在oracle数据库中,用户和角色与数据库的权限息息相关,正确掌握对用户与角色的管理对于数据库的安装非常重要,本文主要总结在工作过程中经常用到的用户及角色的管理操作:
一。用户的基本管理操作:
1.创建用户同时指定密码与默认表空间
create user test identified by test default tablespace users;
2。给用户可以登录的系统权限
grant connect to test;
3.回收用户的权限
revoke connect from test;
4.删除用户
drop user test cascade;
5.修改用户密码
alter user test identified by newpasswd;
6.修改用户默认表空间(注意如果在表空间上没有配额,需要给用户分配配额)
alter user test default tablespace t1;
SQL> connect test/test@1.1.1.12/orcl
Connected.
SQL> create table tb1(id int);
create table tb1(id int)
*
ERROR at line 1:
ORA-01950: no privileges on tablespace 'T1'
给用户在表空间t1上分配空间:
alter user test quota 10m on t1;
SQL> connect test/test@1.1.1.12/orcl
Connected.
SQL> create table tb1(id int);
Table created.
二.使用profile文件实现用户口令限制与资源限制;
Proflie是口令限制,资源限制的命名集合.建立oracle数据库时,oracle会自动建立名为DEFAULT的PROFILE,初始化的DEFAULT没有进行任何口令和资源限制.使用PROFILE有以下一些主要事项.
a,建立PROFILE时,如果只设置了部分口令或资源限制选项,其他选项会自动使用默认值(DEFAULT的相应选项)
b,建立用户时,如果不指定PROFILE选项,oracle会自动将DEFAULT分配给相应的数据库用户.
c,一个用户只能分配一个PROFILE.如果要同时管理用户的口令和资源,那么在建立PROFILE时应该同时指定口令和资源选项.
d,使用PROFILE管理口令时,口令管理选项总是处于被激活状态,但如果使用PROFILE管理资源,必须要激活资源限制.
1.查看当前存在的profile文件
select distinct profile from dba_profiles;
查看指定profile文件中各资源的限制情况:
select resource_name,limit from dba_profiles where profile='DEFAULT';
2.修改现在profile文件中资源选项:
alter profile default limit FAILED_LOGIN_ATTEMPTS 1 PASSWORD_LOCK_TIME 3;
3.创建一个新的profile文件:
CREATE PROFILE lock_accout LIMIT FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 10;
4.让用户使用新的profile文件:
alter user test profile lock_accout;
5.查看用户当前使用的profile文件
select username,profile from dba_users;
6.使用profile文件限制用户对资源的使用;
必须先激活资源限制:
alter system set resource_limit=TRUE scope=memory;
对资源限制做修改:
alter profile lock_accout limit cpu_per_session 5000;
7.删除profile
drop profile lock-accout;
8.删除profile并将使用当前profile的用户profile改为default
drop profile lock_accout cascade;
9,以下列出所有profile相关参数内容以便于参考:
FAILED_LOGIN_ATTEMPTS:用于指定联系登陆的最大失败次数.
PASSWORD_LOCK_TIME:用于指定帐户被锁定的天数.
PASSWORD_LIFE_TIME:用于指定口令有效期
PASSWORD_GRACE_TIME:用于指定口令宽限期.
PASSWORD_REUSE_TIME:用于指定口令可重用时间.
PASSWORD_REUSE_MAX;用于指定在重用口令之前口令需要改变的次数.
PASSWORD_VERIFY_FUNCTION;是否校验口令(校验将值改为VERIFY_FUNCTION)
CPU_PER_SESSION:用于指定每个会话可以占用的最大CPU时间.
LOGICAL_READS_PER_SESSON:用于指定会话的最大逻辑读取次数.
PRIVATE_SGA:用于指定会话在共享池中可以分配的最大总计私有空间.需要注意,该选项只使用与共享服务器模式.
COMPOSITE_LIMIT:用于指定会话的总计资源消耗(单位:服务单元).
CPU_PER_CALL:限制每次调用(解析,执行或提取数据)可占用的最大CPU时间(单位:百分之一秒)
LOGICAL_READS_PER_CALL:用于限制每次调用的最大逻辑I/O次数.
