如何配置密码重用限制_PASSWORD_REUSE_TIME与MAX参数
Oracle 密码重用限制:一个必须厘清的“与”逻辑
在配置Oracle数据库的密码安全策略时,密码重用限制是个高频话题。但不少朋友会在这里踩坑,核心原因在于对Oracle的实现机制理解有偏差。今天,我们就来彻底拆解一下。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
Oracle密码重用限制由PROFILE的PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX属性共同控制,二者为“与”关系,必须同时满足才能重用旧密码。
Oracle 密码重用限制靠 PROFILE 控制,不是单独配置参数
首先得明确一点:Oracle压根就没有全局或实例级的、类似_password_reuse_time或max这样的独立参数。这些策略只“活”在PROFILE的定义里。如果你试图在init.ora、spfile里添加,或者用alter system去设置,结果要么是报错,要么就是被系统直接忽略。
真正起作用的,是PROFILE里的PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX这两个属性。而且,光在PROFILE里定义了还不够,必须把这个PROFILE绑定到具体的用户(或者让用户使用默认PROFILE),策略才算真正落地。
PASSWORD_REUSE_TIME 和 PASSWORD_REUSE_MAX 的行为差异
这里有个关键点:这两个参数不是“二选一”的关系,而是严格的“与”逻辑。什么意思?用户必须同时满足时间间隔和次数限制,才能重用旧密码。举个例子,如果设置成PASSWORD_REUSE_TIME 365和PASSWORD_REUSE_MAX 5,那就意味着:用户想再次使用某个密码,必须满足两个条件——第一,距离上次使用该密码至少过去了365天;第二,这个密码在历史记录里出现的次数(包括当前这次)不能超过5次。
PASSWORD_REUSE_TIME的单位是天,支持小数(比如0.5代表12小时),但实际生效的精度取决于数据库记录密码更改时间戳的粒度,通常精确到秒。PASSWORD_REUSE_MAX是整数。如果设为UNLIMITED,就表示不检查历史次数;如果设为0,那就意味着完全禁止重用,哪怕时间条件满足了也不行。- 如果只设置了其中一个参数,另一个默认就是
UNLIMITED。这时候,单个条件实际上形不成限制。比如,只设了PASSWORD_REUSE_MAX 3但没设时间,那么只要这个密码在历史上没用超过3次,用户立刻就能重用它。
实操:创建/修改 PROFILE 并分配给用户
实际操作中,不建议直接去修改DEFAULT PROFILE的密码策略,除非你非常清楚后果。更稳妥的做法是新建一个PROFILE。记住,修改PROFILE不会影响已经存在的密码历史记录,它只对后续执行的ALTER USER ... IDENTIFIED BY这类密码更改操作生效。
CREATE PROFILE app_user_prof LIMIT PASSWORD_REUSE_TIME 365 PASSWORD_REUSE_MAX 5 FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LOCK_TIME 1/24; -- 锁 1 小时 ALTER USER scott PROFILE app_user_prof;
- 执行上述操作后,用户
scott下次修改密码时,Oracle就会去查询他的密码历史表(数据存在USER$系统表的ASTATUS字段和相关的加密哈希链里),判断是否同时满足时间和次数两个条件。 - 这里有个隐藏限制:Oracle默认只保留最近10次的密码历史记录(由一个不可修改的隐含参数
_password_history_max控制)。所以,如果你把PASSWORD_REUSE_MAX设得超过10,实际上是没有意义的。 - PROFILE的修改会立即生效,但用户当前的会话不需要重新登录。策略的校验,会在用户下一次执行
ALTER USER ... IDENTIFIED BY命令时触发。
常见错误现象和排查点
经常有用户抱怨:“明明已经过了365天,为什么还是不能用回旧密码?” 这大概率不是配置错了,而是没完全理解Oracle的校验逻辑。
- 系统通常会报错:
ORA-28007: the password cannot be reused。这个错误很明确,说明PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX这两个条件至少有一个没满足。 - 排查时,先检查PROFILE的设置:
