文档介绍:2_第4章_数据库安全性
数据库安全控制
视图机制
1
2
教 学 内 容
教 学 目 标
难 点
了解计算机安全
重
点
掌握数据库安全控制
GRANT INSERT ON TABLE SC TO U5
WITH GRANT OPTION;
存取控制
自主存取控制方法- 授权与回收
执行例5后,U5不仅拥有了对表SC的INSERT权限,
还可以传播此权限:
[例6] GRANT INSERT ON TABLE SC TO U6
WITH GRANT OPTION;
同样,U6还可以将此权限授予U7:
[例7] GRANT INSERT ON TABLE SC TO U7;
但U7不能再传播此权限。
存取控制
自主存取控制方法- 授权与回收
二、REVOKE
授予的权限可以由DBA或其他授权者用REVOKE语句收回
REVOKE语句的一般格式为:
REVOKE <权限>[,<权限>]...
[ON <对象类型> <对象名>]
FROM <用户>[,<用户>]...;
存取控制
自主存取控制方法- 授权与回收
[例8] 把用户U4修改学生学号的权限收回
REVOKE UPDATE(Sno)
ON TABLE Student FROM U4;
[例9] 收回所有用户对表SC的查询权限
REVOKE SELECT
ON TABLE SC FROM PUBLIC;
[例10] 把用户U5对SC表的INSERT权限收回
REVOKE INSERT
ON TABLE SC FROM U5 CASCADE ;
存取控制
自主存取控制方法- 授权与回收
DBA:拥有所有对象的所有权限
不同的权限授予不同的用户
用户:拥有自己建立的对象的全部的操作权限
GRANT:授予其他用户
被授权的用户
“继续授权”许可:再授予
所有授予出去的权力在必要时又都可用REVOKE语句收回
存取控制
自主存取控制方法- 授权与回收
三、创建数据库模式的权限
DBA在创建用户时实现
CREATE USER语句格式
CREATE USER <username>
[WITH][DBA | RESOURCE | CONNECT]
存取控制
自主存取控制方法- 授权与回收
拥有的权限
可否执行的操作
CREATE USER
CREATE SCHEMA
CREATE TABLE
登录数据库 执行数据查询和操纵
DBA
可以
可以
可以
可以
RESOURCE
不可以
不可以
不可以
不可以
CONNECT
不可以
不可以
不可以
可以,但必须拥有相应权限
权限与可执行的操作对照表
存取控制
自主存取控制方法-数据库角色
数据库角色:被命名的一组与数据库操作相关的权限
角色是权限的集合
可以为一组具有相同权限的用户创建一个角色
简化授权的过程
存取控制
自主存取控制方法-数据库角色
一、角色的创建
CREATE ROLE <角色名>
二、给角色授权
GRANT <权限>[,<权限>]…
ON <对象类型>对象名
TO <角色>[,<角色>]…
存取控制
自主存取控制方法-数据库角色
三、将一个角色授予其他的角色或用户
GRANT <角色1>[,<角色2>]…
TO <角色3>[,<用户1>]…
[WITH ADMIN OPTION]
四、角色权限的收回
REVOKE <权限>[,<权限>]…
ON <对象类型> <对象名>
FROM <角色>[,<角色>]…
存取控制
自主存取控制方法-数据库角色
[例11]通过角色来实现将一组权限授予一个用户。
1. 首先创建一个角色 R1
CREATE ROLE R1;
2. 然后使用GRANT语句,使角色R1拥有Student表的SELECT、UPDATE、INSERT权限
GRANT SELECT,UPDATE,INSERT
ON TABLE Student TO R1;
3. 将这个角色授予王平,张明,赵玲。使他们具有角色R1所包含的全部权限
GRANT R1 TO 王平,张明,赵玲;
4. 可以一次性通过R1来回收王平的这3