資料庫中角色
❶ 為什麼要使用資料庫角色
不同的角色許可權不同,有管理員許可權,有組管理許可權,有用戶許可權。如果不定角色,每個用戶都有相同的許可權,那資料庫就會無法管理。
1.Public:全體用戶所共有的角色。如工廠中所有的工人都有進入工廠的許可權。
2.db_owner: 此角色允許用戶完全控制資料庫。
3.db_securityadmin:此角色的用戶允許管理所有的角色以及這些角色的成員。此角色也可以管理對角色許可權的分配。備註:但不能向已有的角色中增加用戶,但可以向創建的角色中添加用戶。
4.db_accessadmin:此角色用於賦予用戶在資料庫中添加或刪除用戶的權利。通常和db_securtiyadmin角色的連用,使用戶能有足夠管理用戶角色的許可權。
❷ 資料庫角色的簡介
在資料庫中,為便於對用戶及許可權進行管理,可以將一組具有相同許可權的用戶組織在一起,這一組具有相同許可權的用戶就稱為角色(Role)。角色類似於Windows操作系統安全體系中的組的概念。在實際工作中,有大量的用戶其許可權是一樣的,如果讓資料庫管理員在每次創建完用戶後都對每個用戶分別授權,則是一件非常麻煩的事情。但如果把具有相同許可權的用戶集中在角色中進行管理,則會方便很多。
為一個角色進行許可權管理就相當於對該角色中的所有成員進行操作。可以為有相同許可權的一類用戶建立一個角色,然後為角色授予合適的許可權。使用角色的好處是系統管理員只需對許可權的種類進行劃分,然後將不同的許可權授予不同的角色,而不必關心有哪些具體的用戶。而且當角色中的成員發生變化時,比如添加成員或刪除成員,系統管理員都無需做任何關於許可權的操作。
在SOL Server 2008中,角色分為預定義的系統角色和用戶定義角色兩種。同對,根據角色作用范圍的不同,系統角色又分為伺服器級角色(稱為固定伺服器角色)和資料庫級角色(稱為固定資料庫角色)。用戶定義的角色均是資料庫級角色。
❸ 資料庫,什麼是角色什麼是成員簡述角色和成員的作用。
你可以這樣想,角色相當於win的用戶組,它是一個成員的集合,可以自定義角色,舉例:資料庫擁有者dbowner;成員就是win的用戶,成員隸屬於某個角色或多個角色,舉例:dbo就是屬於dbowner的一個成員。
❹ 資料庫角色的注意
為了能初創資料庫系統,新建立的資料庫總是包含一個預定義的角色。 這個角色將總是超級用戶, 並且預設時(除非在運行 initdb 時更改過)他將和初始化該資料庫集群的用戶有相同的名稱。 通常,這個角色叫postgres。 為了創建更多角色,你必須首先以這個初始用戶角色聯接。
每一個和資料庫的連接都必須由一個角色身份進行, 這個角色決定在該連接上發出的命令的初始許可權。 和特定資料庫聯接的角色名是由初始化聯接請求的應用以相關的方式聲明的, 比如,psql 程序使用-U命令行選項聲明它代表的進行聯接的角色。 許多應用以當前操作系統的用戶名為預設(這樣的應用包括 createuser 和 psql)。 所以,在系統用戶和資料庫角色之間有某種命名關系會讓我們工作方便很多。
一個客戶端聯接可以用來聯接的資料庫角色集合是由客戶認證設置決定的, (因此,一個客戶端並不局限於以它的操作系統用戶同名的角色進行聯接, 就象你登錄系統的名稱不一定要是你的真實姓名一樣。) 因為角色的身份決定了一個已連接地客戶端可用的許可權, 所以在多用戶環境里仔細配置這些內容是非常重要的。
❺ ORACLE資料庫中的許可權和角色
ORACLE資料庫中的許可權和角色
Oracle資料庫是一種大型關系型的資料庫,我們知道當使用一個資料庫時,僅僅能夠控制哪些人可以訪問資料庫,哪些人不能訪問資料庫是無法滿足資料庫訪問控制的。DBA需要通過一種機制來限制用戶可以做什麼,不能做什麼,這在Oracle中可以通過為用戶設置許可權來實現。許可權就是用戶可以執行某種操作的權利。而角色是為了方便DBA管理許可權而引入的一個概念,它實際上是一個命名的許可權集合。
1 許可權
Oracle資料庫有兩種途徑獲得許可權,它們分別為:
① DBA直接向用戶授予許可權。
② DBA將許可權授予角色(一個命名的包含多個許可權的集合),然後再將角色授予一個或多個用戶。
使用角色能夠更加方便和高效地對許可權進行管理,所以DBA應該習慣於使用角色向用戶進行授予許可權,而不是直接向用戶授予許可權。
Oracle中的許可權可以分為兩類:
•系統許可權
•對象許可權
1.1 系統許可權
系統許可權是在資料庫中執行某種操作,或者針對某一類的對象執行某種操作的權利。例如,在資料庫中創建表空間的權利,或者在任何模式中創建表的權利,這些都屬於系統許可權。在Oracle9i中一共提供了60多種許可權。
