Oracle數(shù)據(jù)庫(kù)的用戶(hù)和權(quán)限管理

Oracle的 用戶(hù)和權(quán)限 管理 本章學(xué)習(xí)目標(biāo) 數(shù)據(jù)庫(kù)安全性問(wèn)題一直是人們關(guān)注的焦點(diǎn)，數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失以及數(shù)據(jù)庫(kù)被非法用戶(hù)的侵入對(duì)于任何一個(gè)應(yīng)用系統(tǒng)來(lái)說(shuō)都是至關(guān)重要的問(wèn)題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫(kù)的安全性能。 第五章 Oracle的用戶(hù)和權(quán)限管理 本章內(nèi)容安排 5.1 用戶(hù)管理 5.2 權(quán)限和角色 5.3 概要文件 5.1.2 創(chuàng)建用戶(hù) 5.1.3 修改用戶(hù) 5.1.4 刪除用戶(hù) 5.1.1 數(shù)據(jù)庫(kù)的存取控制 5.1 用戶(hù)管理 1用戶(hù)鑒別 2用戶(hù)的表空間設(shè)置和定額 5.1.1 數(shù)據(jù)庫(kù)的存取控制 3用戶(hù)資源限制和環(huán)境文件 4用戶(hù)環(huán)境文件 1. 用戶(hù)鑒別 為了防止非授權(quán)的數(shù)據(jù)庫(kù)用戶(hù)的使用 ， Oracle提供三種確認(rèn)方法： 操作系統(tǒng)確認(rèn) 、 Oracle數(shù)據(jù)庫(kù)確認(rèn)網(wǎng)絡(luò)服務(wù)確認(rèn) 。 由操作系統(tǒng)鑒定用戶(hù)的優(yōu)點(diǎn)是： 1） 用戶(hù)能更快 ， 更方便地聯(lián)入數(shù)據(jù)庫(kù) 。 2） 通過(guò)操作系統(tǒng)對(duì)用戶(hù)身份確認(rèn)進(jìn)行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫(kù)用戶(hù)信息一致 ， 那么 Oracle無(wú)須存儲(chǔ)和管理用戶(hù)名以及密碼 。 3） 用戶(hù)進(jìn)入數(shù)據(jù)庫(kù)和操作系統(tǒng)審計(jì)信息一致 。 2 用戶(hù)的表空間設(shè)置和定額 關(guān)于表空間的使用有幾種設(shè)置選擇： 用戶(hù)的缺省表空間 用戶(hù)的臨時(shí)表空間 數(shù)據(jù)庫(kù)表空間的空間使用定額 3. 用戶(hù)資源限制和環(huán)境文件 用戶(hù)可用的各種系統(tǒng)資源總量的限制是用戶(hù)安全域的部分 。利用顯式地設(shè)置資源限制 ， 安全管理員可防止用戶(hù)無(wú)控制地消耗寶貴的系統(tǒng)資源 。 資源限制是由環(huán)境文件管理 。 一個(gè)環(huán)境文件是命名的一組賦給用戶(hù)的資源限制 。 另外 Oracle為安全管理員在數(shù)據(jù)庫(kù)提供是否對(duì)環(huán)境文件資源限制的選擇 。 Oracle可限制幾種類(lèi)型的系統(tǒng)資源的使用 ， 每種資源可在會(huì)話(huà)級(jí) 、 調(diào)用級(jí)或兩者上控制 。 在會(huì)話(huà)級(jí)：每一次用戶(hù)連接到一數(shù)據(jù)庫(kù)，建立一會(huì)話(huà)。每一個(gè)會(huì)話(huà)在執(zhí)行 SQL語(yǔ)句的計(jì)算機(jī)上耗費(fèi) CPU時(shí)間和內(nèi)存量進(jìn)行限制。 在調(diào)用級(jí)：在 SQL語(yǔ)句執(zhí)行時(shí)，處理該語(yǔ)句有幾步，為了防止過(guò)多地調(diào)用系統(tǒng)， Oracle在調(diào)用級(jí)可設(shè)置幾種資源限制。 有下列資源限制： （ 1）為了防止無(wú)控制地使用 CPU時(shí)間， Oracle可限制每次 Oracle調(diào)用的 CPU時(shí)間和在一次會(huì)話(huà)期間 Oracle調(diào)用所使用的 CPU的時(shí)間，以 0.01秒為單位。 （ 2）為了防止過(guò)多的 I/O， Oracle可限制每次調(diào)用和每次會(huì)話(huà)的邏輯數(shù)據(jù)塊讀的數(shù)目。 （ 3） Oracle在會(huì)話(huà)級(jí)還提供其它幾種資源限制。 每個(gè)用戶(hù)的并行會(huì)話(huà)數(shù)的限制。 會(huì)話(huà)空閑時(shí)間的限制，如果一次會(huì)話(huà)的 Oracle調(diào)用之間時(shí)間達(dá)到該空閑時(shí)間，當(dāng)前事務(wù)被回滾，會(huì)話(huà)被中止，會(huì)話(huà)資源返回給系統(tǒng)。 每次會(huì)話(huà)可消逝時(shí)間的限制，如果一次會(huì)話(huà)期間超過(guò)可消逝時(shí)間的限制，當(dāng)前事務(wù)被回滾，會(huì)話(huà)被刪除，該會(huì)話(huà)的資源被釋放。 每次會(huì)話(huà)的專(zhuān)用 SGA空間量的限制。 4 用戶(hù)環(huán)境文件 用戶(hù)環(huán)境文件是指定資源限制的命名集 ， 可賦給 Oracle數(shù)據(jù)庫(kù)的有效的用戶(hù) 。 利用用戶(hù)環(huán)境文件可容易地管理資源限制 。 在許多情況中決定用戶(hù)的環(huán)境文件的合適資源限制的最好的方法是收集每種資源使用的歷史信息 。 5.1.2 創(chuàng)建用戶(hù) 使用 CREATE USER語(yǔ)句可以創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)用戶(hù)，執(zhí)行該語(yǔ)句的用戶(hù)必須具有 CREATE USER系統(tǒng)權(quán)限。 在創(chuàng)建用戶(hù)時(shí)必須指定用戶(hù)的認(rèn)證方式。一般會(huì)通過(guò)Oracle數(shù)據(jù)庫(kù)對(duì)用戶(hù)身份進(jìn)行驗(yàn)證，即采用數(shù)據(jù)庫(kù)認(rèn)證方式。在這種情況下，創(chuàng)建用戶(hù)時(shí)必須為新用戶(hù)指定一個(gè)口令，口令以加密方式保存在數(shù)據(jù)庫(kù)中。當(dāng)用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)，Oracle從數(shù)據(jù)庫(kù)中提取口令來(lái)對(duì)用戶(hù)的身份進(jìn)行驗(yàn)證。 使用 IDENTIFIED BY子句為用戶(hù)設(shè)置口令 ， 這時(shí)用戶(hù)將通過(guò)數(shù)據(jù)庫(kù)來(lái)進(jìn)行身份認(rèn)證 。 如果要通過(guò)操作系統(tǒng)來(lái)對(duì)用戶(hù)進(jìn)行身份認(rèn)證 ， 則必須使用 IDENTIFIED EXTERNAL BY子句 。 使用 DEFAULT TABLESPACE子句為用戶(hù)指定默認(rèn)表空間 。 如果沒(méi)有指定默認(rèn)表空間 ， Oracle會(huì)把 SYSTEM表空間作為用戶(hù)的默認(rèn)表空間 。 為用戶(hù)指定了默認(rèn)表空間之后 ， 還必須使用 QUOTA子句來(lái)為用戶(hù)在默認(rèn)表空間中分配的空間配額 。 此外 ， 常用的一些子句有： TEMPORARY TABLESPACE子句：為用戶(hù)指定臨時(shí)表空間 。 PROFILE子句：為用戶(hù)指定一個(gè)概要文件 。 如果沒(méi)有為用戶(hù)顯式地指定概要文件 ， Oracle將自動(dòng)為他指定 DEFAULT概要文件 。 DEFAULT ROLE子句：為用戶(hù)指定默認(rèn)的角色 。 PASSWORD EXPIRE子句：設(shè)置用戶(hù)口令的初始狀態(tài)為過(guò)期 。 