为唯一索引和非唯一索引。

此外还有函数索引，全局索引，分区索引...

对于索引来说，在不同的情况我们会在不同的列上建立索引，甚至建立不同种类的索引，请记住，技术是死的，人是活的。比如：

B*树索引建立在重复值很少的列上，而位图索引则建立在重复值很多、不通知相对固定的列上。

显示索引信息

显示表的所有索引

在同一张表可以有多个索引，通过查询数据字典视图dba_indexs和user_indexs，可以显示索引信息。其中dba_indexs用于显示数据库所有的索引信息，而user_indexs用于显示当前用户的索引信息：

select index_name,index_type from user_indexs where table_name='表名';

显示索引列

通过查询数据字典视图user_ind_columns，可以显示索引对应的列的信息

select table_name,column_name from user_ind_columns where index_name='IND_ENAME';

你也可以通过pl/sql developer工具查看索引信息。

掌管权限和角色

这一部分我们主要看oracle中如何管理权限和角色，权限和角色的区别在哪里。

当刚刚建立用户时，用户没有任何权限，也不能执行任何操作。如果要执行某种特定的数据库操作，则必须为其授予系统的权限；如果用户要访问其他方案的对象，则必须为其授予对象的权限。为了简化权限的管理，可以使用角色。

权限

权限是指执行特定类型的sql命令或是访问其他方案对象的权利，包括系统权限和对象权限两种：

系统权限介绍：

系统权限是指执行特定类型sql命令的权利。它用于控制用户可以执行的一个或是一组数据库操作。比如当用户具有create table权限时，可以在其方案中建表，当用户具有create any table权限时，可以在任何方案中建表。oracle提供了100多种系统权限。

常用的有;

create session   连接数据库            create table   建表

create view        建视图                   create public synonym   建同义词

create procedure   建过程、函数、包   create trigger   建触发器

create cluster   建簇

显示系统权限

oracle提供了100多种系统权限，而且oracle的版本越高，提供的系统权限就越多，我们可以查询数据字典视图system_privilege_map，可以显示所有系统权限。

select * from system_privilege_map order by name;

授权系统权限

一般情况，授予系统权限是由dba完成的，如果用其它用户来授予系统权限，则要求该用户必须具有grant any privilege的系统权限在授予系统权限时，可以带有with admin option选项，这样，被授予权限的用户或是角色还可以将该系统权限授予其它的用户或是角色。为了让大家快速理解，我们举例说明：

1.创建两个用户ken,tom。初始阶段他们没有任何权限，如果登录就会给出错误的信息。

create user ken identified by m123;

2.给用户ken授权

①grant create session,create table to ken with admin option;

②grant create view to ken;

3.给用户tom授权

我们可以通过ken给tom授权，因为with admin option是加上的。当然也可以通过dba为tom授权，我们就用ken给tom授权：

①grant create session,create table to tom;

②grant create view to tom;  →ok吗？【不ok】

回收系统权限

一般情况下，回收系统权限时dba来完成的，如果其他的用户来回收系统权限，要求该用户必须具有相应系统权限及转授系统权限的选项(with admin option)。回收系统权限使用revoke来完成。

当回收了系统权限后，用户就不能执行相应的操作了，但是请注意，系统权限级联回收问题？【不是级联回收】

system→ken→tom

用system执行如下操作：

revoke create session from ken;请思考tom还能登录吗？--- 可以登录

对象权限介绍

指访问其他方案对象的权利，用户可以直接访问自己的方案的对象，但是如果要访问别的方案的对象，则必须具有其对象的权限。

比如smith用户要访问scott.emp表（scott：方案，emp：表）

则必须在scott.emp表上具有对象的权限。

常用的有：

alter 修改       delete 删除   select 查询           insert 添加

update 修改   index 索引    references 引用   rxecute 执行

显示对象权限

通过数据字典视图可以显示用户或是角色所具有的对象权限。视图为dba_tab_privs

SQL>conn system/manager;

SQL>select distinct privilege from dba_tab_privs;

SQL>select grantor,owner,table_name,privilege from dba_tab_privs where grantee='BLAKE';

授予对象权限

在oracle9i前，授予对象权限是由对象的所有者来完成的，如果用其它的用户来操作，则需要用户具有相应的(with grant option)权限，从oracle9i开始，dba用户(sys,system)可以将任何对象上的权限授予其它用户。授予对象权限使用grant命令来完成的。

对象权限可以授予用户，角色，和public。在授予权限时，如果带有with grant option选项，则可以将该权限转授给其它用户。但是要注意with admin option选项不能被授予角色。

1.monkey用户要操作scott.emp表，则必须授予相应的对象权限

①希望monkey可以查询scott.emp的表数据，怎样操作？

SQL> grant select on emp to monkey;

②希望monkey可以修改scott.emp的表数据，怎样操作？

SQL>grant update on emp to monkey;

③希望monkey可以删除scott.emp的表数据，怎样操作？

SQL>grant delete on emp to monkey;

④有没有更加简单的方法，一次把所有权限赋给monkey？

SQL> grant all on emp to monkey;

2.能否对monkey访问权限更加精细控制（授予列权限）

①希望monkey只可以修改scott.emp的表的sal字段，怎样操作？

SQL>grant update on emp(sal) to monkey;

②希望monkey只可查询scott.emp的表的ename，sal数据，怎样操作？

SQL>grant select on emp(ename,sal) to monkey;

3.授予alter权限

如果black用户要修改scott.emp表的结构，则必须授予alter对象权限

SQL>conn scott/root123;

