Security2:角色和权限
权限的授予分为三部分:权限(Permission),安全对象(Securable)和安全主体(Principal),这三个术语之间的关系是:Grant Permission on Securable to Principal,通俗地解释是:授予Principal操作Securable的Permission。Principal是被授予权限的实体,Securable是table,view等对象,是Principal操作的对象;有时Principal也会作为Securable,被其他Principal操纵。
一,Role 作为 Principal,被授予权限
查看Permission列表,点击:Permissions (Database Engine),这里列出的是单个权限(Individual permission),role 是权限的集合。
1, 创建角色
Role分为数据库角色和服务器角色,AUTHORIZATION owner_name 子句用于指定角色Owner
CREATE ROLE role_name
AUTHORIZATION owner_nameCREATE SERVER ROLE role_name
AUTHORIZATION server_principal
角色的所有者,在删除所有者之前,必须修改角色的所有者关系,经常把角色的所有者设置为dbo:
ALTER AUTHORIZATION
ON ROLE::[role_name] TO [dbo]
如果数据库用户拥有一个role,在删除用户时,数据库将抛出错误:
The database principal owns a database role and cannot be dropped.
2,将权限授予角色,角色是权限的集合
Role作为一个Principal,可以使用Grant子句为role授予权限,这里为role授予Object的Permissions
GRANT <permission> [ ,...n ]
ON [ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]
TO <database_principal> [ ,...n ]
[ WITH GRANT OPTION ]<database_principal> ::= Database_user | Database_role
3,为角色增加或删除一个用户成员
ALTER [Server] ROLE role_name
{[ ADD MEMBER database_principal ]| [ DROP MEMBER database_principal ]
}
4,示例,授予数据库角色访问table的权限
grant ALTER,DELETE,INSERT,SELECT,UPDATE --Permission List
on dbo.dt_test --Table Name
to dabase_level_role --Role Name
with GRANT OPTION
二,Role 作为Securable,Principal授予操纵Role的权限
Role 可以是数据库的安全主体(Principal),被授予权限;Role可以是数据库的安全对象(Securable),Grant子句可以授予Principal操纵Role的权限。
GRANT permission [ ,...n ] ON { [ USER :: database_user ]| [ ROLE :: database_role ]}TO <database_principal> [ ,...n ][ WITH GRANT OPTION ]<database_principal> ::= Database_user | Database_role
1,Granting CONTROL permission on a user to another user
GRANT CONTROL
ON USER::Wanida
TO RolandX;
2,Granting VIEW DEFINITION permission on a role to a user with GRANT OPTION
GRANT VIEW DEFINITION
ON ROLE::SammamishParking TO JinghaoLiu WITH GRANT OPTION;
三,数据库对象权限
对数据库对象的权限控制,粒度是表列,数据行是对象的所有数据行。
GRANT <permission> [ ,...n ] ON [ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ][ AS <database_principal> ]<database_principal> ::= Database_user | Database_role
对象的权限列表:
- Scalar function permissions: EXECUTE, REFERENCES.
- Table-valued function permissions: DELETE, INSERT, REFERENCES, SELECT, UPDATE.
- Stored procedure permissions: EXECUTE.
- Table permissions: DELETE, INSERT, REFERENCES, SELECT, UPDATE.
- View permissions: DELETE, INSERT, REFERENCES, SELECT, UPDATE.
1,Granting SELECT permission on a table
GRANT SELECT ON OBJECT::Person.Address TO RosaQdM;
2,Granting EXECUTE permission on a stored procedure
GRANT EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfoTO Recruiting11;
四,使用固定数据库角色授权,授予某个User只读数据的权限
Step1,在SQL Server中为该用户创建一个Login和User,在创建User时,建立Login 和 User 之间的Mapping 关系。
由于权限是授予user的,所以必须使用Use 子句切换到当前db中
--create Login Name
create login [domain\login]
from windows;use current_db_name
go
--create --UserName
Create User DWReadOnly
for login [domain\login]
Step2,使用DB的Fixed Role
db_datareader :Members of the db_datareader fixed database role can read all data from all user tables.
