1、6權(quán)限管理的設(shè)計(jì)與實(shí)現(xiàn)權(quán)限管理的設(shè)計(jì)與實(shí)現(xiàn)l權(quán)限管理與設(shè)計(jì)討論l任何Application都應(yīng)有權(quán)限管理子系統(tǒng)lDBMS的權(quán)限管理是權(quán)限管理的典范lDBMS權(quán)限管理戰(zhàn)略適用于大多數(shù)App的權(quán)限管理l本章首先講述DBMS的權(quán)限管理戰(zhàn)略l然后討論DBMS權(quán)限管理戰(zhàn)略數(shù)據(jù)模型設(shè)計(jì)和實(shí)現(xiàn)l本章的目的l掌握DBMS的權(quán)限管理戰(zhàn)略l本章是一個(gè)數(shù)據(jù)庫(kù)設(shè)計(jì)與實(shí)現(xiàn)的綜合案例，希望經(jīng)過(guò)一個(gè)完好子系統(tǒng)數(shù)據(jù)模型的設(shè)計(jì)和實(shí)現(xiàn)，了解、領(lǐng)會(huì)和掌握數(shù)據(jù)模型的設(shè)計(jì)和實(shí)現(xiàn)方法6權(quán)限管理的設(shè)計(jì)與實(shí)現(xiàn)權(quán)限管理的設(shè)計(jì)與實(shí)現(xiàn)l本章內(nèi)容lDMBS的權(quán)限管理lDMBS權(quán)限管理的概念模型設(shè)計(jì)lDMBS權(quán)限管理的邏輯模型設(shè)計(jì)l1、E-R圖轉(zhuǎn)換為

2、表并進(jìn)展必要的合并l2、優(yōu)化邏輯模型lDMBS權(quán)限管理的物理模型設(shè)計(jì)6.1DMBS的權(quán)限管理的權(quán)限管理l本節(jié)要點(diǎn)：lDBMS權(quán)限的分類lDBMS的身份管理l授權(quán)與回收權(quán)限6.1權(quán)限分類權(quán)限分類l權(quán)限的分類l系統(tǒng)權(quán)限ladministrator,create table,connectl針對(duì)關(guān)系(table/view)的權(quán)限l select,update,delete,insertl例如：select on sl針對(duì)屬性/屬性組的權(quán)限l select,update,delete,insertl例如：select(sno,sname) on sl沒(méi)有關(guān)于元組的權(quán)限，不能基于元組授權(quán)SSnoSnam

3、eDeptS1甲計(jì)S2乙軟S3丙軟S4丁計(jì)6.1身份標(biāo)識(shí)身份標(biāo)識(shí)l數(shù)據(jù)庫(kù)系統(tǒng)的身份標(biāo)識(shí)l用戶userl角色rolel用戶和角色的關(guān)系l銜接運(yùn)用數(shù)據(jù)庫(kù)，必需以一個(gè)特定的用戶身份l不能運(yùn)用role身份直接銜接運(yùn)用數(shù)據(jù)庫(kù)l一個(gè)用戶可同時(shí)具備多個(gè)角色l一個(gè)角色可以為多個(gè)用戶擁有l(wèi)角色可以擁有角色l角色擁有關(guān)系可以傳送l權(quán)限可以授予用戶或者角色l用戶擁有授給本用戶的一切權(quán)益，以及本用戶具有的角色的一切權(quán)益l每個(gè)用戶對(duì)本人方式下的對(duì)象(表,視圖)擁有屬主權(quán)(owner)6.1身份管理身份管理l用戶管理l創(chuàng)建用戶：lcreate user username identified by password;l刪

4、除用戶：drop user username;l角色管理l創(chuàng)建角色：create role rolename;l刪除角色：drop role rolename;l用戶和角色關(guān)系的管理l賦予用戶角色：grant role1 to u1;l撤銷用戶角色：revoke role1 from u1;6.1授權(quán)：授權(quán)：grantl授權(quán)l(xiāng)grant privilege to identity (user/role)l例如：u1將s(sno,sname) 的查詢權(quán)授予u2和role1lgrant select(sno,sname) on s to u2,role1;l轉(zhuǎn)授權(quán)權(quán)：with grant opti