ACCOUNT LOCK子句：設(shè)置用戶(hù)賬戶(hù)的初始狀態(tài)為鎖定 ， 缺省為： ACCOUNT UNLOCK。 在建立新用戶(hù)之后 ， 通常會(huì)需要使用 GRANT語(yǔ)句為他授予 CREATE SESSION系統(tǒng)權(quán)限 ， 使他具有連接到數(shù)據(jù)庫(kù)中的能力 。 或?yàn)樾掠脩?hù)直接授予 Oracle中預(yù)定義的 CONNECT角色 。 5.1.3 修改用戶(hù) 在創(chuàng)建用戶(hù)之后，可以使用 ALTER USER語(yǔ)句對(duì)用戶(hù)進(jìn)行修改，執(zhí)行該語(yǔ)句的用戶(hù)必須具有 ALTER USER系統(tǒng)權(quán)限。 例如：利用下面的語(yǔ)句可以修改用戶(hù) chenjie的認(rèn)證方式、默認(rèn)表空間、空間配額： ALTER USER chenjie IDENTIFIED BY chenjie_pw QUATA 10M ON mbl_tbs； ALTER USER語(yǔ)句最常用的情況是用來(lái)修改用戶(hù)自己 的 口 令 ， 任 何 用 戶(hù) 都 可 以 使 用 ALTER USER IDENTIFIED BY語(yǔ)句來(lái)修改自己的口令 ， 而不需要具有任何其他權(quán)限 。 但是如果要修改其他用戶(hù)的口令 ， 則必須具有 ALTER USER系統(tǒng)權(quán)限 。 DBA還會(huì)經(jīng)常使用 ALTER USER語(yǔ)句鎖定或解鎖用戶(hù)賬戶(hù) 。 例如： ALTER USER chenjie ACCOUNT LOCK； ALTER USER chenjie ACCOUNT UNLOCK； 5.1.4 刪除用戶(hù) 使用 DROP USER語(yǔ)句可以刪除已有的用戶(hù)，執(zhí)行該語(yǔ)句的用戶(hù)必須具有 DROP USER系統(tǒng)權(quán)限。 如果用戶(hù)當(dāng)前正連接到數(shù)據(jù)庫(kù)中，則不能刪除這個(gè)用戶(hù)。要?jiǎng)h除已連接的用戶(hù)，首先必須使用ALTER SYSTEMKILL SESSION 語(yǔ)句終止他的會(huì)話(huà)，然后再使用 DROP USER語(yǔ)句將其刪除。 如果要?jiǎng)h除的用戶(hù)模式中包含有模式對(duì)象，必須在 DROP USER子句中指定 CASCADE關(guān)鍵字，否則Oracle將返回錯(cuò)誤信息。例如：利用下面的語(yǔ)句將刪除用戶(hù) chenjie，并且同時(shí)刪除他所擁有的所有表、索引等模式對(duì)象： DROP USER chenjie CASCADE； 5.2.2 創(chuàng)建角色 5.2.3 授予權(quán)限或角色 5.2.4 回收權(quán)限或角色 5.2.1 基本概念 5.2 權(quán)限和角色 5.2.5 激活和禁用角色 1權(quán)限 2角色 5.2.1 基本概念 1.權(quán)限 權(quán)限 是執(zhí)行一種特殊類(lèi)型的 SQL語(yǔ)句或存取另一用戶(hù)的對(duì)象的權(quán)力 。 有兩類(lèi)權(quán)限：系統(tǒng)權(quán)限和對(duì)象權(quán)限 。 1） 系統(tǒng)權(quán)限 ：是執(zhí)行一處特殊動(dòng)作或者在對(duì)象類(lèi)型上執(zhí)行一種特殊動(dòng)作的權(quán)利 。 系統(tǒng)權(quán)限可授權(quán)給用戶(hù)或角色 ， 一般 ， 系統(tǒng)權(quán)限只授予管理人員和應(yīng)用開(kāi)發(fā)人員 ， 終端用戶(hù)不需要這些相關(guān)功能 。 2） 對(duì)象權(quán)限 ：在指定的表 、 視圖 、 序列 、 過(guò)程 、 函數(shù)或包上執(zhí)行特殊動(dòng)作的權(quán)利 。 2.角色 為相關(guān)權(quán)限的命名組 ， 可授權(quán)給用戶(hù)和角色 。 