只需要将User 添加到DB的 db_datareader 中,那么这个User 就能 只能 read 所有的User table,而不会修改任何数据。
step3,使用Alter Role 授予user 只读权限
--Grant readonly
ALTER ROLE [db_datareader]
add MEMBER DWReadOnly
如果要授予Server Role(服务器角色)权限,授予权限的Principal 是Login。
create login [domain\username]
from windows;alter server role sysadmin
add member [domain\username];
五,固定角色
固定角色分为服务器级别和数据库级别,角色的权限是预先定义好的,除了public角色之外,不能修改角色的权限。
1,数据库级别的固定角色
在数据库级别最高的权限是db_owner角色,拥有数据库的最高权限:control database
- db_owner:允许在数据库中执行任何操作,包括删除数据库
- db_ddladmin:允许执行DDL命令
- db_datawriter:允许对所有表进行增删改查操作
- db_datareader:允许对所有表进行查找操作
- db_denydatawriter:不允许对表执行insert、update和delete命令
- db_denydatareader:不允许对表执行select命令
- public:数据库级别的public角色,权限可以被修改,所有的用户都会继承public角色的权限
2,服务器级别的固定角色
在服务器级别,最高的权限是sysadmin,能够在服务器中执行任何操作。
public 角色,权限可以被修改,所有的login都会继承public角色的权限
3,特殊的public角色
public角色分为:数据库级别和服务器级别
- 对于数据库级别的public角色,任何数据库的用户(User)都属于public角色
- 对于服务器级别的public角色,任何服务器的登录(Login)都属于public角色
虽然public角色属于固定(服务器级别和固定数据库级别)的角色,但是其特殊之处在于:角色的权限可以被修改。
每个 SQL Server 的登录(Login)均属于 public 服务器角色,所有的数据库用户(User) 都属于public数据库角色。用户不能删除public角色,但是,可以授予或收回public角色的权限。默认情况下,public角色被分配很多权限,大部分权限都跟数据库中的日常操作有关。默认情况下,
- 数据库级别的public 角色拥有的权限:查看特定系统表
- 服务器级别的public 角色拥有的权限:查看数据库,链接服务器(VIEW ANY DATABASE, CONNECT)
当一个对象对所有用户或登录可用时,只需把权限分配给 public 角色即可。默认情况下,所有的数据库用户都属于public角色,因此,授予或回收public角色的权限,将会影响所有的用户。
参考文档:
GRANT Object Permissions (Transact-SQL)
GRANT Database Principal Permissions (Transact-SQL)
GRANT Database Permissions (Transact-SQL)
Database-Level Roles
Server-Level Roles
Security2:角色和权限相关推荐
- 使用 Shiro 设计基于用户、角色、权限的通用权限管理系统
一.前言 在大型的信息管理系统中,经常涉及到权限管理系统 下面来个 demo,很多复杂的系统的设计都来自它 代码已经放到github上了,地址:https://github.com/larger5/s ...
- ASP.NET.4.5.1+MVC5.0系统角色和权限讲解
细说ASP.NET.4.5.1+MVC5.0系统角色和权限 MVC全名是Model View Controller,是模型(model)-视图(view)-控制器(controller)的缩写,一种软 ...
- 基于角色的权限设计(一)
在任何系统中,权限设计是最基础的东西,本文给出一个基于角色的权限设计的循序渐进的设计方案. 在权限系统中,功能(权限)是最小的单位,比如起草新闻.编辑新闻.审核新闻.删除新闻等,而角色是一类功能的集合 ...
- Django 基于角色的权限控制
有一种场景, 要求为用户赋予一个角色, 基于角色(比如后管理员,总编, 编辑), 用户拥有相应的权限(比如管理员拥有所有权限, 总编可以增删改查, 编辑只能增改, 有些页面的按钮也只有某些角色才能查看 ...
- RBAC(Role-Based Access Control,基于角色的权限访问控制)—权限管理设计
RBAC模型的核心是在用户和权限之间引入了角色的概念,将用户和权限进行解耦,采用用户确定角色,角色分配权限,进而间接达到给用户分配角色的目的 这样采用的方式优点在于 (1)降低管理成本--由于一个角色 ...
- springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户.角色.权限管理 本文细分角色和权限,并将用户.角色.权限和资源均采用数据库存储,并且自定义 ...
- 部门角色权限rbac_k8s十 | 一文读懂基于角色的权限控制RBAC
一.ServiceAccount . 1. ServiceAccount 介绍 首先Kubernetes中账户区分为:User Accounts(用户账户) 和 Service Accounts(服务 ...
- 用户、角色和权限,多表查询
一,各个表格 1.用户表 CREATE TABLE `t_user` ( `id` varchar(40) NOT NULL, `username` varchar(20) NOT NULL, PRI ...
- Spring Security基于角色的权限管理
1.Spring Security 1.1核心领域概念 认证(Authentication):认证是建立主体(principal)的过程. 主体通常是指在应用程序中执行操作的用户.设备或其他系统 授权 ...
最新文章
- Hive Metastore 连接报错
- ST17H26之125KHz产生
- windows上不同版本的CUDA、cudnn是否能够共用?
- 面试必问,如何控制多个线程的执行顺序
- 非二进制字符串数据:CHAR,VARCHAR,TEXT
- JavaScript之面向对象学习六原型模式创建对象的问题,组合使用构造函数模式和原型模式创建对象...
- RedAlert简介
- 如何将微商管理模式流程化
- CxImage图像库的使用
- Cadence Orcad Capture 高亮整个网络的方法图文视频教程
- c语言例题22:日期计算
- 计算机职业素养论文1500字,职业素养论文1500字 [职业素养教育论文]
- PR/PS/AE/达芬奇免费模板素材网站分享——个人纯分享,没有公众号,没有广告!
- 开放平台API安全设计方案
- 第106章 Caché 函数大全 $ZF(-4),$ZF(-5),$ZF(-6) 函数
- Alpha版本冲刺(二)
- maskrcnn-benchmark安装过程
- java 撤销恢复按钮_java文本的撤销和恢复
- html表头纵向,实现纵向表头的table
- 天水訟 (易經大意 韓長庚)
热门文章
- 2021年中国机动车、汽车和新能源汽车保有量及驾驶人和驾驶证业务办理情况分析「图」
- SqlServer按半小时分组统计
- CGAL4.4_2D限定三角化及网格(2D Conforming Triangulations and Meshes)
- 港中文旷视提出PanopticFCN:用于全景分割的全卷积网络
- VMware ESXi 8.0 Unlocker OEM BIOS 集成网卡驱动和 NVMe 驱动 (集成驱动版)
- A级学科计算机技术,全国学科评估结果出炉 四川高校这些学科进入全国A档
- [李景山php] ddos 防御基础
- 大数据开发学习资料汇总
- java数组初始化为 1_Java Class 1.1数组初始化
- 3.6 常用符号在数据输入中的使用 [原创Excel教程]