5、on lu1:grant select on s to u2;l/u2擁有了select s權(quán),無(wú)轉(zhuǎn)授權(quán)權(quán)l(xiāng)u2:grant select on s to u3;/不能勝利lu1:grant select on s to u4 with grant option;l/u4擁有了select s權(quán),并有轉(zhuǎn)授權(quán)權(quán)l(xiāng)u4:grant select on s to u5;l/勝利，u5擁有了select s權(quán)6.1權(quán)限回收：權(quán)限回收：revokel權(quán)限回收revoke lrevoke privilege from identity(user/role); l例如,u1：revoke select on

6、 s from u2; l轉(zhuǎn)授的權(quán)益與回收l(shuí)轉(zhuǎn)授權(quán)人的權(quán)益被回收時(shí)，其轉(zhuǎn)授的權(quán)益隨之被回收l(shuí)例如：lu1:grant select on sc to u2 with grant option;lu2:grant select on sc to u3; lu1:revoke select on sc from u2;l /u2權(quán)益被回收后，u3不再具有select sc權(quán)6.2權(quán)限管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)lDBMS權(quán)限管理的概念模型設(shè)計(jì)l他在一個(gè)DBMS開發(fā)公司任務(wù)，擔(dān)任進(jìn)展DBMS權(quán)限管理子系統(tǒng)的開發(fā)任務(wù)l請(qǐng)根據(jù)DBMS的權(quán)限管理要求，完成權(quán)限管理子系統(tǒng)概念模型的設(shè)計(jì)6.2權(quán)限

7、管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)lDBMS權(quán)限管理概念模型設(shè)計(jì)l參考方案(一)l思索：該方案有哪些缺乏？ISA角色角色用戶用戶具有具有身份身份具有具有權(quán)限權(quán)限擁有擁有對(duì)象對(duì)象IidpasswordpidonamepnameoidIname6.2權(quán)限管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)lDBMS權(quán)限管理概念模型設(shè)計(jì)l參考方案(二)grantergrantedISA角色角色用戶用戶具有具有身份身份具有具有權(quán)限權(quán)限擁有擁有對(duì)象對(duì)象GrantoptionIidpasswordpidonamepnameoidIname6.2權(quán)限管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)l參考方案(一)vs參考

8、方案(二)l參考方案(一) 沒(méi)有描畫誰(shuí)進(jìn)展的授權(quán)l(xiāng)參考方案(二)是一個(gè)比較理想的方案l關(guān)于后續(xù)討論l為了方便討論，以下我們采用方案一l采用方案一，即假設(shè)我們不思索權(quán)益由誰(shuí)授予l采用方案一，僅僅是為了后續(xù)討論的方便l思索：l假設(shè)不運(yùn)用承繼，E-R會(huì)如何？l(假設(shè)不思索權(quán)益由誰(shuí)授予)6.2權(quán)限管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)lDBMS權(quán)限管理概念模型設(shè)計(jì)l參考方案(三)l一種不運(yùn)用承繼的方案角色角色用戶用戶具有具有具有具有權(quán)限權(quán)限擁有擁有對(duì)象對(duì)象UIDpasswordpidonamepnameoidUnameRidRname擁有擁有6.2權(quán)限管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)lDBM

