数据库系统概论(第五版)PPT第4章.pptVIP

小结:SQL灵活的授权机制数据库管理员：拥有所有对象的所有权限根据实际情况不同的权限授予不同的用户用户：拥有自己建立的对象的全部的操作权限可以使用GRANT，把权限授予其他用户被授权的用户如果具有“继续授权”的许可，可以把获得的权限再授予其他用户所有授予出去的权力在必要时又都可用REVOKE语句收回授权：授予与回收（续）创建数据库模式的权限数据库管理员在创建用户时实现CREATEUSER语句格式CREATEUSERusername[WITH][DBA|RESOURCE|CONNECT];注：CREATEUSER不是SQL标准，各个系统的实现相差甚远只有系统的超级用户才有权创建一个新的数据库用户01如没有指定创建的新用户的权限，默认该用户拥有CONNECT权限。拥有CONNECT权限的用户不能创建新用户，不能创建模式，也不能创建基本表，只能登录数据库03新创建的数据库用户有三种权限：CONNECT、RESOURCE和DBA02CREATEUSER语句格式说明授权：授予与回收（续）授权：授予与回收（续）AnIntroductiontoDatabaseSystemCREATEUSER语句格式说明（续）拥有RESOURCE权限的用户能创建基本表和视图，成为所创建对象的属主。但不能创建模式，不能创建新的用户拥有DBA权限的用户是系统中的超级用户，可以创建新的用户、创建模式、创建基本表和视图等；DBA拥有对所有数据库对象的存取权限，还可以把这些权限授予一般用户授权：授予与回收（续）拥有的权限可否执行的操作CREATEUSERCREATESCHEMACREATETABLE登录数据库，执行数据查询和操纵DBA可以可以可以可以RESOURCE不可以不可以不可以不可以CONNECT不可以不可以不可以可以，但必须拥有相应权限权限与可执行的操作对照表用户标识与鉴别存取控制自主存取控制方法授权：授予与回收数据库角色强制存取控制方法4.2数据库安全性控制角色是权限的集合简化授权的过程可以为一组具有相同权限的用户创建一个角色数据库角色：被命名的一组与数据库操作相关的权限4.2.5数据库角色角色的创建CREATEROLE角色名给角色授权GRANT权限[,权限]…ON对象类型对象名TO角色[,角色]…数据库角色（续）数据库角色（续）3.将一个角色授予其他的角色或用户GRANT角色1[,角色2]…TO角色3[,用户1]…[WITHADMINOPTION]该语句把角色授予某用户，或授予另一个角色授予者是角色的创建者或拥有在这个角色上的ADMINOPTION指定了WITHADMINOPTION则获得某种权限的角色或用户还可以把这种权限授予其他角色一个角色的权限：直接授予这个角色的全部权限加上其他角色授予这个角色的全部权限数据库角色（续）角色权限的收回REVOKE权限[,权限]…ON对象类型对象名FROM角色[,角色]…用户可以回收角色的权限，从而修改角色拥有的权限REVOKE执行者是角色的创建者拥有在这个（些）角色上的ADMINOPTION数据库角色（续）[例4.11]通过角色来实现将一组权限授予一个用户。步骤如下：首先创建一个角色R1CREATEROLER1;然后使用GRANT语句，使角色R1拥有Student表的 SELECT、UPDATE、INSERT权限

GRANTSELECT,UPDATE,INSERTONTABLEStudentTOR1;将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限GRANTR1TO王平,张明,赵玲;可以一次性通过R1来回收王平的这3个权限REVOKER1FROM王平;数据库角色（续）[例4.12]角色的权限修改01ONTABLEStudent03使角色R1在原来的基础上增加了Student表的DELETE权限05GRANTDELETE02TOR1;04数据库角色（续）01020304[例4.13]REVOKESELECTONTABLEStudentFROMR1；05使R1减少了SELECT权限数据库角色（续）01用户标识与鉴别02存取控制03自主存取控制方法04授权与回收05数据库角色06强制存取控制方法4.2数据库安全性控制可能存在数据的“无意泄露”