实验八 数据库安全管理.docx

实验八 数据库安全管理.docx

《实验八 数据库安全管理.docx》由会员分享，可在线阅读，更多相关《实验八 数据库安全管理.docx（11页珍藏版）》请在冰豆网上搜索。

实验八数据库安全管理

实验八数据库安全管理

一、目的与要求

1.掌握创建用户和角色的方法

2.掌握SQL授权命令和收回权限的命令

二、实验准备

1.了解SQLServer登录身份和登录模式的概念；

2.了解用户、角色、登录三者的概念；

3.了解权限授予和收回的的T-SQL语法。

三、实验内容

（一）创建登录名

1．创建新的登录名testlogin

（1）在对象资源管理器的目录树中“安全性”“登录名”，点击右键选择“新建登录名”，设置登录名为testlogin，“SQLServer身份验证”密码为abc，默认数据库为“studentdb”，如图8-1所示。

图8-1

提问：

此时用testlogin登录名创建新的连接，登录到对象资源管理器，是否能登录成功？

不能登录成功，结果如下所示：

（2）右击testlogin登录名，选择属性，设置“用户映射”，设置“映射到此登录名的用户“为“studentdb”，如图8-2所示。

这里即是创建和登录名同名的用户，该用户属于默认数据库。

这个用户具有的数据库角色是public。

确定后再次以testlogin及其密码登录查ssms，在testlogin登录名下新建查询。

运行命令

，查看并记录结果。

提问：

此时是否查询命令能查询到st_info表中的数据？

为什么？

不能，原因如下所示：

图8-2

（3）若要查询studentdb数据库中表的数据，则要在数据库角色成员身份中选择db_datareader角色（回到sa登录ia下设置该登录名的属性），再运行上题中的查询语句，查看结果。

结果如下所示：

（4）在查询编辑器中运行命令

，查看是否允许。

若不允许，则要在数据库角色成员身份中选择db_datawriter角色。

重新运行该条更新语句，查看结果。

图8-3

不被允许，结果如下所示：

重新运行后结果如下所示：

2．提问：

testlogin登录名登录后，允许访问服务器上所有的数据库吗？

能访问哪些数据库？

。

不能，只能访问studentdb数据库。

（二）创建用户

创建用户时选择映射到已有登录名，即令一个登录名可以访问多个数据库。

一个新的登录名（如testlogin）创建后，在其默认数据库下会建立一个同名用户（testlogin），即用户testlogin允许访问登录名默认的数据库studentdb。

而要用testlogin登录后能访问其他数据库，则要在其他数据库中创建新用户，映射到testlogin这个登录名，这样登录后就可以访问其他数据库了。

如，在studb数据库下创建一个新用户U1，属于testlogin登录名。

（1）回到sa登录下，展开“studentdb”数据库”安全性”“用户”，右击“新建用户”，填写用户名为U1，如图8-4，点对话框按钮，选择登录名如图8-5，点击“浏览”，选择testlogin，如图8-6。

图8-4

图8-5

图8-6

提问：

若要在“studentdb”数据库中创建映射到testlogin登录名的新用户U2是否能成功？

为什么？

不能，已用另一个用户名开立账户

（2）刷新testlogin登录下的数据库，查看是否能访问studb数据库了。

答：

能访问

（3）在testlogin登录下，新建查询，运行命令

，查看是否成功。

答：

成功

（4）切换到sa登录窗口中，选择当前数据库为“studb”，用命令为U1用户授权，授予U1用户查询图书表的权利，命令为

，再回到testlogin的查询窗口中，重新运行上题的查询语句，看是否成功。

答：

成功

（5）若要收回该权限可以用命令revokeselectonSfromU1。

（三）管理角色

1．角色分类为服务器角色和数据库角色、应用程序角色。

分别查看系统预设的服务器角色和数据库角色有哪些。

2．自定义角色

（1）在studb数据库中创建一个自定义角色，名为testrole。

展开目录树“数据库”“studb”“安全性”“角色”“数据库角色”，右击新建数据库角色，填写角色名称为“testrole”，选择所有者为“U1”，如图8-7所示。

图8-7

（2）设置testrole对studb数据库中S,C,SC表的若干权限。

右键点击testrole角色，选择属性，设置安全对象，如图8-8所示。

图8-8

点击“添加”，选择添加对象为“特定对象”，如图8-9。

图8-9

选择安全对象类型为“表”，如图8-10。

图8-10

再点击“浏览”，选择选择该角色允许设置的S,C,SC表，如图8-11。

图8-11

回到角色属性窗口，此时就能对允许访问的表设置具体数据库权限了，如图8-12，对C表授予“insert”“delete”“select”“update”权限，则在这些项目对应的复选框中打钩，这里还可以赋予授权权限和拒绝该权限。

这样就使得testrole角色具有对数据库中多个表的多项权限，那么把该角色授予给用户，就能一次给用户授予多项权限了。

图8-12

（3）在sa登录下，将testrole角色授予给testlogin登录名下映射到的studb数据库中的U1用户。

即设置testlogin登录名的属性，对studb数据库勾选testrole角色，如图8-13所示。

图8-13

（4）在testlogin登录下，在查询编辑器中里窗体中运行查询C,SC表的命令，和对SC表进行删除的命令deletefromSCwherecno=’C1’。

查看是否成功。

成功

3．为角色授予权限和收回权限的命令与对用户相同

（1）收回testrole中对C表的删除的权限，命令为revokedeleteonCfromtestrole

（2）要授予testrole角色能修改SC表score字段的权限，则命令为grantupdate‘score’onSCtotestrole

四、思考与练习

1．登录、用户、角色的概念如何区分？

三者在SQLServer中有何关系？

答：

登录名：

指有权限登录到某服务器的用户

用户：

指有权限能操作数据库的用户

角色：

指一组固定的有某些权限的数据库角色

服务器登录名属于某组服务器角色；服务器登录名需要于数据库的用户映射后才拥有操作数据库的权限；数据库用户属于某组数据库角色以获取操作数据库的权限。

2．用户自定义的角色是属于所有数据库的吗？

是否能在每个数据库的安全性下角色中看到？

答：

不是属于所有数据库；

不能在每个数据库的安全性下看到。