數(shù)據(jù)庫(kù)角色包含下列功能： （ 1） 一個(gè)角色可授予系統(tǒng)權(quán)限或?qū)ο髾?quán)限 。 （ 2） 一個(gè)角色可授權(quán)給其它角色 ， 但不能循環(huán)授權(quán) 。 （ 3） 任何角色可授權(quán)給任何數(shù)據(jù)庫(kù)用戶(hù) 。 （ 4） 授權(quán)給用戶(hù)的每一角色可以是可用的或者不可用的 。 一個(gè)用戶(hù)的安全域僅包含當(dāng)前對(duì)該用戶(hù)可用的全部角色的權(quán)限 。 （ 5） 一個(gè)間接授權(quán)角色對(duì)用戶(hù)可顯式地使其可用或不可用 。 在一個(gè)數(shù)據(jù)庫(kù)中 ， 每一個(gè)角色名必須唯一 。 角色名與用戶(hù)不同 ， 角色不包含在任何模式中 ， 所以建立角色的用戶(hù)被刪除時(shí)不影響該角色 。 一般 ， 建立角色服務(wù)有兩個(gè)目的：為數(shù)據(jù)庫(kù)應(yīng)用管理權(quán)限和為用戶(hù)組管理權(quán)限 。 相應(yīng)的角色稱(chēng)為應(yīng)用角色和用戶(hù)角色 。 應(yīng)用角色是授予的運(yùn)行數(shù)據(jù)庫(kù)應(yīng)用所需的全部權(quán)限 。 用戶(hù)角色是為具有公開(kāi)權(quán)限需求的一組數(shù)據(jù)庫(kù)用戶(hù)而建立的 。 用戶(hù)權(quán)限管理是受應(yīng)用角色或權(quán)限授權(quán)給用戶(hù)角色所控制 ， 然后將用戶(hù)角色授權(quán)給相應(yīng)的用戶(hù) 。 ORACEL利用角色更容易地進(jìn)行權(quán)限管理 。 有下列優(yōu)點(diǎn)： （ 1） 減少權(quán)限管理 ， 不要顯式地將同一權(quán)限組授權(quán)給幾個(gè)用戶(hù) ， 只需將這權(quán)限組授給角色 ， 然后將角色授權(quán)給每一用戶(hù) 。 （ 2） 動(dòng)態(tài)權(quán)限管理 ， 如果一組權(quán)限需要改變 ， 只需修改角色的權(quán)限 ， 所有授給該角色的全部用戶(hù)的安全域?qū)⒆詣?dòng)地反映對(duì)角色所作的修改 。 （ 3） 權(quán)限的選擇可用性 ， 授權(quán)給用戶(hù)的角色可選擇地使其可用或不可用 。 （ 4） 應(yīng)用可知性 ， 當(dāng)用戶(hù)經(jīng)用戶(hù)名執(zhí)行應(yīng)用時(shí) ， 該數(shù)據(jù)庫(kù)應(yīng)用可查詢(xún)字典 ， 將自動(dòng)地選擇使角色可用或不可用 。 （ 5） 應(yīng)用安全性 ， 角色使用可由口令保護(hù) ， 應(yīng)用可提供正確的口令使用角色 ， 如不知其口令 ， 不能使用角色 。 使用 CREATE ROLE語(yǔ)句可以創(chuàng)建一個(gè)新的角色，執(zhí)行該語(yǔ)句的用戶(hù)必須具有 CREATE ROLE系統(tǒng)權(quán)限。 在角色剛剛創(chuàng)建時(shí)，它并不具有任何權(quán)限，這時(shí)的角色是沒(méi)有用處的。因此，在創(chuàng)建角色之后，通常會(huì)立即為它授予權(quán)限。例如：利用下面的語(yǔ)句創(chuàng)建了一個(gè)名為 OPT_ROLE的角色，并且為它授予了一些對(duì)象權(quán)限和系統(tǒng)權(quán)限： CREATE ROLE OPT_ROLE； GRANT SELECT ON sal_history TO OPT_ROLE； GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE； GRANT CREATE VIEW TO OPT_ROLE； 5.2.2 創(chuàng)建角色 在創(chuàng)建角色時(shí)必須為角色命名，新建角色的名稱(chēng)不能與任何數(shù)據(jù)庫(kù)用戶(hù)或其他角色的名稱(chēng)相同。 與用戶(hù)類(lèi)似，角色也需要進(jìn)行認(rèn)證。