ORA-01942报错原因和远程修复方法，IDENTIFIED BY跟EXTERNALLY不能一起用怎么办

ORA-01942报错是一个在Oracle数据库管理中可能遇到的错误，通常与用户身份验证方式的冲突有关，下面将详细解释这个报错的原因，并提供远程修复的方法，特别是针对“IDENTIFIED BY”和“IDENTIFIED EXTERNALLY”不能一起使用的问题。

ORA-01942报错的原因

根据Oracle官方文档和常见的数据库管理实践，ORA-01942错误的核心信息是“无法将IDENTIFIED BY子句与IDENTIFIED EXTERNALLY子句联用”，这本质上是一个语法和逻辑上的冲突,而不是一个底层数据库的故障。

要理解这个错误,首先需要明白Oracle数据库为用户提供了几种不同的身份验证方式：

1. 数据库身份验证（IDENTIFIED BY）：这是最传统的方式，用户的密码由Oracle数据库自身进行管理和验证，创建或修改用户时，会使用IDENTIFIED BY子句，后面紧跟一个密码，IDENTIFIED BY mypassword123,密码以加密形式存储在数据库内部。
2. 外部身份验证（IDENTIFIED EXTERNALLY）：这种方式将身份验证的责任交给了数据库之外的操作系统，创建或修改用户时，使用IDENTIFIED EXTERNALLY子句，当用户尝试连接数据库时，Oracle不会要求输入数据库密码，而是信任操作系统已经验证了该用户的身份，操作系统用户名需要与数据库用户名有一个特定的映射关系（在Linux/Unix下，常见的是前缀OPS$）。
3. 全局身份验证（IDENTIFIED GLOBALLY）：这种方式使用企业级的目录服务（如Oracle Internet Directory）进行身份验证,适用于大型分布式环境。

报错的直接原因在一条创建用户（CREATE USER）或修改用户（ALTER USER）的SQL语句中，试图同时指定两种互斥的身份验证方法，数据库无法理解用户的意图——到底是让数据库自己来验证密码，还是让操作系统来验证，它会立即抛出ORA-01942错误,拒绝执行这条矛盾的指令。

以下语句就会触发ORA-01942错误： CREATE USER scott IDENTIFIED BY tiger IDENTIFIED EXTERNALLY; 这条语句既想设置一个数据库密码“tiger”，又想使用外部操作系统验证,这是不允许的。

远程修复方法

当远程管理数据库遇到此错误时，修复的核心思路是：明确用户的身份验证方式，并确保SQL语句中只使用一种对应的子句。

以下是详细的步骤和考虑因素：

第一步：诊断当前状况

在开始修复之前，先连接到数据库（通常以SYSDBA或其他具有足够权限的用户身份连接），查询目标用户的当前设置，这能帮助你理解之前的操作意图,避免盲目修改。

使用以下SQL查询（来源：Oracle数据字典视图DBA_USERS的常见用法）： SELECT username, authentication_type FROM dba_users WHERE username = '你的用户名';

这个查询会返回用户的认证类型,结果可能是：

• PASSWORD：表示是数据库身份验证。
• EXTERNAL：表示是外部身份验证。
• GLOBAL：表示是全局身份验证。

了解现状后，你就能决定下一步是修正一条错误的创建语句,还是修改一个已存在用户的认证方式。

第二步：根据需求选择正确的身份验证方式并执行修复

你需要根据实际业务需求，决定为用户采用哪种认证方式,然后执行相应的SQL语句。

场景A：希望使用数据库身份验证（使用密码登录） 如果你的目的是让用户通过输入密码（比如用SQL*Plus, SQL Developer等工具）来连接数据库，那么应该使用IDENTIFIED BY子句，并彻底移除IDENTIFIED EXTERNALLY。

• 如果用户不存在，正确创建用户的语句应为： CREATE USER 用户名 IDENTIFIED BY 密码 DEFAULT TABLESPACE 表空间名 TEMPORARY TABLESPACE 临时表空间名; 注意：这里只有IDENTIFIED BY，没有EXTERNALLY。

• 如果用户已存在，但认证方式错误或需要更改，使用修改用户语句： ALTER USER 用户名 IDENTIFIED BY 新密码; 这条命令会将用户的认证方式明确设置为数据库认证，并设置新的密码，如果用户之前是外部认证,这条命令会成功将其切换为数据库认证。

场景B：希望使用操作系统外部身份验证 如果你的目的是让用户通过操作系统身份验证后无缝登录数据库（通常用于脚本或特定系统集成），那么应该使用IDENTIFIED EXTERNALLY子句，并确保不包含IDENTIFIED BY。

• 前提条件检查（非常重要）：确保数据库配置允许外部身份验证，这通常需要修改数据库的初始化参数文件（pfile或spfile）中的REMOTE_OS_AUTHENT参数（但出于安全考虑，Oracle不推荐启用此参数），或者更常见的是，确保客户端和数据库服务器在同一台机器上，或通过安全网络服务进行了正确配置，操作系统上的用户名需要与数据库用户名匹配（有时需要加前缀如OPS$用户名）。

• 如果用户不存在，正确创建用户的语句应为： CREATE USER 用户名 IDENTIFIED EXTERNALLY DEFAULT TABLESPACE 表空间名 TEMPORARY TABLESPACE 临时表空间名; 注意：这里只有IDENTIFIED EXTERNALLY，没有BY。

• 如果用户已存在，但需要改为外部认证，使用修改用户语句： ALTER USER 用户名 IDENTIFIED EXTERNALLY; 这条命令会将用户的认证方式切换为外部认证，之后,该用户将无法再用数据库密码登录。

场景C：修正错误的SQL语句 如果你手头正好有一条导致ORA-01942报错的SQL语句，直接根据上述原则进行修改，删除矛盾的部分,只保留一个身份验证子句。

第三步：授权和测试

无论采用哪种方式，修改完成后，都需要确保用户拥有必要的系统权限和对象权限才能连接和使用数据库，最基本的权限是CREATE SESSION。

GRANT CREATE SESSION TO 用户名;

进行测试，使用新设定的认证方式（输入密码或通过操作系统）尝试连接数据库，确保连接成功,并且功能正常。

ORA-01942报错是一个直接的“语法”错误，根源在于对用户身份验证机制的理解混淆，远程修复的关键在于通过查询明确意图，然后使用正确的、单一的身份验证子句（IDENTIFIED BY 或 IDENTIFIED EXTERNALLY）来创建或修改用户，并充分理解每种方式所需的环境配置，只要确保SQL语句的逻辑清晰一致,这个错误就可以被迅速解决。