系統許可權的權利很大,通常情況下:
① 只有DBA才應當擁有alter database系統許可權,該許可權允許用戶對資料庫物理結構和可用性進行修改。
② 應用程序開發者一般應該擁有Create Table、Create View和Create Type等系統許可權,用於創建支持前端的資料庫模式對象。
③ 普通用戶一般只具有Create session系統許可權(可以通過Connection角色獲得),只有Create Session系統許可權的用戶才能連接到資料庫
④ 只有具有Grant Any PRivilege系統許可權用戶,或者獲取了具有With Admin Option選項的系統許可權的用戶,才能夠成為其它用戶授予許可權。
1.2對象許可權
對象許可權是針對某個特定的模式對象執行操作的權利。只能針對模式對象來設置和管理對象許可權。
對於模式對象:表、視圖、序列、存儲過程、存儲函數、包都可以對象設置許可權。不同類型模式對象具有不同的對象許可權。比如,表、視圖等對象具有查詢(Select)、修改(Update)、刪除(Delete)等對象許可權,而存儲過程、存儲函數等對象則具有執行(Execute)等對象許可權。
但是並不是所有的模式對象都可以設置對象許可權。比如簇、索引、觸發器以及資料庫鏈接等模式就不具有對象許可權。這些模式對象的訪問控制是通過相應的.系統許可權來實現的,比如,要對索引進行修改,必須擁有Alter Any Index系統許可權。
用戶自動擁有他的模式中所有對象的全部對象許可權,他可以將這些對象許可權授予其他的用戶或角色。比如,Test1用戶創建了一個表Table1,在沒有授權的情況下,用戶Test2不能查詢、修改、刪除這個表。如果Test1將ETP表的Select對象許可權授予了Test2,則該用戶就可以查詢Table1表了。如果在為其它用戶授予對象許可權時用了With Grant Option選項,被授予許可權的用戶還可以將這個許可權在授予其他用戶。
2 角色
2.1角色的概念
角色就是多個相關許可權的命名集合。通過角色來進行對用戶授予許可權,可以大大簡化DBA的工作量。比如,處於統一部門中的30多個用戶都需要訪問資料庫中的一系列表,DBA可以將這些表的中合適的對象許可權授予一個角色,然後在把這個角色授予這些用戶,這樣進行操作要比為沒有用戶進行授權要便捷多了,而且要對這些用戶的許可權進行統一修改,只需要修改角色的許可權即可。
2.2角色的優點
通過角色為用戶授予許可權,而不是直接向各個用戶授權,具有以下優點:
•簡化許可權管理 DBA將用戶群分類,然後為每一類用戶創建角色,並將該角色授予這類用戶所需要的許可權,最後在將改角色授予該類中的各個用戶。這樣不僅簡化了授權操作,而且當這類用戶的許可權需求發生改變時,只需要把角色的許可權進行改動,而不必修改每一位用戶的許可權。
•動態許可權管理 角色可以被禁用或激活。當角色被禁止使用時,擁有該角色的用戶不再擁有授予改角色的許可權了。這樣就可以對多個用戶的許可權進行動態控制了。
•靈活的編程能力 角色是存儲在數據字典中的,並且可以為角色設置口令。這樣就能夠在應用程序中對角色進行控制。比如禁用或者激活等操作。
下面以Oracle9i為例,給出具體的實現用戶授權:
(1)設定各種角色,及其許可權
CREATE ROLE checkerrole DENTIFIEDBYxm361001;
CREATE ROLE defaultrole IDENTIFIEDBYdefaultrole;
GRANT SELECT,UPDATE ON
account.paytable TO checkerrole;
GRANT CONNECT TO defaultrole;
(2)創建用戶
CREATE USER xiaoli IDENTIFIEDBY xiaoli;
(3)授權
GRANT checkerrole TO xiaoli;
GRANT defaultrole TO xiaoli;
(4)設定用戶預設的角色
ALTER USER xiaoli DEFAULTROLE defaultrole;
(5)注冊過程
CONNECT xiaoli/xiaoli@oracle
此時用戶只有其預設角色的許可權。
(6)激活角色
SET ROLE checkerrole IDENTIFIEDBY xm361001;
----操作成功後,xiaoli擁有checkerrole的許可權。
----這里的角色和口令是固定的,在應用系統中可以由應用管理人員自行設置則更為方便安全
;