厦门大学计算机科学系学习课件.pptVIP

4.2.2 存取控制 自主存取控制（Discretionary Access Control，简称DAC） 同一用户对于不同的数据对象有不同的存取权限 不同的用户对同一对象也有不同的权限 用户还可将其拥有的存取权限转授给其他用户 强制存取控制（Mandatory Access Control，简称 MAC） 每一个数据对象被标以一定的密级 每一个用户也被授予某一个级别的许可证 对于任意一个对象，只有具有合法许可证的用户才可以存取 4.2.3 自主存取控制(DAC)方法 定义存取权限 存取权限由两个要素组成 数据对象 操作类型 4.2.3 自主存取控制(DAC)方法 关系数据库系统中的存取权限 类型? 对象数据 对象 操作类型 数据库 模式 CREATE SCHEMA 基本表 CREATE TABLE,ALTER TABLE 模式 视图 CREATE VIWE 索引 CREATE INDEX 数据 基本表和视图 SELECT,INSERT,UPDATE,DALETE,REFERENCES,ALL PRIVILEGES 属性列 SELECT,INSERT,UPDATE,REFERENCES,ALL PRIVILEGES 4.2.3 自主存取控制(DAC)方法 关系系统中的存取权限 定义方法 GRANT/REVOKE DBMS实现数据安全性保护的过程 用户或DBA把授权决定告知系统 SQL的GRANT和REVOKE DBMS把授权的结果存入数据字典 当用户提出操作请求时，DBMS根据授权定义进行检查，以决定是否执行操作请求 4.2.4 授权(Authorization)与回收 GRANT语句的一般格式： GRANT 权限[,权限]... [ON 对象名] TO 用户[,用户]... [WITH GRANT OPTION]; 谁定义？DBA和表的建立者（即表的属主） GRANT功能：将对指定操作对象的指定操作权限授予指定的用户。 授权权限GRANT 4.2.4 授权(Authorization)与回收 指定了WITH GRANT OPTION子句: 获得某种权限的用户还可以把这种权限再授予别的用户。 没有指定WITH GRANT OPTION子句: 获得某种权限的用户只能使用该权限，不能传播该权限。 WITH GRANT OPTION子句 4.2.4 授权(Authorization)与回收 建表（CREATETAB）的权限:属于DBA DBA授予--普通用户 基本表或视图的属主拥有对该表或视图的一切操作权限 接受权限的用户: 一个或多个具体用户 PUBLIC（全体用户） 用户的权限 4.2.4 授权(Authorization)与回收 例题 例1 把查询Student表权限授给用户U1 GRANT SELECT ON Student TO U1; 4.2.4 授权(Authorization)与回收 例题 例2 把对Student表的全部权限授予用户U2和U3 GRANT ALL PRIVILEGES ON Student TO U2,U3; 4.2.4 授权(Authorization)与回收 例题 例3 把对表SC的查询权限授予所有用户 GRANT SELECT ON SC TO PUBLIC; 4.2.4 授权(Authorization)与回收 例题 例4 把查询Student表和修改学生姓名的权限授给用户U4 GRANT UPDATE(Sname), SELECT ON Student TO U4; 4.2.4 授权(Authorization)与回收 例题 例5 把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON SC TO U5 WITH GRANT OPTION; 4.2.4 授权(Authorization)与回收 传播权限 执行例5后，U5不仅拥有了对表SC的INSERT权限， 还可以传播此权限，例6： GRANT INSERT ON SC TO U6 WITH GRANT OPTION; 同样，U6还可以将此权限授予U7，例7： GRANT INSERT ON SC TO U7; 但U7不能再传播此权限。 U5-- U6-- U7 4.2.4 授权(Authorization)与回收 收回权限REVOKE REVOKE语句的一般格式为：