在執(zhí)行 CREATE ROLE語(yǔ)句創(chuàng)建角色時(shí)，默認(rèn)地將使用 NOT IDENTIFIED子句，即在激活和禁用角色時(shí)不需要進(jìn)行認(rèn)證。如果需要確保角色的安全性，可以在創(chuàng)建角色時(shí)使用 IDENTIFIED子句來(lái)設(shè)置角色的認(rèn)證方式。與用戶(hù)類(lèi)似，角色也可以使用兩種方式進(jìn)行認(rèn)證。 使用 ALTER ROLE語(yǔ)句可以改變角色的口令或認(rèn)證方式。例如：利用下面的語(yǔ)句來(lái)修改 OPT_ROLE角色的口令（假設(shè)角色使用的是數(shù)據(jù)庫(kù)認(rèn)證方式）： ALTER ROLE OPT_ROLE IDENTIFIED BY accts*new； 1授予系統(tǒng)權(quán)限 2授予對(duì)象權(quán)限 5.2.3 授予權(quán)限或角色 3授予角色 1.授予系統(tǒng)權(quán)限 在 GRANT關(guān)鍵字之后指定系統(tǒng)權(quán)限的名稱(chēng) ， 然后在 TO關(guān)鍵字之后指定接受權(quán)限的用戶(hù)名 ， 即可將系統(tǒng)權(quán)限授予指定的用戶(hù) 。 例如：利用下面的語(yǔ)句可以相關(guān)權(quán)限授予用戶(hù) chenjie： GRANT CREATE USER,ALTER USER,DROP USER TO chenjie WITH ADMIN OPTION； 2 授予對(duì)象權(quán)限 Oracle對(duì)象權(quán)限 指用戶(hù)在指定的表上進(jìn)行特殊操作的權(quán)利 。 在 GRANT關(guān)鍵字之后指定對(duì)象權(quán)限的名稱(chēng) ， 然后在 ON關(guān)鍵字后指定對(duì)象名稱(chēng) ， 最后在 TO關(guān)鍵字之后指定接受權(quán)限的用戶(hù)名 ， 即可將指定對(duì)象的對(duì)象權(quán)限授予指定的用戶(hù) 。 使用一條 GRANT語(yǔ)句可以同時(shí)授予用戶(hù)多個(gè)對(duì)象權(quán)限 ，各個(gè)權(quán)限名稱(chēng)之間用逗號(hào)分隔 。 有三類(lèi)對(duì)象權(quán)限可以授予表或視圖中的字段 ， 它們是分別是 INSERT， UPDATE和 REFERENCES對(duì)象權(quán)限 。 例如：利用下面的語(yǔ)句可以將 CUSTOMER表的 SELECT和INSERT， UPDATE對(duì)象權(quán)限授予用戶(hù) chenqian： GRANT SELECT,INSERT(CUSTOMER_ID,CUSTOMER_name), UPDATE(desc) ON CUSTOMER TO chenqian WITH ADMIN OPTION； 在授予對(duì)象權(quán)限時(shí) ， 可以使用一次關(guān)鍵字 ALL或 ALL PRIVILEGES將某個(gè)對(duì)象的所有對(duì)象權(quán)限全部授予指定的用戶(hù) 。 3 授予角色 在 GRANT關(guān)鍵字之后指定角色的名稱(chēng) ， 然后在 TO關(guān)鍵字之后指定用戶(hù)名 ， 即可將角色授予指定的用戶(hù) 。 Oracle數(shù)據(jù)庫(kù)系統(tǒng)預(yù)先定義了 CONNECT、 RESOURCE、 DBA、 EXP_FULL_DATABASE 、 IMP_FULL_DATABASE 五個(gè)角色 。 CONNECT 具 有 創(chuàng) 建 表 、 視圖 、 序列等權(quán)限；RESOURCE具有創(chuàng)建過(guò)程 、 觸發(fā)器 、 表 、 序列等權(quán)限 、DBA 具 有 全 部 系 統(tǒng) 權(quán) 限 ； EXP_FULL_DATABASE 、 IMP_FULL_DATABASE具有卸出與裝入數(shù)據(jù)庫(kù)的權(quán)限 。 