SESSIONS_PER_USER:用于指定每个用户的最大并发会话个数.
CONNECT_TIME:用于指定会话的最大连接时间.
IDLE_TIME:用于指定会话的最大空闲时间.
三。角色的管理
1.将角色的权限赋予用户
grant dba,connect,resource to test;
--with admin option与with grant option可将系统或对象权限授权的权限给指定用户或角色,给用户赋系统权限可选参数with admin option,回收权限后不会级联回收,给用户赋对象权限可选参数with grant option,加回权限后会级联回收。
2.将角色的权限从用户处回收
revoke dba,resource from test;
3.将创建会话的权限赋给public角色,public是所有用户的默认组,所有给public角色的权限会赋予所有用户
grant connect to public
SQL> connect test/test
ERROR:
ORA-01045: user TEST lacks CREATE SESSION privilege; logon denied
Warning: You are no longer connected to ORACLE.
SQL> connect / as sysdba
Connected.
SQL> grant connect to public;
Grant succeeded.
SQL> connect test/test
Connected.
4.创建自定义的角色
create role testrole;
5.给自定义角色赋权
grant create any table,create any view to testrole;
6.将自定义角色权限给用户后,角色权限传递给用户
grant testrole to test;
SQL> create table t1(id int);
Table created.
SQL> create view v1 as select *from t1;
View created.
7.查看用户所属的角色
SELECT * FROM DBA_ROLE_PRIVS WHERE GRANTEE='TEST'
查看用户所有的系统权限
SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE='TEST'
查看角色的系统权限
select * from role_sys_privs where role='TESTROLE'
查看角色所属的角色
select * from role_role_privs where role='TESTROLE'
查看用户在表上的权限
select * from dba_tab_privs where grantee='TEST'
查看用户的列权限
select * from dba_col_privs WHERE GRANTEE='TEST'
8.删除角色:
drop role testrole;
资源下载:http://www.seo-999.com 、http://fl.seo-999.com
目前大多数大型网站的服务器都采用了分布式的部署方式,但是session是在服务器端保存的,如果用户跳转到其他服务器的话,session就会丢失,于是就有了分布式系统的session共享问题。
session共享有很多解决方法,比较常用的如下:
一、以cookie加密的方式保存在客户端.优点是减轻服务器端的压力,缺点是受到cookie的大小限制,可能占用一定带宽,因为每次请求会在头部附带一定大小的cookie信息,另外这种方式在用户禁止使用cookie的情况下无效.
二、服务器间同步。定时同步各个服务器的session信息,此方法可能有一定延时,用户体验也不是很好。
三、以某种媒介共享session信息,比如memcached,NFS等
本文主要介绍通过memcached共享的方式.
以memcached共享的方式实现的目前比较流行的有两种,一种是修改servlet容器,修改容器代码中的session相关代码,使其连接memcached,在memcached中创建和更新session.目前实现的有tomcat的插件,详见:http://code.google.com/p/memcached-session-manager/,优点是你不用考虑session共享的问题了,可以专注于你的程序开发,向正常使用session那样使用就完事了,缺点是如果你想改变session策略的话,必须重新部署每个服务器的servlet容器.而且修改容器代码存在一定的稳定性风险.如果不小心改坏了,就不爽了,另外如果servlet容器升级,必须做相应修改,也比较麻烦.
另外一种是使用过滤器的方式,可参照网上例子:http://laoer.iteye.com/blog/82565 的例子,此方式使用过滤器的方式重新对httpRequest 对象进行了包装,并加入memcached客户端,此方式的优点是:使用简单,把过滤器配置进去即可,另外比较灵活,因为它是再客户端实现的,配置比较灵活,而且服务器无关,你可以在任何支持servlet的容器上部署。缺点:当然他的缺点也是第一种方式的缺点,受制于memcached,比如:如果出现内存紧张的情况,根据memcached的LRU算法,有可能将用户的一部分session覆盖,从而导致部分session丢失.
笔者根据http://laoer.iteye.com/blog/82565的代码,重新写了一个过滤器,并添加session过期的功能,目前已在struts2中成功应用.详见附件.
参考网址:http://www.seo-999.com 、http://fl.seo-999.com