数据库及其应用课件：安全性管理.pptx

1安全性管理MySQL的权限控制体系权限表账户管理授权与回收权限角色视图

2第一节MySQL的权限控制体系MySQL将操纵数据库资源的权限范围划分为5个级别。顺序级别权限范围说明1GlobalLevel对整个MySQL数据库服务器的全局权限。DBA特权2DatabaseLevel数据库级别的权限。数据库特权3TableLevel表级别的权限。操作数据表权限4ColumnLevel表中某一列的权限。操作表中的某些列的权限5RoutineLevel针对函数、触发器和存储过程的权限。使用函数、触发器和存储过程权限

3一、具有DBA特权的数据库用户DBA拥有支配整个数据库资源的所有特权。其中主要包括：访问数据库的任何数据；数据库的调整、重构和重组；注册用户、授予和回收数据库用户访问数据对象的权限；控制整个数据库运行和跟踪审查；数据库备份和恢复等权限。

4二、支配数据库资源特权的数据库用户这类用户是数据库、表、视图等数据对象的创建者，常称为“具有RESOURCE特权的用户”，拥有这些数据对象上所有操作和控制的权限，主要包括：创建表、索引和聚簇的权限；可以授予或回收其他用户对其所创建的数据对象的所有访问权限；可以对其所创建的数据对象跟踪审查的权限。

5三、一般数据库用户这类用户可以连接数据库，也称为“具有CONNECT特权的用户”。主要包括：能够按照所获得的权限查询或更新数据库中的数据；可以创建视图或定义数据的别名等权限。

6第二节权限表用户的注册信息（用户名、IP地址|主机名、密码等）以及对数据库资源的访问权限都存放在权限表中。MySQL服务器通过这些权限表控制用户对数据库的访问，权限表是数据库系统安全控制的关键。权限表存放在MySQL数据库中，最重要的权限表是user表和db表，除此之外还有table_priv表、column_priv表和proc_priv表。

7一、user表（1）范围列包括Host和User，分别表示主机名和用户名，Host和User为user表的联合主键。（2）权限列决定用户的权限，指出用户在全局范围内具有的各种权限。字段的类型为ENUM，取值只能是Y和N，Y具有的权限，N为没有权限，N为默认值。（3）安全列指定用户标识和密码等身份验证信息。（4）资源控制列限制用户使用资源，如限制每小时查询、更新、连接等操作次数。user表存储所有登录账户的信息，一共有49个字段，可以分为四类：

8二、db表图8.2查看db表的字段定义db表存放用户对某个数据库的操作权限。db表的字段大致分为两类，分别是用户列和权限列。用户列权限列

9三、tables_priv表tables_priv表用于对表设置操作权限，tables_priv表的结构：FieldTypeNullKeyHost|char(255NOPRIDbchar(64)NOPRIUserchar(32)NOPRITable_namechar(64)NOPRIGrantorvarchar(288)NOMULTimestamptimestampNO?Table_privset(Select,Insert,Update,Delete,Create,Drop,Grant,References,Index,Alter,CreateView,Showview,Trigger)NO?Column_privset(Select,Insert,Update,References)NO?图8.3查看tables_priv表的字段定义

10四、columns_priv表columns_priv表用于对表中某一列设置操作权限。

11五、procs_priv表保存对某个存储过程或存储函数设置的操作权限。

12MySQL权限管理系统通过两个阶段进行认证（1）对连接的用户进行身份认证，合法的用户通过认证，不合法的用户拒绝连接。（2）对通过认证的合法用户赋予相应的权限，用户可以在拥有的权限范围内对数据库做相应的操作。

13第三节账户管理账户管理是MySQL数据库的安全性管理的重要内容，账户管理主要内容是对上述权限表的操作。MySQL提供多个账户管理的语句，创建用户、删除用户、密码管理和权限管理。

14一、创建新用户SQL语句的基本格式如下：CREATEUSER用户名IDENTIFIEDBY密码’[WITH资源限制]用户名由用户名与主机名（或IP地址）组成。IDENTIFIEDBY设置密码。资源限制是可选项，规定每小时执行查