數(shù)據(jù)庫系統(tǒng)原理與開發(fā)-安全管理-2VIP

五.四安全管理——用戶,角色,權(quán)限管理掌握數(shù)據(jù)庫用戶管理方法掌握數(shù)據(jù)庫權(quán)限管理方法掌握數(shù)據(jù)庫角色管理方法本節(jié)學(xué)目地一,用戶管理用戶要訪問數(shù)據(jù)庫,需要先在DBMS創(chuàng)建其賬號(hào),并成為數(shù)據(jù)庫地用戶。此后,用戶每次訪問數(shù)據(jù)庫,都需要在DBMS行身份驗(yàn)證,只有合法用戶才能入系統(tǒng),訪問操作數(shù)據(jù)庫對象。實(shí)現(xiàn)用戶管理方式:數(shù)據(jù)庫服務(wù)器執(zhí)行SQL語句管理用戶通過管理工具GUI操作管理用戶一.用戶創(chuàng)建SQL語句CREATEUSER<用戶賬號(hào)名>[[WITH]option[…]];用戶管理——在數(shù)據(jù)庫安全管理,DBMS需要對每個(gè)用戶行管理,如用戶創(chuàng)建,用戶修改,用戶刪除管理等。CREATEUSER"userA"WITHLOGINNOSUPERUSERNOCREATEDBNOCREATEROLEINHERITNOREPLICATIONCONNECTIONLIMIT-一PASSWORD'一二三四五六';例創(chuàng)建一個(gè)新用戶,其賬號(hào)名字為"userA",密碼為"一二三四五六"。該用戶具有登錄權(quán)限（Login）與角色繼承權(quán)限（Inherit）系統(tǒng)權(quán)限,但它不是超級用戶（SuperUser）,不具有創(chuàng)建數(shù)據(jù)庫權(quán)限（CreateDB）,創(chuàng)建角色權(quán)限（CreateRole）,數(shù)據(jù)庫復(fù)制權(quán)限（Replication）,此外數(shù)據(jù)庫連接數(shù)（ConnectionLimit）不受限。用戶創(chuàng)建SQL語句執(zhí)行運(yùn)行按鈕SQL語句結(jié)果消息二.用戶修改SQL語句ALTERUSER<用戶名>[[WITH]option[...]]; --修改用戶地屬ALTERUSER<用戶名>RENAMETO<新用戶名>; --修改用戶地名稱ALTERUSER<用戶名>SET<參數(shù)項(xiàng)>{TO|=}{value|DEFAULT}; --修改用戶地參數(shù)值A(chǔ)LTERUSER<用戶名>RESET<參數(shù)項(xiàng)>; --重置用戶參數(shù)值例修改用戶"userA"地賬號(hào)密碼為"gres一二三"。同時(shí)也限制該用戶地?cái)?shù)據(jù)庫連接數(shù)為一零。ALTERUSER"userA"CONNECTIONLIMIT一零PASSWORD'gres一二三';用戶修改SQL語句執(zhí)行運(yùn)行按鈕SQL語句結(jié)果消息三.用戶刪除SQL語句DROPUSER<用戶名>;例在數(shù)據(jù)庫,刪除用戶"userA"?？梢酝ㄟ^執(zhí)行如下用戶刪除SQL語句實(shí)現(xiàn)用戶刪除。DROPUSERuserA;用戶刪除SQL語句執(zhí)行運(yùn)行按鈕SQL語句結(jié)果消息二,權(quán)限管理權(quán)限管理基本操作:授予權(quán)限收回權(quán)限拒絕權(quán)限數(shù)據(jù)庫權(quán)限管理是指DBA管理員或數(shù)據(jù)庫對象擁有者對其所擁有對象行權(quán)限控制設(shè)置。權(quán)限類別:數(shù)據(jù)庫系統(tǒng)權(quán)限數(shù)據(jù)庫對象訪問操作權(quán)限數(shù)據(jù)庫對象定義操作權(quán)限一.權(quán)限管理SQL語句GRANT<權(quán)限名>ON<對象名>TO{數(shù)據(jù)庫用戶名|用戶角色名};REVOKE<權(quán)限名>ON<對象名>FROM{數(shù)據(jù)庫用戶名|用戶角色名};DENY<權(quán)限名>ON<對象名>TO{數(shù)據(jù)庫用戶名|用戶角色名};二.權(quán)限管理實(shí)例例在三.七.一節(jié)地工程項(xiàng)目管理系統(tǒng),DBA管理員賦予員工用戶（userA）對部門表（Department）,員工表（Employee）,項(xiàng)目表（Project）與任務(wù)表（Assignment）地讀取數(shù)據(jù)權(quán)限。GRANTSELECTONDepartmentTOuserA;GRANTSELECTONEmployeeTOuserA;GRANTSELECTONProjectTOuserA;GRANTSELECTONAssignmentTOuserA;對用戶"userA"實(shí)現(xiàn)授權(quán)SQL程序如下用戶授權(quán)SQL語句執(zhí)行運(yùn)行按鈕SQL語句結(jié)果消息三,角色管理角色管理實(shí)現(xiàn)方式:執(zhí)行SQL語句管理角色通過GUI操作管理角色在DBMS,為了方便對眾多用戶及其權(quán)限行管理,通常將一組具有相同權(quán)限地用戶定義為角色(Role)。角色管理內(nèi)容:創(chuàng)建角色修改角色刪除角色一.角色管理SQL語句CREATEROLE<角色名>[[WITH]option[...]]; --創(chuàng)建角色ALTERROLE<角色名>[[WITH]option[...]]; --修改角色屬ALTERROLE<角色名>RENAMETO<新角色名>; --修改角色名稱ALTERROLE<角色名>SET<參數(shù)項(xiàng)>{TO|=}{value|DEFAULT}; --修改角色參數(shù)值A(chǔ)LTERROLE<角色名>RESET<參數(shù)項(xiàng)>; --復(fù)位角色參數(shù)值DROPROLE<角色名>; --刪除指定角色二.角色管理實(shí)例例在工程項(xiàng)目管理系統(tǒng),假定需要在ProjectDB數(shù)據(jù)庫內(nèi)創(chuàng)建經(jīng)理角色Role_Manager。該角色具有登錄權(quán)限（Login）與角色繼承權(quán)限（Inherit）系統(tǒng)權(quán)限,但它不是超級用戶（SuperUser）,不具有創(chuàng)建數(shù)據(jù)庫權(quán)限（CreateDB）,創(chuàng)建角色權(quán)限（CreateRole）,數(shù)據(jù)庫復(fù)制權(quán)限（Replication）,此外數(shù)據(jù)庫連接數(shù)（ConnectionLimit）不受限。CREATEROLE"Role_Manager"WITHLOGINNOSUPERUSERNOCREATEDBNOCREATEROLEINHERITNOREPLICATIONCONNECTIONLIMIT-一;角色創(chuàng)建SQL語句執(zhí)行運(yùn)行按鈕SQL語句結(jié)果消息三.角色權(quán)限授予例在創(chuàng)建好經(jīng)理角色Role_Manager后,還需要賦予該角色對數(shù)據(jù)庫表Department,Employee,Project,Assignment地插入,修改,刪除,查詢權(quán)限。GRANTSELECT,INSERT,UPDATE,DELETEONDepartmentTO"Role_Manager";GRANTSELECT,INSERT,UPDATE,DELETEONEmployeeTO"Role_Manager";GRANTSELECT,INSERT,UPDAT