通過(guò)查詢(xún) sys.dba_sys_privs可以了解每種角色擁有的權(quán)限 。 例如：利用下面的語(yǔ)句可以將 DBA角色授予用戶(hù) chenjie： GRANT DBA TO chenjie WITH GRANT OPTION； 在同一條 GRANT語(yǔ)句中 ， 可以同時(shí)為用戶(hù)授予系統(tǒng)權(quán)限和角色 。 如果在為某個(gè)用戶(hù)授予角色時(shí)使用了 WITH ADMIN OPTION選項(xiàng) ， 該用戶(hù)將具有如下權(quán)利： （ 1） 將這個(gè)角色授予其他用戶(hù) ， 使用或不使用 WITH ADMIN OPTION選項(xiàng) 。 （ 2） 從任何具有這個(gè)角色的用戶(hù)那里回收該角色 。 （ 3） 刪除或修改這個(gè)角色 。 注意： 不能使用一條 GRANT語(yǔ)句同時(shí)為用戶(hù)授予對(duì)象權(quán)限和角色 。 使用 REVOKE語(yǔ)句可以回收己經(jīng)授予用戶(hù)（或角色）的系統(tǒng)權(quán)限、對(duì)象權(quán)限與角色，執(zhí)行回收權(quán)限操作的用戶(hù)同時(shí)必須具有授予相同權(quán)限的能力。 例如：利用下面的語(yǔ)句可以回收已經(jīng)授予用戶(hù) chenqian的 SELECT和 UPDATE對(duì)象權(quán)限： REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian； 利用下面的語(yǔ)句可以回收已經(jīng)授予用戶(hù) chenjie的 CREATE ANY TABLE系統(tǒng)權(quán)限： REVOKE CREATE ANY TABLE FROM chenjie； 利用下面的語(yǔ)句可以回收己經(jīng)授予用戶(hù) chenjie的 OPT_ROLE角色： REVOKE OPT_ROLE FROM chenjie； 5.2.4 回收權(quán)限或角色 在回收對(duì)象權(quán)限時(shí)，可以使用關(guān)鍵字 ALL或 ALL PRIVILEGES將某個(gè)對(duì)象的所有對(duì)象權(quán)限全部回收。 例如：利用下面的語(yǔ)句可以回收己經(jīng)授予用戶(hù) chenqian的CUSTOMER表的所有對(duì)象權(quán)限： REVOKE ALL ON CUSTOMER FROM chenjie； 一個(gè)用戶(hù)可以同時(shí)被授予多個(gè)角色，但是并不是所有的這些角色都同時(shí)起作用。角色可以處于兩種狀態(tài)：激活狀態(tài)或禁用狀態(tài)，禁用狀態(tài)的角色所具有權(quán)限并不生效。 當(dāng)用戶(hù)連接到數(shù)據(jù)庫(kù)中時(shí)，只有他的默認(rèn)角色（ Default Role）處于激活狀態(tài)。在 ALTER USER角色中使用 DEFAULT ROLE子句可以改變用戶(hù)的默認(rèn)角色。 例如：如果要將用戶(hù)所擁有的一個(gè)角色設(shè)置為默認(rèn)角色，可以使用下面的語(yǔ)句： ALTER USER chenjie DEFAULT ROLE connect,OPT_ROLE； 5.2.5 激活和禁用角色 在用戶(hù)會(huì)話(huà)的過(guò)程中，還可以使用 SET ROLE語(yǔ)句來(lái)激活或禁用他所擁有的角色。用戶(hù)所同時(shí)激活的最大角色數(shù)目由初始化參數(shù) ENABLED ROLES決定（默認(rèn)值為 30）。如果角色在創(chuàng)建時(shí)使用了 IDENTIFIED BY子句，則在使用 SET ROLE語(yǔ)句激活角色時(shí)也需要在 IDENTIFIED BY子句中提供口令。 