9、S權(quán)限管理概念模型設(shè)計(jì)l參考方案(四)l另一種不運(yùn)用承繼的方案身份身份具有具有權(quán)限權(quán)限擁有擁有對(duì)象對(duì)象IidpasswordpidonamepnameoidInametype6.2權(quán)限管理的概念模型設(shè)計(jì)權(quán)限管理的概念模型設(shè)計(jì)l假設(shè)不思索權(quán)益由誰(shuí)授予，思索：l方案一、三、四，各有什么優(yōu)缺陷？l哪個(gè)方案更適宜？他更情愿選擇哪個(gè)方案？6.3權(quán)限管理的邏輯模型設(shè)計(jì)權(quán)限管理的邏輯模型設(shè)計(jì)l邏輯模型設(shè)計(jì)步驟l6.3.1E-R圖轉(zhuǎn)換為表并進(jìn)展必要的合并l6.3.2邏輯模型優(yōu)化轉(zhuǎn)換、設(shè)計(jì)轉(zhuǎn)換、設(shè)計(jì)了解、表達(dá)了解、表達(dá)現(xiàn)實(shí)世界現(xiàn)實(shí)世界概念模型：概念模型：E-R圖圖邏輯模型：邏輯模型： DBSchema6.3.1

10、 E-R 關(guān)系方式關(guān)系方式l假設(shè)DBMS權(quán)限系統(tǒng)概念模型設(shè)計(jì)采用方案(一)l練習(xí)：請(qǐng)將E-R圖，轉(zhuǎn)換邏輯模型l思索：承繼關(guān)系，如何轉(zhuǎn)換更適宜？ISA角色角色用戶用戶具有具有身份身份具有具有權(quán)限權(quán)限擁有擁有對(duì)象對(duì)象IidpasswordpidonamepnameoidIname6.3.1 E-R 關(guān)系方式關(guān)系方式l參考方案(一)l實(shí)體轉(zhuǎn)換的關(guān)系，父子分別建表lIdentity(iid,iname)lUser(iid,password)lRole(iid)lPrivilege(pid,pname)lObject(oid,oname)l聯(lián)絡(luò)轉(zhuǎn)化的關(guān)系lUR(u-iid,r-iid)lRR(iid,h

11、as-iid)lPOI(pid,oid,iid)l思索：表role(iid)可以省略嗎？6.3.1 E-R 關(guān)系方式關(guān)系方式l參考方案(二)l實(shí)體轉(zhuǎn)換的關(guān)系，只為child建表lUser(iid,iname,password)lRole(iid,iname)lPrivilege(pid,pname)lObject(oid,oname)l聯(lián)絡(luò)轉(zhuǎn)化的關(guān)系lUR(u-iid,r-iid)lRR(iid,has-iid)lPOU(pid,oid,iid)lPOR(pid,oid,iid)l思索：POU和POR能合并嗎？6.3.1 E-R 關(guān)系方式關(guān)系方式l參考方案( 三)l實(shí)體轉(zhuǎn)換的關(guān)系，只為pare

12、nt建表lIdentity(iid,iname,password,type)lPrivilege(pid,pname)lObject(oid,oname)l聯(lián)絡(luò)轉(zhuǎn)化的關(guān)系lII(iid,has-iid)lPOI(pid,oid,iid)l思索：表role(iid)可以省略嗎？6.3.1 E-R 關(guān)系方式關(guān)系方式l思索一：l邏輯模型一、二、三，哪一個(gè)更適宜？l假設(shè)他是設(shè)計(jì)人員，他更情愿選擇哪個(gè)方案？l思索二：l邏輯模型二，和概念模型三，有什么關(guān)系？l邏輯模型三，和概念模型四，有什么關(guān)系？l他能總結(jié)一下，當(dāng)有承繼關(guān)系時(shí)，概念模型到邏輯模型的轉(zhuǎn)化方法嗎？6.3.1表的合并表的合并l表合并的原那么l二

13、元m:1聯(lián)絡(luò)轉(zhuǎn)化成的表可以和多端實(shí)體轉(zhuǎn)化成的表進(jìn)展合并l其它表之間不能機(jī)械合并l權(quán)限系統(tǒng)E-R圖轉(zhuǎn)換成的表的合并l本邏輯模型無(wú)表可以機(jī)械合并6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l邏輯模型設(shè)計(jì)步驟l1、E-R圖轉(zhuǎn)換為表并進(jìn)展必要的合并l本步可以按照機(jī)械方法完成l2、邏輯模型優(yōu)化l本步無(wú)詳細(xì)可行的機(jī)械方法l主要依托設(shè)計(jì)人員的閱歷和才干l邏輯模型優(yōu)化l本節(jié)針對(duì)邏輯模型方案一，進(jìn)展優(yōu)化轉(zhuǎn)換、設(shè)計(jì)轉(zhuǎn)換、設(shè)計(jì)了解、表達(dá)了解、表達(dá)現(xiàn)實(shí)世界現(xiàn)實(shí)世界概念模型：概念模型：E-R圖圖邏輯模型：邏輯模型： DBSchema6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l思索：l針對(duì)如下邏輯模型方案一，可以如何優(yōu)化？lIdentit

