Oracle认证方法（概述）

认证是对需要使用数据、资源或者应用程序的用户进行身份确认。通过认证之后，可以为用户后面的数据库操作提供一种可靠的连接关系。Oracle提供了多种身份认证方式，包括操作系统身份认证、网络身份认证、Oracle数据库身份认证、多层身份认证和管理员身份认证等方式。

1）操作系统身份认证

一些操作系统，例如WINDOWS允许数据库使用他们的认证信息。一旦被操作系统所认证之后，他就可以很方便的连接到Oracle，不再需要输入用户名和密码了。例如通过操作系统认证的用户可以通过下面的命令启动SQLPLUS而不需要再输入密码了：
SQLPLUS /

2）网络身份认证

网络身份认证由第三方的SSL协议来进行处理。SSL是SECURE SOCKET LAYER（安全套接字层）。

3）Oracle数据库身份认证

Oracle可以使用存储在数据库中的信息进对连接数据库的用户进行身份认证。用户在登录Oracle数据库的时候需要输入Oracle的用户名和密码，才能够登录到Oracle的数据库。

a.连接中的口令加密。在网络连接过程中，口令会被自动和透明的进行加密，Oracle的加密算法是改进的3DES和DES算法，加密过程是在数据传输之前完成。

b.账户锁定。Oracle可以设置连续登录失败n次之后，Oracle将会锁定用户账户。可以配置在经过一段时间之后，系统自动解锁被锁定的用户，也可以要求DBA手工进行解锁。DBA可以手动的锁定账户，该类账户不能够被自动解锁，只能由DBA进行手动解锁。

c.口令生存周期。DBA可以指定口令的生存周期，必须经过修改之后的口令才能够登录。口令过期之后还会有一个过渡期，在这个期间里，用户每次登录的时候都会收到一个密码修改的通知。过渡期之后如果还没有修改口令，那么这个账户将被锁定。只有被管理员解锁之后才能够使用。

d.检测历史口令。如果设置了检测历史口令选项，则数据库检测每个新指定的口令，确保口令在指定的时间或者指定的修改口令次数内不能够被重用。

e.验证口令的复杂程度。验证口令是否达到复杂口令的要求，不会被其他人通过猜测口令的方式非法入侵系统，复杂口令的标准如下：
口令长度至少为4个字符

不等于用户名

至少要同时包含一个字母，一个数字，以及一个标点符号

不要包含指定的单词，比如welcome、account、database、user等等

4）DBA认证

DBA拥有极高的管理权限，可以进行一些特殊的操作，例如关闭和开启数据库等等。这些操作是不允许普通用户使用的。如果随便执行关闭数据库的操作，那其他用户将无法正常使用数据库。因此Oracle数据库为DBA提供了安全的认证方式，用户可以选择操作系统认证或者口令认证的方式。

如果采用操作系统认证的方式，通常需要在操作系统中创建用户组，并且授予改组DBA权限，然后将DBA用户添加到该组中。Oracle提供两个特殊的用户组OSDBA和OSPER。在WINDOWS操作系统中OSDBA对应的用户组为ORA_DBA，OSOPER对应的用户组为ORA_OPER。

如果用户组属于OSDBA组，并且使用SYSDBA身份连接到数据库，则该组用户拥有SYSDBA系统权限；如果用户不属于这两个组，却试图使用SYSDBA或者SYSOPER身份连接到数据库，则连接数据库的操作将会失败。

在SQLPLUS中，如果采用操作系统认证方式登录，可以使用如下命令：
CONNECT / AS SYSDBA

CONNECT / AS SYSOPER

ORACLE数据库的登录身份如下：
SYSDBA:

数据库管理员身份，具有Oracle一切行为的特权，例如创建、修改、删除数据库；启动和关闭数据库；备份、恢复数据；日志归档和会话限制等功能。

SYSOPER:

数据库操作员身份，拥有与SYSDBA相似的权限，只不过不能够创建和删除数据库等。

NORMAL:

普通用户身份，普通用户可以使用NORMAL身份连接到SQLPLUS访问数据库。

--摘自Oracle学习笔记