Информационный сайт

 

Реклама
bulletinsite.net -> Книги на сайте -> Программисту -> Коннолли Т. -> "Базы данных. Проектирование, реализация и сопровождение. Теория и практика" -> 289

Базы данных. Проектирование, реализация и сопровождение. Теория и практика - Коннолли Т.

Коннолли Т., Бегг К. Базы данных. Проектирование, реализация и сопровождение. Теория и практика — М.: Вильямc, 2003. — 1440 c.
ISBN 5-8459-0527-3
Скачать (прямая ссылка): bazidannihpproekt2003.djv
Предыдущая << 1 .. 283 284 285 286 287 288 < 289 > 290 291 292 293 294 295 .. 683 >> Следующая


Некоторые типы СУБД функционируют как закрытые системы, поэтому пользователям помимо разрешения на доступ к самой СУБД потребуется иметь отдельные разрешения и на доступ к конкретным ее объектам. Эти разрешения выдаются либо АБД, либо владельцами определенных объектов системы. В противоположность этому, открытые системы по умолчанию предоставляют пользователям, прошедшим проверку их подлинности, полный доступ ко всем объектам базы данных. В этом случае привилегии устанавливаются посредством явной отмены тех или иных прав конкретных пользователей. Методы авторизации пользователей и предоставления им привилегий средствами языка SQL рассматриваются в разделе 6.6.

Права владения и привилегии

Некоторые объекты в среде СУБД принадлежат самой СУБД. Обычно эта принадлежность оформлена с помощью специального идентификатора суперпользователя, например администратора базы данных. Как правило, владение

628

Часть V. Некоторые аспекты эксплуатации баз данных некоторым объектом предоставляет его владельцу весь возможный набор привилегий в отношении этого объекта. Это правило применяется ко всем авторизованным пользователям, получающим права владения определенными объектами. Любой вновь созданный объект автомчтичсски передается во владение его создателю, который и получает весь возможный набор привилегий для данного объекта. Хотя при этом пользователь может быть владельцем некоторого представления, единственной привилегией, которая будет предоставлена ему в отношении этого объекта, может оказаться право выборки данных из "чнного представления. Причина подобных ограничений состоит в том, что ук. шый пользователь имеет ограниченный набор прав в отношении базовых таблиц созданного им представления. Принадлежащие владельцу привилегии могут быть переданы им другим авторизованным пользователям. Например, владелец нескольких таблиц базы данных может предоставить другим пользователям право выборки информации из этих таблиц, но не позволить им вносить в таблицы ка-кие-либо изменения. В языке SQL предусмотрено, что если пользователь передает какие-либо привилегии, он может указать, приобретает ли получатель этих привилегий право передавать эти привилегии другим пользовате.1 тм

Если СУБД поддерживает несколько различных типов идентификаторов авторизации, с каждым из существующих типов могут быть связаны различные приоритеты. В частности, если СУБД поддерживает использование идеигчфикагоре отдельных пользователей и групп, то, как правило, идентификатор пользователя будет иметь более высокий приоритет, чем идентификатор группы. Пример определения идентификаторов пользователей и групп в подобной СУБД приведен в табл. 18.2.

Инентифика гор члена группы

SG37 SG14

В столбцах Идентификатор пользователя и Тип приведены определенные в системе идентификаторы и указывается их тип — отдельный пользователь и группа пользователей. Столбцы с заголовками Группа и Идентификатор члена группы содержат сведения о группе, которой принадлежит пользователь, и его идентификаторе в этой группе. С каждым конкретным идентификатором может быть связан конкретный набор привилегий, определяющий тип доступа к отдельным объектам базы данных (например, для выборки (Select), обновления ("Jpdate), вставки (Insert), удаления (Delete) или все типы сразу (i" _1)) С каждым типом привилегии связывается некоторое двоичное значение:

SELECT UPDATE INSERT DELETE ALL 0001 0010 0100 1000 1111

Отдельные двоичные значения суммируются, и полученная сумма однозначно характеризует, какие именно привилегии (если они предусмотрены) имеет каждый конкретный пользователь или группа в отношении определенного объекта базы данных. В табл. 18.3 приведен пример матрицы контроля доступа, в которой определен набор привилегий группы Sales и пользователей SG37, SG5.

Таблица 18.2. Идентификаторы пользователей и групп

Идентификатор Тип Группа

пользователя

S-37 Пользователь

SG14 ПОЛЬЗ* ател Sales

SG5 Пользователь

Sales Группа

Глава 18. Защита баз данных

629 Таблица 18.3. Таблица контроля доступа

Идентификатор пользователя f copertyHo ^type price cvmerNo fctaffHo b»- LnchNo Лимит выбираемых строк
Sales UUUl UUUl 0001 0000 0000 0000 15
EG37 0101 0101 Olli OlOl 0111 0000 100
SG5 1111 1111 1111 tin 1111 Ull нет

Содержимое таблицы показывает, что группе пользователи с идентификатором Sales предоставлена только привилегия Select (код 0001) в отношении атрибутов propertyNo, type и price. Кроме того, для нее установлен максимальный размер результирующего набора данных запроса, равный 15 строкам. Пользователь SG14 (с именем David Ford) является членом этой группы и не имеет каких-либо дополнительных привилегий доступа, поэтому он пользуется только теми правами, которые предоставлены данной группе. С другой стороны, пользователь SG37 (Arm Beech) имеет собственные привилегии Select и Insert (определяются значением 0001 + 0100 = 0101) в отношении атрибутов propertyNo, type и ownerNo, а также привилегии Select, Update и Insert иначени« 0001 + 0010 + 0100 = 0111) в отношении атрибутов price и staiENo. Кроме щ о, для этого пользователя максимальный размер результирующего набора данных запроса установлен равным 100 строкам. Пользователю SG5 (Susan Brand) предоставлены привилегии Select, Update, Insert и Delete (значение 0001 + 0010 + 0100 + 1000 = nil), т.е. привилегия All для доступа ко всем атрибутам таблицы, а размер результирующих наборов данных запросов не ограничивается.
Предыдущая << 1 .. 283 284 285 286 287 288 < 289 > 290 291 292 293 294 295 .. 683 >> Следующая
Реклама
Авторские права © 2009 AdsNet. Все права защищены.
Rambler's Top100