SELECT * FROM DBA_PROFILES WHERE PROFILE='APP_USER_PROF' AND RESOURCE_NAME LIKE 'PASSWORD%'; - 再确认用户实际使用的是哪个PROFILE:
SELECT USERNAME, PROFILE FROM DBA_USERS WHERE USERNAME='SCOTT'; - Oracle不存储明文密码,只存哈希值。但哈希值相同就被视为同一密码。所以,哪怕只是大小写、空格或特殊字符有变化,都会产生全新的哈希,不会被算作“重用”。
- 需要警惕的是,如果用户使用了
ALTER USER ... IDENTIFIED BY VALUES这种语法直接指定密码哈希值,那么就会完全绕过密码复杂度及重用检查,PASSWORD_REUSE_*策略也就失效了。
说到底,密码重用策略的复杂性,在于它深度耦合了密码历史、PROFILE定义和底层存储。它依赖系统表、隐含参数,甚至哈希算法的版本。一旦出现问题,光看日志很难定位,往往需要反复验证“PROFILE设置 + 用户绑定 + 历史哈希链”这三者的状态,才能找到症结所在。
相关攻略
SQL嵌套查询中的别名命名规范:提升代码可维护性 子查询里别名必须显式声明,不能依赖字段自动推导 很多开发者容易在这里踩坑:SQL标准压根不支持子查询的字段名自动成为外部引用的名称。如果你不老老实实地用AS或者空格来定义别名,外层的SELECT语句要么直接报错,要么引用到意料之外的列名,导致数据错乱
在异步函数中正确向外部声明的数组添加数据 你是否遇到过这样的情况:明明在函数外声明了一个空数组,准备在异步函数里往里添加数据,结果却报错“push is not a function”?这背后,往往是一个典型的变量作用域与命名冲突问题在作祟。 让我们来拆解一下。代码首先在全局作用域声明了 let d
如何正确获取 Selectric 插件中选中项的文本内容 你是否在使用 jQuery Selectric 插件美化下拉框时,尝试用 $( selected ) text() 获取当前选中文本,却只得到一个空字符串?这并非代码错误,关键在于代码执行的时机不对。 Selectric 是一款强大的下拉框
西餐刀叉的正确用法 吃西餐的时候,刀叉要怎么用呀 在正式的西餐语境里,刀、叉这类餐具统称为“Cutlery”。可别小看它们,里头门道不少:刀叉按用途细分,有专用于肉类、鱼类、前菜和甜点的不同款式;汤匙除了前菜、汤品、咖啡和茶之外,还有专门用来添加调味料的。这种调味料匙,在享用甜点或鱼类料理时尤为常见
个人礼仪之握手礼仪 一个人的修养如何,往往就藏在这些日常交往的细节里。握手,这个看似简单的动作,实则蕴含着丰富的社交密码。掌握它,不仅能避免尴尬,更能为你的人际关系加分不少。 个人礼仪之握手礼仪【一】 一、握手的顺序: 这里有个基本原则:通常由尊者先行。也就是说,主人、长辈、上司或女士主动伸出手后,
热门专题
热门推荐
TripMate是什么 规划一次完美的旅行,最磨人的往往是前期的信息海选和行程拼图。现在,一款名为TripMate的AI旅行助手,正试图把我们从这种繁琐中解放出来。简单来说,它是一个由人工智能驱动的个人旅行规划工具,核心目标就一个:让个性化的行程规划变得又快又省心。用户不必再在各种攻略网站间反复横跳
Artwo是什么 浏览器标签页多到能开火车,收藏夹杂乱得像毛线球——这大概是每个深度上网冲浪者的日常痛点。Artwo的出现,正是为了终结这种混乱。这款工具的核心,是将AI的智能与网页资源管理深度结合,帮你把散落各处的网页信息,整理成井井有条的知识库。它不仅仅是个高级书签管理器,更像是一个能理解你需求
Best AI Jobs是什么 当你琢磨着在人工智能领域找份新工作时,面对海量却不精准的招聘信息,是不是常常感到头疼?这时候,一个专业的垂直平台就显得尤为重要了。Best AI Jobs,正是为此而生。它是一个专注于人工智能领域的职业搜索引擎,核心使命就是帮用户在全球范围内精准定位AI相关的职位。无
FreeAIKit是什么 当你听到“AI工具套件”时,脑子里会浮现什么?复杂的代码、难懂的术语,还是昂贵的订阅费?FreeAIKit的出现,可以说彻底打破了这些刻板印象。这个由Easy With AI打造的综合平台,目标非常明确:让AI变得触手可及。它集成了图像生成、市场营销、生产力提升等一系列工具
WPS Office是什么 提到办公软件,很多人的第一反应可能是微软的Office套件。但今天,我们得好好聊聊另一个重量级选手——WPS Office。它出自中国的金山软件,是一款功能完整的免费办公解决方案。简单来说,它集成了文档编辑、表格处理、幻灯片制作以及PDF工具于一体,旨在为用户提供一个流畅