1 使用角色管理权限

角色:
用于将权限和角色组织在一起。
方便向用户授予多个权限或角色
角色的好处:
更容易管理权限
动态权限管理
可以使用角色来管理数据库权限。可以向角色添加权限，并将该角色授予用户。然后，用户可以启用该角色并行使该角色授予的权限。角色包含授予该角色的所有权限，以及被授予的其他角色的所有特权。
角色提供了以下关于管理特权的好处:
Easier privilege management:使用角色来简化特权管理。可以将特权授予一个角色，然后再将该角色授予每个用户，而不是将同一组权限授予多个用户。
Dynamic privilege management::如果与角色关联的权限被修改，所有被授予该角色的用户都会自动立即获得修改后的权限。
Selective availability of privileges: :可以通过启用和禁用角色来临时启用和关闭权限。这允许在给定的情况下控制用户的特权。

2 角色的特点

在大多数系统中，为每个用户单独授予必要的特权既费时又容易出错。Oracle软件通过角色提供了易于控制的特权管理。角色是授予用户或其他角色的相关特权的命名组。角色的设计目的是简化对数据库中的特权的管理，从而提高安全性。
角色的特点
可以对角色授予和撤消特权。
角色可以授予用户或其他角色并从其撤消。
角色可以由系统特权和对象特权组成。
可以为每个被授予角色的用户启用或禁用角色。
角色可以需要密码才能启用。
角色不属于任何人，它们也不在任何模式中。

3 预置角色

CONNECT:CREATE SESSION
DBA：Most system privileges; several other roles. Do not grant to non-administrators.
RESOURCE：CREATE CLUSTER, CREATE INDEXTYPE, CREATE OPERATOR, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER, CREATE TYPE
SCHEDULER_ ADMIN：CREATE ANY JOB, CREATE EXTERNAL JOB, CREATE JOB, EXECUTE ANY CLASS, EXECUTE ANY PROGRAM, MANAGE SCHEDULER
SELECT_CATALOG_ROLE：SELECT privileges on data dictionary objects
在运行数据库创建脚本时，有几个角色是为Oracle数据库自动定义的。CONNECT将自动授予使用Enterprise Manager创建的任何用户。
SELECT ANY DICTIONARY系统特权允许访问SYS模式所拥有的数据字典表。
有关预定义角色的完整列表，请参阅Oracle数据库安全指南。
其他授权您管理特殊功能的角色是在安装该功能时创建的。例如，XDBADMIN包含管理可扩展标记语言(Extensible Markup Language, XML)数据库(如果安装了该特性)所需的特权。AQ_ADMINISTRATOR_ROLE提供了管理高级队列的特权。HS_ADMIN_ROLE包含管理异构服务所需的特权。
在没有Oracle支持的情况下，不能更改授予这些功能性角色的特权，因为您可能会无意中禁用所需的功能。

4 角色的认证

角色通常在默认情况下是启用的，这意味着如果将角色授予用户，则该用户可以行使授予该角色的特权。默认角色是在连接时分配给用户的。
有可能:
将角色设置为非默认。用户现在必须显式地启用该角色，然后才能执行该角色的特权。
一个用户必须通过使用identified子句来对角色授予额外的认证。并且使用set role。角色的默认身份验证为None。
语法：
CREATE ROLE secure_application_role IDENTIFIED USING <security_procedure_name>;
创建只有通过成功执行PL/SQL过程才能启用的安全应用程序角色。PL/SQL过程可以检查用户的网络地址、用户正在运行的程序、一天的时间以及正确保护一组权限所需的其他元素。
使用Oracle Database Vault选项轻松管理角色。安全应用程序角色得到了简化，并且可以进一步限制传统角色。
注意:可以使用Enterprise Manager Cloud Control定义角色身份验证，但不能在Enterprise Manager Database Express中定义。

5 练习题

简要说明对角色的理解