如果要激活用戶(hù)所擁有的所有角色，可以使用下面的語(yǔ)句： SET ROLE ALL； 5.3.2 激活和禁用資源限制 5.3.3 管理概要文件 5.3.1 概要文件中的參數(shù) 5.3 概要文件 1資源限制參數(shù) 2口令策略參數(shù) 5.3.1 概要文件中的參數(shù) 1 資源限制參數(shù) 資源參數(shù)的值可以是一個(gè)整數(shù) ， 也可以是 UNLIMITED或 DEFAULT即使用默認(rèn)概要文件中的參數(shù)設(shè)置 。 大部分資源限制都可以在兩個(gè)級(jí)別進(jìn)行：會(huì)話(huà)級(jí)或調(diào)用級(jí) 。 會(huì)話(huà)級(jí)資源限制是對(duì)用戶(hù)在一個(gè)會(huì)話(huà)過(guò)程中所能使用的資源進(jìn)行的限制 ， 而調(diào)用級(jí)資源限制是對(duì)一條 SQL語(yǔ)句在執(zhí)行過(guò)程中所能使用的資源進(jìn)行的限制 。 當(dāng)會(huì)話(huà)或一條 SQL語(yǔ)句占用的資源超過(guò)概要文件中的限制時(shí) ，Oracle將中止并回退當(dāng)前的操作 ， 然后向用戶(hù)返回錯(cuò)誤信息 。 這時(shí)用戶(hù)仍然有機(jī)會(huì)提交或回退當(dāng)前的事務(wù) 。 如果受到的是會(huì)話(huà)級(jí)限制 ， 在提交或回退事務(wù)后用戶(hù)會(huì)話(huà)被中止 （ 斷開(kāi)連接 ） ， 但是如果受到的是調(diào)用級(jí)限制 ， 用戶(hù)會(huì)話(huà)還能夠繼續(xù)進(jìn)行 ， 只是當(dāng)前執(zhí)行的 SQL語(yǔ)句被終止 。 以下為概要文件中使用的各種資源參數(shù)： SESSIONS_PER_USER：該參數(shù)限制每個(gè)用戶(hù)所允許建立的最大并發(fā)會(huì)話(huà)數(shù)目 。 達(dá)到這個(gè)限制時(shí) ， 用戶(hù)不能再建立任何數(shù)據(jù)庫(kù)連接 。 CPU_PER_SESSION：該參數(shù)限制每個(gè)會(huì)話(huà)所能使用的 CPU時(shí)間 。 CPU_PER_CALL：該參數(shù)限制每條 SQL語(yǔ)句所能使用的 CPU時(shí)間 。 LAGICAL_READS_PER_SESSION：該參數(shù)限制每個(gè)會(huì)話(huà)所能讀取的數(shù)據(jù)塊數(shù)目 ， 包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤(pán)中讀取的數(shù)據(jù)塊 。 LAGICAL_READS_PER_CALL：該參數(shù)限制每條 SQL語(yǔ)句所能讀取的數(shù)據(jù)塊數(shù)目 ， 包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤(pán)中讀取的數(shù)據(jù)塊 。 CONNECT_TIME：該參數(shù)限制每個(gè)會(huì)話(huà)能連接到數(shù)據(jù)庫(kù)的最長(zhǎng)時(shí)間 。 當(dāng)連接時(shí)間達(dá)到該參數(shù)的限制時(shí) ， .用戶(hù)會(huì)話(huà)將自動(dòng)斷開(kāi) 。 IDLE_TIME：該參數(shù)限制每個(gè)會(huì)話(huà)所允許的最大連續(xù)空閑時(shí)間 。如果一個(gè)會(huì)話(huà)持續(xù)的空閑時(shí)間達(dá)到該參數(shù)的限制 ， 該會(huì)話(huà)將自動(dòng)斷開(kāi) 。 COMPOSITE_LIMIT：該參數(shù)用于設(shè)置 “ 組合資源限制 ” 。 PRIVATE_SGA：在共享服務(wù)器操作模式下 ， 執(zhí)行 SQL語(yǔ)句和PL/SQL語(yǔ)句時(shí) ， Oracle將在 SGA中創(chuàng)建私有 SQL區(qū) 。 該參數(shù)限制在 SGA中為每個(gè)會(huì)話(huà)所能分配的最大私有 SQL區(qū)大小 。 在專(zhuān)用服務(wù)器操作模式下 ， 該參數(shù)不起作用 。 