(1)特權:特權是執行一種特殊類型的SQL語句或存取另一用戶的對象的權力。有兩類特權:系統特權和對象特權。
系統特權:是執行一處特殊動作或者在對象類型上執行一種特殊動作的權利。ORACLE有60多種不同系統特權,每一種系統允許用戶執行一種特殊的數據庫操作或一類數據庫操作.
系統特權可授權給用戶或角色,一般,系統特權全管理人員和應用開發人員,終端用戶不需要這些相關功能.授權給一用戶的系統特權並具有該 系統特權授權給其他用戶或角色.反之,可從那些被授權的用戶或角色回收系統特權.
對象特權:在指定的表、視圖、序列、過程、函數或包上執行特殊動作的權利。對於不同類型的對象,有不同類型的對象特權。對於有些模式對象,如聚集、索引、觸發器、數據庫鏈沒有相關的對象特權,它們由系統特權控制。
對於包含在某用戶名的模式中的對象,該用戶對這些對象自動地具有全部對象特權,即模式的持有者對模式中的對象具有全部對象特權。這些對象的持有者可將這些對象上的任何對象特權可授權給其他用戶。如果被授者包含有GRANT OPTION 授權,那麼該被授者也可將其權利再授權給其他用戶。
(2)角色:為相關特權的命名組,可授權給用戶和角色。ORACEL利用角色更容易地進行特權管理。有下列優點:
◆減少特權管理,不要顯式地將同一特權組授權給幾個用戶,只需將這特權組授給角色,然後將角色授權給每一用戶。
◆動態特權管理,如果一組特權需要改變,只需修改角色的特權,所有授給該角色的全部用戶的安全域將自動地反映對角色所作的修改。
◆特權的選擇可用性,授權給用戶的角色可選擇地使其使能(可用)或使不能(不可用)。
◆應用可知性,當一用戶經一用戶名執行應用時,該數據庫應用可查詢字典,將自動地選擇使角色使能或不能。
◆專門的應用安全性,角色使用可由密碼保護,應用可提供正確的密碼使用權角色使能,達到專用的應用安全性。因用戶不知其密碼,不能使角色使能。
一般,建立角色服務於兩個目的:為數據庫應用管理特權和為用戶組管理特權。相應的角色稱為應用角色和用戶角色。
應用角色是授予的運行一數據庫應用所需的全部特權。一個應用角色可授給其他角色或指定用戶。一個應用可有幾種不同角色,具有不同特權組的每一個角色在使用應用時可進行不同的數據存取。
用戶角色是為具有公開特權需求的一組數據庫用戶而建立的。用戶特權管理是受應用角色或特權授權給用戶角色所控制,然後將用戶角色授權給相應的用戶。
數據庫角色包含下列功能:
◆一個角色可授予系統特權或對象特權。
◆一個角色可授權給其他角色,但不能迴圈授權。
◆任何角色可授權給任何數據庫用戶。
◆授權給一用戶的每一角色可以是使能的或者使不能的。一個用戶的安全域僅包含當前對該用戶使能的全部角色的特權。
◆一個間接授權角色(授權給另一角色的角色)對一用戶可顯式地使其能或使不能。
在一個數據庫中,每一個角色名必須唯一。角色名與用戶不同,角色不包含在任何模式中,所以建立一角色的用戶被刪除時不影響該角色。
ORACLE為了提供與以前版本的相容性,預定義下列角色:CONNENT、RESOURCE、DBA、EXP-FULL-DATABASE和IMP-FULL-DATABASE。 (責任編輯:盧兆林)
