Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5306 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский национальный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции СУБД.doc
Скачиваний:
1
Добавлен:
01.07.2025
Размер:
6.32 Mб
Скачать
►Содержание►

23.3.5 Передача привилегий (предложение with grant option)

Если пользователь создает в базе данных объект и, тем самым становитесь его владельцем, то только он может предоставлять привилегии на этот объект. Когда он предоставляет привилегии другим пользователям, они могут пользоваться объектом, но не могут передавать эти привилегии кому-то еще. Таким образом, владелец объекта сохраняет строгий контроль над тем, кому какие формы доступа к объекту разрешены.

Но бывают ситуации, когда владелец может захотеть передать другим пользователям право предоставлять привилегии на свой объект.

grant select on orders to secretary with grant option;

Наличие предложения WITH GRANT OPTION означает, что инструкция GRANT наряду с привилегиями дает право на предоставление этих привилегии другим пользователям.

Теперь SECRETARY может выполнить следующую инструкцию GRANT:

grant select on orders to somebody;,

которая позволяет SOMEBODY извлекать данные из представления ORDERS. Так как SECRETARY не включил в свою инструкцию GRANT предложение WITH GRANT OPTION, цепочка заканчивается на SOMEBODY; он может извлекать данные из представления ORDERS, но не может давать право на доступ к нему другому пользователю.

23.3.6 Отмена привилегий (инструкция revoke)

В большинстве реляционных баз данных привилегии, предоставленные посредством инструкции GRANT, могут быть отобраны с помощью инструкции REVOKE, синтаксическая диаграмма которой изображена на рисунке 34. Инструкция REVOKE, имеющая структуру, аналогичную структуре инструкции GRANT, содержит набор отбираемых привилегий, объект, к которому относятся эти привилегии, и идентификаторы пользователей, у которых отбираются привилегии.

Посредством инструкции REVOKE можно отобрать только те привилегии, которые вы предоставили ранее некоторому пользователю. У него могут быть также привилегии, предоставленные другими пользователями; ваша инструкция REVOKE не влияет на эти привилегии.

Рисунок 34 Синтаксическая диаграмма инструкции

REVOKE

При использовании инструкции REVOKE следует учитывать, что если два разных пользователя предоставляют третьему пользователю одну и ту же привилегию на один и тот же объект, а затем один из них отменяет привилегию, то вторая привилегия остается в силе и по-прежнему разрешает пользователю доступ к объекту. Такую ситуацию в литературе иногда называют перекрытием привилегий.

Инструкция revoke и право предоставления привилегий

Когда вы даете кому-нибудь привилегии с правом последующего предоставления, а затем отменяете эти привилегии, то в большинстве СУБД автоматически отменяются все привилегии, которые являются производными от исходных. Рассмотрим еще раз цепочку привилегий: Владелец → SECRETARY → SOMEBODY. Если теперь Владелец отменит привилегии SECRETARY на представление ORDERS, то привилегии SOMEBODY; также будут автоматически отменены.

Ситуация становится более сложной, если привилегии предоставляются двумя или более пользователями, один из которых впоследствии отменяет привилегии. Рассмотрим пример (см. рисунок 35). Он представляет собой предыдущий пример в слегка измененном виде. Здесь SECRETARY получает привилегию SELECT с правом предоставления, как от Владельца, так и от ANYBODY, а затем дает привилегии SOMEBODY. На этот раз, когда Владелец отменяет привилегии SECRETARY, остаются привилегии, предоставленные ANYBODY. Привилегии SOMEBODY также остаются, поскольку они могут происходить от привилегий ANYBODY.

Рисунок 35 Отмена привилегий, предоставленных

двумя пользователями

Рассмотрим другой вариант этой цепочки привилегий, в котором изменен порядок событий (рисунок 36). Здесь SECRETARY получает привилегию с правом предоставления от Владельца, дает эту привилегию SOMEBODY и после этого получает привилегию с правом предоставления от ANYBODY. Когда на этот раз Владелец отменяет привилегии SECRETARY, результат будет другим и может отличаться на разных СУБД. Как и в случае, изображенном на рисунке 35, у SECRETARY останется привилегия SELECT на представление ORDERS, предоставленная ANYBODY. Но SOMEBODY автоматически потеряет привилегию SELECT. Произойдет это потому, что привилегия SOMEBODY явно происходит от привилегии, данной Владельцем и только что отмененной. Она не может быть производной от привилегии, предоставленной SECRETARY пользователем ANYBODY, так как эта привилегия отсутствовала в тот момент, когда SECRETARY давал привилегию SOMEBODY.

Таким образом, то, как далеко распространятся последствия выполнения инструкции REVOKE, зависит не только от самих привилегий, но и от хронологической последовательности инструкций GRANT и REVOKE. Для получения желаемых результатов выдача привилегий с правом предоставления и аннулирование таких привилегий должны выполняться очень осторожно.

Рисунок 36 Отмена привилегий, предоставленных в другой последовательности

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности