數(shù)據(jù)庫系統(tǒng)管理與應(yīng)用 課件 知識點6.3 權(quán)限管理

達夢數(shù)據(jù)庫權(quán)限管理數(shù)據(jù)庫系統(tǒng)管理與應(yīng)用

習(xí)標學(xué)目用戶權(quán)限類型01數(shù)據(jù)庫權(quán)限管理02對象權(quán)限管理03用戶權(quán)限類型01數(shù)據(jù)庫權(quán)限對象權(quán)限用戶權(quán)限類型數(shù)據(jù)庫權(quán)限主要是指針對數(shù)據(jù)庫對象的創(chuàng)建、刪除、修改的權(quán)限，對數(shù)據(jù)庫備份等權(quán)限，數(shù)據(jù)庫權(quán)限一般由SYSDBA、SYSAUDITOR和SYSSSO指定，也可以由具有特權(quán)的其他用戶授予。對象權(quán)限主要是指對數(shù)據(jù)庫對象中的數(shù)據(jù)的訪問權(quán)限，對象權(quán)限一般由數(shù)據(jù)庫對象的所有者授予用戶，也可由SYSDBA用戶指定，或者由具有該對象權(quán)限的其他用戶授予。數(shù)據(jù)庫權(quán)限管理0201數(shù)據(jù)庫權(quán)限數(shù)據(jù)庫權(quán)限管理數(shù)據(jù)庫權(quán)限是與數(shù)據(jù)庫安全相關(guān)的權(quán)限，其權(quán)限范圍比對象權(quán)限更加廣泛，因而一般被授予數(shù)據(jù)庫管理員或者一些具有管理功能的角色。數(shù)據(jù)庫權(quán)限與達夢預(yù)定義角色有著重要的聯(lián)系，一些數(shù)據(jù)庫權(quán)限由于權(quán)力較大，只集中在幾個達夢系統(tǒng)預(yù)定義角色中，且不能轉(zhuǎn)授。達夢數(shù)據(jù)庫提供了100余種數(shù)據(jù)庫權(quán)限，下面介紹最常用的幾種數(shù)據(jù)庫權(quán)限。數(shù)據(jù)庫權(quán)限管理數(shù)據(jù)庫權(quán)限說明CREATETABLE在自己的模式中創(chuàng)建表的權(quán)限CREATEVIEW在自己的模式中創(chuàng)建視圖的權(quán)限CREATEUSER創(chuàng)建用戶的權(quán)限CREATETRIGGER在自己的模式中創(chuàng)建觸發(fā)器的權(quán)限ALTERUSER修改用戶的權(quán)限ALTERDATABASE修改數(shù)據(jù)庫的權(quán)限CREATEPROCEDURE在自己模式中創(chuàng)建存儲程序的權(quán)限常用數(shù)據(jù)庫權(quán)限數(shù)據(jù)庫權(quán)限管理數(shù)據(jù)庫權(quán)限說明數(shù)據(jù)庫權(quán)限說明CREATETABLE創(chuàng)建表的權(quán)限D(zhuǎn)ELETEANYTABLE刪除任意表記錄的權(quán)限CREATEANYTABLE在任意模式下創(chuàng)建表的權(quán)限SELECTTABLE查詢表記錄的權(quán)限ALTERANYTABLE修改任意表的權(quán)限SELECTANYTABLE查詢?nèi)我獗碛涗浀臋?quán)限D(zhuǎn)ROPANYTABLE刪除任意表的權(quán)限REFERENCESTABLE引用表的權(quán)限INSERTTABLE插入表記錄的權(quán)限REFERENCESANYTABLE引用任意表的權(quán)限INSERTANYTABLE向任意表插入記錄的權(quán)限D(zhuǎn)UMPTABLE導(dǎo)出表的權(quán)限UPDATETABLE更新表記錄的權(quán)限D(zhuǎn)UMPANYTABLE導(dǎo)出任意表的權(quán)限UPDATEANYTABLE更新任意表記錄的權(quán)限GRANTTABLE向其他用戶進行表上權(quán)限授予的權(quán)限D(zhuǎn)ELETETABLE刪除表記錄的權(quán)限GRANTANYTABLE向其他用戶進行任意表上權(quán)限授予的權(quán)限與表對象相關(guān)的數(shù)據(jù)庫權(quán)限數(shù)據(jù)庫權(quán)限管理與存儲程序?qū)ο笙嚓P(guān)的數(shù)據(jù)庫權(quán)限數(shù)據(jù)庫權(quán)限說明CREATEPROCEDURE創(chuàng)建存儲程序的權(quán)限CREATEANYPROCEDURE在任意模式下創(chuàng)建存儲程序的權(quán)限D(zhuǎn)ROPPROCEDURE刪除存儲程序的權(quán)限D(zhuǎn)ROPANYPROCEDURE刪除任意存儲程序的權(quán)限EXECUTEPROCEDURE執(zhí)行存儲程序的權(quán)限EXECUTEANYPROCEDURE執(zhí)行任意存儲程序的權(quán)限GRANTPROCEDURE向其他用戶進行存儲程序上權(quán)限授予的權(quán)限GRANTANYPROCEDURE向其他用戶進行任意存儲程序上權(quán)限授予的權(quán)限02使用SQL語句進行數(shù)據(jù)庫權(quán)限管理--數(shù)據(jù)庫權(quán)限的授予數(shù)據(jù)庫權(quán)限管理語法格式：GRANT<特權(quán)>TO<用戶或角色>{,<用戶或角色>}[WITHADMINOPTION];各子句使用說明如下：<特權(quán)>::=<數(shù)據(jù)庫權(quán)限>{,<數(shù)據(jù)庫權(quán)限>};<用戶或角色>::=<用戶名>|<角色名>語句使用說明：授權(quán)者必須具有對應(yīng)的數(shù)據(jù)庫權(quán)限以及其轉(zhuǎn)授權(quán)；接受者必須與授權(quán)者用戶類型一致；如果有WITHADMINOPTION選項，接受者可以再把這些權(quán)限轉(zhuǎn)授給其他用戶/角色。03使用SQL語句進行數(shù)據(jù)庫權(quán)限管理--數(shù)據(jù)庫權(quán)限的回收數(shù)據(jù)庫權(quán)限管理語法格式：REVOKE[ADMINOPTIONFOR]<特權(quán)>FROM<用戶或角色>{,<用戶或角色>};各子句使用說明如下：<特權(quán)>::=<數(shù)據(jù)庫權(quán)限>{,<數(shù)據(jù)庫權(quán)限>}<用戶或角色>::=<用戶名>|<角色名>語句使用說明：權(quán)限回收者必須是具有回收相應(yīng)數(shù)據(jù)庫權(quán)限以及轉(zhuǎn)授權(quán)的用戶；ADMINOPTIONFOR選項的含義是取消用戶或角色的轉(zhuǎn)授權(quán)限，但是權(quán)限不回收。04使用DM管理工具進行數(shù)據(jù)庫權(quán)限管理數(shù)據(jù)庫權(quán)限管理登錄DM管理工具，展開【用戶】-【管理用戶】節(jié)點，在需要設(shè)置權(quán)限的用戶上右鍵單擊【修改】選項，在打開的“修改用戶”窗口左側(cè)選擇“系統(tǒng)權(quán)限”選項，在右側(cè)的“系統(tǒng)權(quán)限”列表，在對應(yīng)的“權(quán)限”名稱上，勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作。如圖所示。對象權(quán)限管理0301對象權(quán)限對象權(quán)限管理數(shù)據(jù)庫對象類型對象權(quán)限表視圖存儲程序包類類型序列目錄域SELECT√√

