数据库系统概论AnIntroductiontoDatabaseSystem第4章数.pptVIP

例题（续）例3把对表SC的查询权限授予所有用户GRANTSELECTONTABLESC TOPUBLIC;例题（续）例4把查询Student表和修改学生学号的权限授给用户U4 GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;对属性列的授权必须明确指出相应属性列名例题（续）例5把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;传播权限执行例5后，U5不仅拥有了对表SC的INSERT权限，还可以传播此权限：GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;同样，U6还可以将此权限授予U7：GRANTINSERTONTABLESCTOU7;但U7不能再传播此权限。U5--U6--U7例题（续）例6DBA把在数据库S_C中建立表的权限授予用户U8 GRANTCREATETABLE ONDATABASES_C TOU8;SQL收回权限的功能REVOKE语句的一般格式为：REVOKE权限[,权限]...[ON对象类型对象名]FROM用户[,用户]...[CASCADE|RESTRICT];功能：从指定用户那里收回对指定对象的指定权限例题例7把用户U4修改学生学号的权限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;例题（续）例8收回所有用户对表SC的查询权限 REVOKESELECT ONTABLESC FROMPUBLIC;例题（续）例9把用户U5对SC表的INSERT权限收回 REVOKEINSERT ONTABLESC FROMU5;权限的级联回收系统将收回直接或间接从U5处获得的对SC表的INSERT权限:--U5--U6--U7收回U5、U6、U7获得的对SC表的INSERT权限:--U5--U6--U7小结:SQL灵活的授权机制DBA拥有对数据库中所有对象的所有权限，并可以根据应用的需要将不同的权限授予不同的用户。用户对自己建立的基本表和视图拥有全部的操作权限，并且可以用GRANT语句把其中某些权限授予其他用户。被授权的用户如果有“继续授权”的许可，还可以把获得的权限再授予其他用户。所有授予出去的权力在必要时又都可以用REVOKE语句收回。自主存取控制方法（续）实现与数据值有关的授权利用存取谓词存取谓词可以很复杂可以引用系统变量，如终端设备号，系统时钟等，实现与时间地点有关的存取权限，这样用户只能在某段时间内，某台终端上存取有关数据例：规定“教师只能在每年1月份和7月份星期一至星期五上午8点到下午5点处理学生成绩数据”。自主存取控制方法（续）例：授权表用户名数据对象名允许的操作类型存取谓词王平关系StudentSELECTSdept=?CS?张明霞关系StudentUPDATESname=?张明霞?张明霞关系CourseALL空授权粒度越细,授权子系统就越灵活,能够提供的安全性就越完善。但另一方面，因数据字典变大变复杂，系统定义与检查权限的开销也会相应地增大。缺点：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记。创建数据库模式的权限对数据库模式的授权由DBA在创建用户时实现CREATEUSERusername[WITH][DBA/RESOURCE/CONNECT]只有系统的超级用户才有权创建一个新的数据库用户新创建的数据库用户有三种权限：CONNECTRESOURCEDBA可信计算机系统评测标准（续）C2级安全产品的最低档次提供受控的存取保护，将C1级的DAC进一步细化，以个