14、y(iid,iname)lUser(iid,password)lRole(iid)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)lPOI(pid,oid,iid)6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l優(yōu)化思緒一：思索減少表l能去掉表Role(iid)嗎？如何去掉？lIdentity(iid,iname)lUser(iid,password)lRole(iid)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)l

15、POI(pid,oid,iid)l思索：是去掉好，還是原來(lái)好？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l優(yōu)化思緒一：思索減少表l去掉表Role后的邏輯方式lIdentity(iid,iname,isrole)lUser(iid,password)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)lPOI(pid,oid,iid)l思索：能進(jìn)一步合并User和identity嗎？l User+Identity=Identity(iid,iname,isrole,isuser)l User+Identity=Id

16、entity(iid,iname,type)l要不要進(jìn)展合并？哪個(gè)合并方案更好？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l優(yōu)化思緒一：思索減少表l 合并user和identity后的邏輯方式lIdentity(iid,iname,type)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)lPOI(pid,oid,iid)l思索：能否應(yīng)該進(jìn)一步合并UR和RR？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l優(yōu)化思緒一：思索減少表l進(jìn)一步合并UR和RR后的邏輯方式lIdentity(iid,iname,type)lPriv

17、ilege(pid,pname)lObject(oid,oname)lII(iid,has-iid)lPOI(pid,oid,iid)l比較：l優(yōu)化到如今的結(jié)果，和邏輯模型參考方案三，有什么區(qū)別？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l優(yōu)化思緒二，效率優(yōu)化思索：l針對(duì)減少表優(yōu)化之后的邏輯方式lIdentity(iid,iname,type)lPrivilege(pid,pname)lObject(oid,oname)lII(iid,has-iid)lPOI(pid,oid,iid)l思索：l哪些操作的效率能夠存在問(wèn)題？l如何處理這些問(wèn)題？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l效率優(yōu)化思索一：l表II

18、(iid,has-iid)存儲(chǔ)了給某一身份直接賦予的身份，但一身份實(shí)踐擁有哪些身份？l這個(gè)關(guān)系并沒(méi)有直接存儲(chǔ)l這個(gè)問(wèn)題可以從II(iid,has-iid)中遞歸計(jì)算獲取答案l這個(gè)問(wèn)題的運(yùn)用頻率應(yīng)該較高l遞歸計(jì)算效率較低l為了提高這一問(wèn)題的解答速度，可以思索添加表II_all(iid,has-iid),該表存儲(chǔ)每一身份實(shí)踐擁有的全部身份l思索：添加該表的利與弊？他情愿添加這個(gè)表嗎？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l效率優(yōu)化思索二：l表POI(pid,oid,iid)存儲(chǔ)了給某一身份直接賦予的權(quán)限，但一身份實(shí)踐擁有哪些權(quán)限？l這個(gè)關(guān)系并沒(méi)有直接存儲(chǔ)l這個(gè)問(wèn)題可以從II_all(iid,has-iid)和POI中計(jì)算l這個(gè)問(wèn)題的運(yùn)用頻率應(yīng)該較高l為了提高這一問(wèn)題的解答速度，可以思索添加表POI_all(pid,oid,iid),該表存儲(chǔ)每一身份實(shí)踐擁有的全部權(quán)限l思索：添加該表的利與弊？他情愿添加這個(gè)表嗎？6.3.2邏輯模型優(yōu)化邏輯模型優(yōu)化l邏輯模型優(yōu)化參考方案一：lIdentity