2 口令策略參數(shù) 使用概要文件可以實(shí)現(xiàn)如下三種口令策略： （ 1） 賬戶(hù)的鎖定 賬戶(hù)鎖定策略是指用戶(hù)在連續(xù)輸入多少次錯(cuò)誤的口令后 ，將由 Oracle自動(dòng)鎖定用戶(hù)的賬戶(hù) ， 并且可以設(shè)置賬戶(hù)鎖定的時(shí)間 。 （ 2） 口令的過(guò)期時(shí)間 口令過(guò)期策略用于強(qiáng)制用戶(hù)定期修改自己的口令 。 當(dāng)口令過(guò)期后 ， Oracle將隨時(shí)提醒用戶(hù)修改口令 。 如果用戶(hù)仍然不修改自己的口令 ， Oracle將使他的口令失效 。 （ 3） 口令的復(fù)雜度 在概要文件中可以通過(guò)指定的函數(shù)來(lái)強(qiáng)制用戶(hù)的口令必須具有一定的復(fù)雜度 。 以下為在概要文件中使用的各種口令參數(shù)： FAILED_LOGIN_ATTEMPTS：該參數(shù)指定允許的輸入錯(cuò)誤口令的次數(shù) ， 超過(guò)該次數(shù)后用戶(hù)賬戶(hù)被自動(dòng)鎖定 。 PASSWORD_LOCK_TIME：該參數(shù)指定用戶(hù)賬戶(hù)由于口令輸入錯(cuò)誤而被鎖定后 ， 持續(xù)保持鎖定狀態(tài)的時(shí)間 。 PASSWORD_LIFE_TIME：該參數(shù)指定同一個(gè)用戶(hù)口令可以持續(xù)使用的時(shí)間 。 如果在達(dá)到這個(gè)限制之前用戶(hù)還沒(méi)有更換另外一個(gè)口令 ， 他的口令將失效 。 這時(shí)必須由 DBA為他重新設(shè)置新的口令 。 PASSWORD_GRACE_TIME：該參數(shù)指定用戶(hù)口令過(guò)期的時(shí)間 。 如果在達(dá)到這個(gè)限制之前用戶(hù)還沒(méi)有更換另外一個(gè)口令 ，Oracle將對(duì)他提出警告 。 在口令過(guò)期之后 ， 用戶(hù)在達(dá)到PASSWORD_LIFE_TIME參數(shù)的限制之前有機(jī)會(huì)主動(dòng)修改口令 。 PASSWORD_REUSE_TIME：該參數(shù)指定用戶(hù)在能夠重復(fù)使用一個(gè)口令前必須經(jīng)過(guò)的時(shí)間 。 PASSWORD_REUSE_MAX：該參數(shù)指定用戶(hù)在能夠重復(fù)使用一 個(gè) 口 令 之 前 必 須 對(duì) 口 令 進(jìn) 行 修 改 的 次 數(shù) 。PASSWORD_REUSE_TIME參數(shù)和 PASSWORD_REUSE_MAX參數(shù)只能設(shè)置一個(gè) ， 而另一個(gè)參數(shù)必須指定為 UNLIMITED。 PASSWORD_VERIFY_FUNCTION：該參數(shù)指定用于驗(yàn)證用戶(hù)口令復(fù)雜度的函數(shù) 。 Oracle通過(guò)一個(gè)內(nèi)置腳本提供了一個(gè)默認(rèn)函數(shù)用于驗(yàn)證用戶(hù)口令的復(fù)雜度 ， 所有指定時(shí)間的口令參數(shù)都以天為單位 。 修改數(shù)據(jù)庫(kù)的資源限制狀態(tài)有兩種方式： 在數(shù)據(jù)庫(kù)啟動(dòng)之前，可以通過(guò)設(shè)置初始化參數(shù)RESOURCE_LIMIT來(lái)決定資源限制的狀態(tài)。如果 RESOURCE LIMIT參數(shù)設(shè)置為 TRUE，啟動(dòng)數(shù)據(jù)庫(kù)后資源限制將處于激活狀態(tài)；反之如果 RESOURCE LIMIT參數(shù)設(shè)置為 FALSE，啟動(dòng)數(shù)據(jù)庫(kù)后資源限制將處于禁用狀態(tài)。默認(rèn)情況下，RESOURCE_LIMIT參數(shù)為 FALSE。 在數(shù)據(jù)庫(kù)啟動(dòng)之后（處于打開(kāi)狀態(tài)），可以使用 ALTER SYSTEM語(yǔ)句來(lái)改變資源限制的狀態(tài)