【数据库系统概念】实验三安全性

1、实验目的

熟悉通过SQL对数据进行安全性控制。
完成书本上习题的上机练习。

2、实验工具KingbaseES

KingbaseES及其交互式查询工具ISQLW。

3、实验内容和要求

3.1 授权与回收

3.1.1 授权

在KingbaseES中建立多个用户，给他们赋予不同的权限，然后查看是否真正拥有被授予的权限了。

1）建立用户U1、U2、U3、U4、U5、U6、U7，密码均为123456

CREATE USER U1 WITH PASSWORD'123456';
CREATE USER U2 WITH PASSWORD'123456';
CREATE USER U3 WITH PASSWORD'123456';
CREATE USER U4 WITH PASSWORD'123456';
CREATE USER U5 WITH PASSWORD'123456';
CREATE USER U6 WITH PASSWORD'123456';
CREATE USER U7 WITH PASSWORD'123456';

2）以U1的身份进行查询

SELECT * FROM Student;

可以发现因权限不够而执行错误。

3）将查询Student表的权限赋予用户U1后再进行查询

此时可以得到正确的结果

4）将对Student表和Course表的全部操作权限赋予用户U2和U3，这次采用sql语句来实现：

（记得先返回用户System用户）

SET SESSION AUTHORIZATION SYSTEM;
GRANT ALL PRIVILEGES
ON TABLE Student,Course
TO U2,U3;

5）将对SC表的查询权限赋予所有用户

GRANT SELECT
ON TABLE SC
TO PUBLIC;

6）将查询Student表和修改学生学号的权限赋予用户U4

GRANT UPDATE(Sno),SELECT
ON TABLE Student
TO U4;

7）将对表SC的INSERT权限授予用户U5，并允许U5将此权限再授予其他用户

GRANT INSERT
ON TABLE SC
TO U5
WITH GRANT OPTION;

8）用户U5将对表SC的INSERT权限授予用户U6，并允许其将权限转授给其他用户。

SET SESSION AUTHORIZATION U5;
GRANT INSERT
ON TABLE SC
TO U6
WITH GRANT OPTION;

9）用户U6将对表SC的INSERT权限授予用户U7

SET SESSION AUTHORIZATION U6;
GRANT INSERT
ON TABLE SC
TO U7;

10）测试

用户U7向SC表中插入一条数据（1011，5，90）

SET SESSION AUTHORIZATION U7;
INSERT INTO SC(SNO,CNO,GRADE) VALUES(1011,5,90);

插入成功

3.1.2 回收权限

将3.1.1中授予的权限部分收回，检查回收后该用户是否真正丧失了对数据的相应权限。

1）收回用户U4对修改学生学号的权限

SET SESSION AUTHORIZATION SYSTEM;
REVOKE UPDATE(Sno)
ON TABLE Student
FROM U4;

2）收回所有用户对表SC的查询权限

REVOKE SELECT
ON TABLE SC
FROM PUBLIC;

3）收回用户U5对SC表的INSERT权限

将INSERT权限授予给用户U5时，允许该用户将权限再授予给其他用户；之后用户U5将INSERT权限转授给了用户U6，U6又将权限转授给U7 。因此，将用户U5的INSERT权限收回的时候必须级联收回，不然系统将拒绝执行该命令

REVOKE INSERT 
ON TABLE SC
FROM U5 CASCADE;

执行完该命令后，用户U6从U5处获得的权限也将被收回，U7从U6处获得的权限同样也被收回。

4）测试

用户U3查询表SC

执行失败，证实了用户U3失去了对表SC查询的权限。

用户U6向表SC中插入一条记录（1012，6，88）

执行失败，证实了用户U6失去了从用户U5处获得的对表SC插入数据的权限。

3.2 数据库用户组

创建用户组G1后，给G1授权，使得G1拥有对Student表的SELECT、UPDATE、INSERT的权限

SET SESSION AUTHORIZATION SYSTEM;
CREATE GROUP G1;
GRANT SELECT,UPDATE,INSERT ON TABLE Student TO GROUP G1;

将用户U1、U3、U7添加到G1中，U1、U3、U7就拥有了G1拥有的所有权限。

ALTER GROUP G1 
ADD USER U1,U3,U7;

对用户组G1的权限进行修改，增加对Student表的DELETE权限，并回收对Student表的INSERT权限

GRANT DELETE ON TABLE Student TO GROUP G1;
REVOKE INSERT ON TABLE Student FROM GROUP G1;

删除用户组G1

DROP GROUP G1;

只有在当前数据库上拥有DBA权限或拥有相应权限的用户才能删除用户组

4、出现的问题及解决方案

一开始不知道如何选择用户，后来和同学交流后得知了两种方法，一种是注册新实例，以不用的账号密码登录

另一种是采用SET SESSION AUTHORIZATION SYSTEM;语句，其中SYSTEM可以替换成其他用户名。

【数据库系统概念】实验三 安全性