存取控制——GRANT/ REVOKE / AUDIT
自主存取控制
定义用户在哪些数据库对象上可以进行哪些操作
1.GRANT——授予
语句:
GRANT <权限>[,<权限>]...
ON <对象类型> <对象名>[,<对象类型> <对象名>]...
TO <用户>[,<用户>]...
[WITH GRANT OPTION];
将在某个对象上的某种权限授予某个用户。WITH GRANT OPTION用于指定该用户是否能传播该权限。
【创建用户】
先创建以下例题中要用到的用户U1~U7
①【数据库】—【安全性】—【用户】,右键,新建用户
错误原因 : 这个登录名下已经有了之前做实验创建的WANG用户。
解决办法: 选择其他的登录名。
没有登录名的用户,不可以登录,但是可以被授予权限,每一个登录名下
SQL Server中“登录”与“用户”的区别:“登录”用于用户身份验证,而数据库“用户”帐户用于数据库访问和权限验证。登录通过安全识别符 (SID) 与用户关联。
以下图片为所查询资料,来源于百度知道。
由以上资料可以知道:每一个登录名在同一个数据库中只能映射到一个用户上,这也就是为什么上面创建错误了,选择另一个就可以解决。
①用SQL语句建立:
直接输入:
CREATE USER U1;
会产生错误,原因是没有指定登录名
建立没有登录名的用户,就不会产生错误
CREATE USER U1 WITHOUT LOGIN;
CREATE USER U2 WITHOUT LOGIN;
CREATE USER U3 WITHOUT LOGIN;
CREATE USER U4 WITHOUT LOGIN;
CREATE USER U5 WITHOUT LOGIN;
CREATE USER U6 WITHOUT LOGIN;
CREATE USER U7 WITHOUT LOGIN;
这里是如何创建登录名和用户:https://blog.csdn.net/yenange/article/details/88670414
【例4.1】把查询Student表的权限授予用户U1
GRANT SELECT
ON TABLE Student
TO U1;
去掉TABLE
GRANT SELECT
ON Student
TO U1;
【例4.2】把对Student表和Course表的所有权限授予U2,U3
GRANT ALL PRIVILEGES
ON Student,Course
TO U2,U3;
ERROR:Incorrect syntax near ‘,’.
修改:
GRANT ALL PRIVILEGES
ON Student
TO U2,U3;
GRANT ALL PRIVILEGES
ON Course
TO U2,U3;
点开用户,权限授予成功
但会产生如下提示:
The ALL permission is deprecated and maintained only for compatibility. It DOES NOT imply ALL permissions
ALL权限已弃用,仅为兼容性而维护。它并不意味着所有的权限
【例4.3】把对表SC的查询权限授予所有用户
GRANT SELECT
ON SC
TO PUBLIC;
所有用户 —— PUBLIC
【例4.4】把查询Student表和修改学生学号的权限授给用户U4
GRANT SELECT,UPDATE(Sno)
ON Student
TO U4;
对属性列的授权必须指定列名。
【例4.5】把对表SC的INSERT权限授予U5用户,并允许他再将此权限授予其他用户。
GRANT INSERT
ON SC
TO U5
WITH GRANT OPTION;
【例4.6】U5可将权限传给U6
GRANT INSERT
ON SC
TO U6
WITH GRANT OPTION;
U6仍有传播权限的权利
【例4.7】U6将权限传给U7
GRANT INSERT
ON SC
TO U7;
但U7没有传播权限的权利。
这里4.6和4.7应该是要分别以U5用户和U6用户的身份登录后再执行以上语句,才会实现用户对用户授权的操作,不然就是系统管理员授予U6,U7权利,与之前的没有什么不同。(但这里我不会登录U5,emmm,他没有登录名,应该无法登陆叭…)
2.REVOKE —— 回收
语句:
REVOKE <权限>[,<权限>]...
ON <对象类型> <对象名>[,<对象类型> <对象名>]...
FROM <用户>[,<用户>]...[CASCADE|RESTRICT];
【例4.8】把用户U4修改学生学号的权限收回
REVOKE UPDATE(Sno)
ON Student
FROM U4;
【例4.9】收回所有用户对表SC的查询权限
REVOKE SELECT
ON SC
FROM PUBLIC;
【例4.10】把用户U5对SC表的INSERT权限收回
REVOKE INSERT
ON SC
FROM U5;
该语句没有标明CASCADE,所以无法执行。
修改:
REVOKE INSERT
ON SC
FROM U5 CASCADE;
这样系统会同时收回U5的权限以及U5授予的权限,如果U6或U7有从其他用户得到的INSERT的权限,则不予收回。
看了一下,加了CASCADE,U6的权限仍会存在,原因应该就是在【例4.6】的时候是直接输入的语句,是系统管理员授予,而不是用户U5授予的。
3.ROLE —— 角色
角色是被命名的一组与数据库相关的权限,可以为一组具有相同权限的用户创建一个角色,简化授权过程。
(1)创建角色
CREATE ROLE <角色名>;
可以给角色授权,一个角色可以给其他角色或用户授权(WITH ADMIN OPTION)。
(2)直接给角色授权
GRANT <权限>[,<权限>]...
ON <对象类型> <对象名>
TO <角色>[,<角色>]...
(3)角色给其他角色或用户授权
GRANT <角色1>[,<角色2>]...
TO <角色3>[,<用户1>]...
[WITH ADMIN OPTION];
这里传播,是指将角色1,2的所有权限都授予角色3或用户1。
WITH ADMIN OPTION指得到权限的角色或用户可以继续授予权限给其他角色。
一个角色的权限 = 直接授予该角色的权限 + 其他角色授予该角色的权限
(4)角色权限的收回
REVOKE <权限>[,<权限>]...
ON <对象类型> <对象名>
FROM <角色>[,<角色>]...;
【例4.11】通过角色实现将一组权限授予一个用户
--创建角色
CREATE ROLE R1;
--将Student表的SELECT、UPDATE、INSERT授予角色R1
GRANT SELECT,UPDATE,INSERT
ON Student
TO R1;
--将这个角色授予王平,张明,赵玲
--先创建这三个用户
CREATE USER 王平 WITHOUT LOGIN;
CREATE USER 张明 WITHOUT LOGIN;
CREATE USER 赵玲 WITHOUT LOGIN;
--角色授予用户
GRANT R1
TO 王平,张明,赵玲;
--出现错误
有错误,查看老师博客中所供网址得到:
向角色中添加或删除用户用ALTER:
--以上错误语句改为如下:
ALTER ROLE R1 ADD MEMBER 王平;
ALTER ROLE R1 ADD MEMBER 张明;
ALTER ROLE R1 ADD MEMBER 赵玲;
好像是不可以直接添加三个用户,会说‘,’附近有错误。我还尝试把MEMBER改为复数,也是无效的,还是会有错。所以应该只是可以添加一个用户。
--一次性通过R1收回王平的这三个权限:
REVOKE R1
FROM 王平;
--这个在SQL中运行也会出现错误
--修改
ALTER ROLE R1 DROP 王平;
--将王平移出角色R1
【例4.12】角色的权限修改
GRANT DELETE
ON Student
TO R1;
【例4.13】
REVOKE SELECT
ON Student
FROM R1;
【与教材上的不同】
1.ON后面不需要加对象类型TABLE
2.在角色为其他角色或用户授权时,SQL Server上采用为角色添加或删除(ADD/DROP)用户,达到授权和收回。
AUDIT及其他内容,下一次在写。