SQL>grant alter on emp to black;

当然也可以用system，sys来完成这件事

4.授予execute权限

如果用户想要执行其他方案的包过程/函数，则需要有execute权限。

比如为了让ken可以执行包dbms_transaction，可以授予execute权限。

SQL>conn system/manager;

SQL>grant execute on dbms_transaction to ken;

5.授予index权限

如果想在别的方案的表上建立索引，则必须具有index对象权限，如为了让black可以在scott.emp上建立索引，就给其index的对象权限。

SQL>grant index on scott.emp to black;

6.使用with grant option选项

该选项用于转授对象权限，但是该选项只能被授予用户，而不能授予角色

SQL>conn scott/root123;

SQL>grant select on emp to black with grant option;

SQL>conn black/m123;

SQL>grant select on scott.emp to jones;

回收对象权限

在oracle9i中，收回对象的权限可以由对象的所有者来完成，也可以用dba用户(sys,system)来完成

这里要说明的是：收回对象权限后，用户就不能执行相应的sql命令，但是要注意的是对象的权限是否会被级联回收？ 【会级联回收】

如：scott→black→jones(select on emp)

SQL>conn scott/root123;

SQL>revoke select on emp from black;

这时，jones用户不能再查询scott.emp表。

角色

角色就是相关权限的命令集合，使用角色的主要目的就是为了简化权限的管理。假定有用户a，b，c，为了让他们都拥有权限①连接数据库②在scott.emp表上select，insert，update。如果采用直接授权操作，则需要进行12次授权。

我们如果采用角色就可以简化：

首先将create session,select on scott.emp,insert on scott.emp,update on scott.emp授予角色，然后将该角色授予a,b,c用户，这样就可以三次授予搞定。

角色分为预定义和自定义角色两类：

预定义角色

预定义角色时oracle所提供的角色，每种角色都用于执行一些特定的管理任务，下面我们介绍常用的预定义角色connect，resource，dba

（一）connect角色

connect角色有一般应用开发人员需要的大部分权限，当建立了一个用户后，多数情况下，只要给用户授予connect和resource角色就够了，那么connect角色具有哪些系统权限呢？

alter session  修改回话

create cluster  创建簇

create database link  修改数据库连接

create session  连接数据库

create table  创建表

create view  创建视图

create sequence  创建序列

（二）resource角色

resource角色具有应用开发人员所需要的其他权限，比如建立存储过程、触发器等。这里需要注意的是resource角色隐含了unlimited tablespace（无限制表空间）系统权限。

resource角色包含了以下系统权限：

create cluster  创建簇

create indextype  创建索引

create table  创建表

create sequence  创建序列

create type

create procedure  创建过程

create trigger  创建触发器

（三）dba角色

dba角色具有所有的系统权限，及with admin option选项，默认的dba用户为sys和system，他们可以将任何系统权限授予其它用户。但是要注意的是dba角色不具备sysdba和sysoper的特权（启动和关闭数据库）。

自定义角色

顾名思义就是自己定义的角色，根据自己的需要来定义。一般是由dba建立，如果用别的用户来建立，则需要具有create role的系统权限。在建立角色时可以指定验证方式（不验证，数据库验证等）。

（一）建立角色（不验证）

如果角色是公用的角色，可以采用不验证的方式建立角色

create role 角色名 not identified;

（二）建立角色（数据库验证）

采用这样的方式时，角色名、口令存放在数据库中。当激活该角色时，必须提供口令，在建立这种角色时，需要为其提供口令。

create role 角色名 identified by m123;

角色授权

当建立角色时，角色没有任何权限，为了使得角色完成特定任务，必须为其授予相应的系统权限和对象权限。

（一）给角色授权

给角色授予权限和给用户授予权限没有太大区别，但是要注意，系统权限的unlimited tablespace和对象权限的with  grant option选项是不能授予角色的。

SQL>conn system/manager;

SQL>grant create session to 角色名 with admin option;

SQL> conn scott/root123;

SQL>grant select on emp to 角色名;

SQL>grant insert,update on emp to 角色名;

SQL>grant delete on emp to 角色名;

（二）分配角色给某个用户

一般分配角色是由dba来完成的。如果要以其他用户身份分配角色，则要求用户必须具有grant any role的系统权限。

SQL>conn system/manager;

SQL>grant 角色名 to 用户名 with admin option;

因为我给了with admin option选项，所以，用户可以把system分配给它的角色分配给别的用户。

删除角色

使用drop role，一般是dba来执行，如果用其它用户则要求改用户具有drop any role系统权限。

SQL>conn system/manager;

SQL>drop role 角色名;

显示角色信息

①显示所有角色

SQL>select * from dba_roles;

②显示角色具有的系统权限

SQL>select privilege,admin_option from role_sys_privs where role='角色名';

③显示角色具有的对象权限

通过查询数据字典视图dba_tab_privs可以查看角色拥有的对象权限或是列的权限。

④显示用户具有的角色及默认角色

当以用户的身份连接到数据库时，oracle会自动的激活默认的角色，通过查询数据字典视图dba_role_privs可以显示某个用户具有的所有角色以及当前默认的角色

SQL>select granted_role,default_role from dba_role_privs where grantee='用户名';

精细访问控制

是指用户可以使用函数、策略实现更加细微的安全访问控制。如果使用精细访问控制，则当在客户端发出sql语句(select、insert、update、delete)等，oracle会自动在sql语句后追加谓词(where子句)，并执行新的sql语句。通过这样的控制，可以使得不同的数据库用户在访问相同表时，返回不同的数据信息。