【数据库系统概念】实验三 安全性
1、实验目的
-
熟悉通过SQL对数据进行安全性控制。
-
完成书本上习题的上机练习。
2、实验工具KingbaseES
KingbaseES及其交互式查询工具ISQLW。
3、实验内容和要求
3.1 授权与回收
3.1.1 授权
在KingbaseES中建立多个用户,给他们赋予不同的权限,然后查看是否真正拥有被授予的权限了。
1)建立用户U1、U2、U3、U4、U5、U6、U7,密码均为123456
CREATE USER U1 WITH PASSWORD'123456';
CREATE USER U2 WITH PASSWORD'123456';
CREATE USER U3 WITH PASSWORD'123456';
CREATE USER U4 WITH PASSWORD'123456';
CREATE USER U5 WITH PASSWORD'123456';
CREATE USER U6 WITH PASSWORD'123456';
CREATE USER U7 WITH PASSWORD'123456';
2)以U1的身份进行查询
SELECT * FROM Student;
可以发现因权限不够而执行错误。
3)将查询Student表的权限赋予用户U1后再进行查询
此时可以得到正确的结果
4)将对Student表和Course表的全部操作权限赋予用户U2和U3,这次采用sql语句来实现:
(记得先返回用户System用户)
SET SESSION AUTHORIZATION SYSTEM;
GRANT ALL PRIVILEGES
ON TABLE Student,Course
TO U2,U3;
5)将对SC表的查询权限赋予所有用户
GRANT SELECT
ON TABLE SC
TO PUBLIC;
6)将查询Student表和修改学生学号的权限赋予用户U4
GRANT UPDATE(Sno),SELECT
ON TABLE Student
TO U4;
7)将对表SC的INSERT权限授予用户U5,并允许U5将此权限再授予其他用户
GRANT INSERT
ON TABLE SC
TO U5
WITH GRANT OPTION;
8)用户U5将对表SC的INSERT权限授予用户U6,并允许其将权限转授给其他用户。
SET SESSION AUTHORIZATION U5;
GRANT INSERT
ON TABLE SC
TO U6
WITH GRANT OPTION;
9)用户U6将对表SC的INSERT权限授予用户U7
SET SESSION AUTHORIZATION U6;
GRANT INSERT
ON TABLE SC
TO U7;
10)测试
用户U7向SC表中插入一条数据(1011,5,90)
SET SESSION AUTHORIZATION U7;
INSERT INTO SC(SNO,CNO,GRADE) VALUES(1011,5,90);
插入成功
3.1.2 回收权限
将3.1.1中授予的权限部分收回,检查回收后该用户是否真正丧失了对数据的相应权限。
1)收回用户U4对修改学生学号的权限
SET SESSION AUTHORIZATION SYSTEM;
REVOKE UPDATE(Sno)
ON TABLE Student
FROM U4;
2)收回所有用户对表SC的查询权限
REVOKE SELECT
ON TABLE SC
FROM PUBLIC;
3)收回用户U5对SC表的INSERT权限
将INSERT权限授予给用户U5时,允许该用户将权限再授予给其他用户;之后用户U5将INSERT权限转授给了用户U6,U6又将权限转授给U7 。因此,将用户U5的INSERT权限收回的时候必须级联收回,不然系统将拒绝执行该命令
REVOKE INSERT
ON TABLE SC
FROM U5 CASCADE;
执行完该命令后,用户U6从U5处获得的权限也将被收回,U7从U6处获得的权限同样也被收回。
4)测试
用户U3查询表SC
执行失败,证实了用户U3失去了对表SC查询的权限。
用户U6向表SC中插入一条记录(1012,6,88)
执行失败,证实了用户U6失去了从用户U5处获得的对表SC插入数据的权限。
3.2 数据库用户组
创建用户组G1后,给G1授权,使得G1拥有对Student表的SELECT、UPDATE、INSERT的权限
SET SESSION AUTHORIZATION SYSTEM;
CREATE GROUP G1;
GRANT SELECT,UPDATE,INSERT ON TABLE Student TO GROUP G1;
将用户U1、U3、U7添加到G1中,U1、U3、U7就拥有了G1拥有的所有权限。
ALTER GROUP G1
ADD USER U1,U3,U7;
对用户组G1的权限进行修改,增加对Student表的DELETE权限,并回收对Student表的INSERT权限
GRANT DELETE ON TABLE Student TO GROUP G1;
REVOKE INSERT ON TABLE Student FROM GROUP G1;
删除用户组G1
DROP GROUP G1;
只有在当前数据库上拥有DBA权限或拥有相应权限的用户才能删除用户组
4、出现的问题及解决方案
一开始不知道如何选择用户,后来和同学交流后得知了两种方法,一种是注册新实例,以不用的账号密码登录
另一种是采用SET SESSION AUTHORIZATION SYSTEM;语句,其中SYSTEM可以替换成其他用户名。