√

INSERT√√

DELETE√√

UPDATE√√

REFERENCES√

DUMP√

EXECUTE

√√√√

√

READ

√

WRITE

√

USAGE

√對象權(quán)限主要是指對數(shù)據(jù)庫對象中的數(shù)據(jù)的訪問權(quán)限，主要授予需要對某個數(shù)據(jù)庫對象的數(shù)據(jù)進行操作的普通用戶。達夢數(shù)據(jù)庫常用的數(shù)據(jù)庫對象權(quán)限02使用SQL語句進行對象權(quán)限管理--對象權(quán)限的授予對象權(quán)限管理語法格式：GRANT<特權(quán)>ON[<對象類型>]<對象>TO<用戶或角色>{,<用戶或角色>}[WITHGRANTOPTION];各子句使用說明：<特權(quán)>::=ALL[PRIVILEGES]|<動作>{,<動作>}<動作>::=SELECT[(<列清單>)]|INSERT[(<列清單>)]|UPDATE[(<列清單>)]|DELETE|REFERENCES[(<列清單>)]|EXECUTE|READ|WRITE|USAGE|INDEX|ALTER<列清單>::=<列名>{,<列名>}<對象類型>::=TABLE|VIEW|PROCEDURE|PACKAGE|CLASS|TYPE|SEQUENCE|DIRECTORY|DOMAIN<對象>::=[<模式名>.]<對象名><對象名>::=<表名>|<視圖名>|<存儲過程/函數(shù)名>|<包名>|<類名>|<類型名>|<序列名>|<目錄名>|<域名><用戶或角色>::=<用戶名>|<角色名>語句使用說明：授權(quán)者必須是具有對應(yīng)對象權(quán)限以及其轉(zhuǎn)授權(quán)的用戶；如未指定對象的<模式名>，模式為授權(quán)者所在的模式。DIRECTORY為非模式對象，沒有模式；如設(shè)定了對象類型，則該類型必須與對象的實際類型一致，否則會報錯；帶WITHGRANTOPTION授予權(quán)限給用戶時，則接受權(quán)限的用戶可轉(zhuǎn)授此權(quán)限；不帶列清單授權(quán)時，如果對象上存在同類型的列權(quán)限，會全部自動合并；對于用戶所在的模式的表，用戶具有所有權(quán)限而不需特別指定；INDEX動作向其他用戶授予指定表的創(chuàng)建和刪除索引（包含全文索引）的權(quán)限；ALTER動作僅支持向其他用戶授予指定表的修改權(quán)限；當授權(quán)語句中使用了ALLPRIVILEGES時，會將指定的數(shù)據(jù)庫對象上所有的對象權(quán)限都授予被授權(quán)者。03使用SQL語句進行對象權(quán)限管理--對象權(quán)限的回收對象權(quán)限管理語法格式：REVOKE[GRANTOPTIONFOR]<特權(quán)>ON[<對象類型>]<對象>FROM<用戶或角色>{,<用戶或角色>}[<回收選項>];各子句使用說明：<特權(quán)>::=ALL[PRIVILEGES]|<動作>{,<動作>}<動作>::=SELECT|INSERT|UPDATE|DELETE|REFERENCES|EXECUTE|READ|WRITE|USAGE|INDEX|ALTER<對象類型>::=TABLE|VIEW|PROCEDURE|PACKAGE|CLASS|TYPE|SEQUENCE|DIRECTORY|DOMAIN<對象>::=[<模式名>.]<對象名><對象名>::=<表名>|<視圖名>|<存儲過程/函數(shù)名>|<包名>|<類名>|<類型名>|<序列名>|<目錄名>|<域名><用戶或角色>::=<用戶名>|<角色名><回收選項>::=RESTRICT|CASCADE語句使用說明：權(quán)限回收者必須是具有回收相應(yīng)對象權(quán)限以及轉(zhuǎn)授權(quán)的用戶；回收時不能帶列清單，若對象上存在同類型的列權(quán)限，則一并被回收；使用GRANTOPTIONFOR選項的目的是回收用戶或角色權(quán)限轉(zhuǎn)授的權(quán)利，而不回收用戶或角色的權(quán)限；并且GRANTOPTIONFOR選項不能和RESTRICT一起使用，否則會報錯；在回收權(quán)限時，設(shè)定不同的回收選項，其意義不同。具體如下：若不設(shè)定回收選項，無法回收授予時帶WITHGRANTOPTION的權(quán)限，但也不會檢查要回收的權(quán)限是否存在限制；若設(shè)定為RESTRICT，無法回收授予時帶WITHGRANTOPTION的權(quán)限，也無法回收存在限制的權(quán)限，如角色上的某權(quán)限被別的用戶用于創(chuàng)建視圖等；若設(shè)定為CASCADE，可回收授予時帶或不帶WITHGRANTOPTION的權(quán)限，若帶WITHGRANTOPTION還會引起級聯(lián)回收。利用此選項時也不會檢查權(quán)限是否存在限制。另外，利用此選項進行級聯(lián)回收時，若被回收對象上存在另一條路徑授予同樣權(quán)限給該對象時，則僅需回收當前權(quán)限。04使用DM管理工具進行對象權(quán)限管理對象權(quán)限管理登錄DM管理工具，展開【用戶】-【管理用戶】節(jié)點，在需要設(shè)置對象權(quán)限的用戶上右鍵單擊【修改】選項，在打開的“修改用戶”窗口左側(cè)選擇“對象權(quán)限”選項，在中間的“對象權(quán)限”列表部分選擇要進行權(quán)限設(shè)置的對象，在窗口右側(cè)對應(yīng)的“權(quán)限”名稱上勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作，“權(quán)限回收方式”可以選擇“