实验六 数据库之SJK安全性语言

根据给定的实验报告内容，我们可以总结出关于“数据库之SJK安全性语言”的知识点，主要集中在自主存取控制（Discretionary Access Control, DAC）机制上。本篇将围绕实验目的、实验步骤等方面进行深入解析。 ### 实验背景 本实验来源于山西大学自动化与软件学院的《数据库原理》课程，实验的主要目的是让学生理解和掌握数据库中的自主存取控制权限的定义与维护方法。通过实际操作，学习如何在MySQL环境下创建用户、角色，并进行权限分配和回收等操作，以确保数据库的安全性和可控性。 ### 实验目的 - 掌握自主存取控制权限的基本概念。 - 学习如何在MySQL中创建用户和角色。 - 掌握如何给用户和角色分配权限以及如何回收权限。 - 了解如何通过登录不同用户账号来验证权限分配的有效性。 - 设计并实现一个基于自主存取控制的应用场景，具体到本实验是为学生、教师以及教务管理人员设计合适的权限分配方案。 ### 自主存取控制（DAC）简介 自主存取控制是一种访问控制策略，允许资源拥有者自行决定谁可以访问资源及其访问方式。在数据库系统中，这意味着数据库管理员或数据的所有者可以设置用户或用户组对数据对象的访问权限。这种机制提供了灵活性，但也可能带来安全风险，因为权限管理不当可能导致数据泄露或被未经授权的用户修改。 ### 实验步骤详解 #### 1. 创建用户 实验中首先创建了多个用户，包括学生管理、教务管理的人员A、B，学生X，以及教师Y。这些用户的创建使用了MySQL的`CREATE USER`命令。例如： ```sql CREATE USER A IDENTIFIED BY "123456"; ``` 这里`A`是指定的用户名，`IDENTIFIED BY "123456"`指定了该用户的密码。类似地，创建了其他用户。 #### 2. 创建角色并分配权限 接下来，实验中创建了三个不同的角色：学生角色（`StudentRole`）、教师角色（`TutorRole`）以及学生管理和教务管理角色（`StudentSuperviserRole`和`AffairMangerRole`）。这些角色分别被赋予了不同的权限，以模拟真实的数据库访问控制场景。 - **学生角色**： - 可以查询自己的个人信息。 - 可以查询自己的选课情况。 - 可以查询课程的基本信息。 这些权限是通过创建特定的视图来实现的，例如： ```sql CREATE VIEW v_student AS SELECT * FROM aas.student WHERE concat(sname,'@localhost') = USER(); GRANT SELECT ON aas.v_student TO StudentRole; ``` 这里的`v_student`视图仅显示当前登录用户的信息，从而限制了数据访问范围。 - **教师角色**： - 可以查询学生信息。 - 可以查询自己所教授课程的选课情况，并且可以更新选课信息中的成绩字段。 - 可以查询所有课程的基本信息。 例如： ```sql GRANT SELECT ON aas.student TO TutorRole; GRANT SELECT, UPDATE(grade) ON aas.v_tsc TO TutorRole; ``` 这里`v_tsc`视图用于显示教师教授的课程的选课情况，并允许更新成绩。 - **学生管理和教务管理角色**： - 对学生信息、选课信息和课程信息具有全部权限。 - 教务管理角色还可以为其他用户分配权限。 例如： ```sql GRANT ALL PRIVILEGES ON aas.sc TO AffairMangerRole WITH GRANT OPTION; ``` 这里`WITH GRANT OPTION`表示该角色可以进一步将权限授予其他用户。 #### 3. 给用户分配权限 最后一步是将之前创建的角色分配给相应的用户。例如，学生X和教师Y被分配了学生角色： ```sql GRANT StudentRole TO X; GRANT StudentRole TO Y; ``` 这样，X和Y就拥有了学生角色所具有的所有权限。 ### 实验总结 通过这个实验，我们深入了解了数据库中的自主存取控制机制，包括如何创建用户、角色，如何分配和回收权限等关键操作。这种机制对于保护数据库中的敏感数据至关重要。通过模拟真实应用场景中的权限分配过程，不仅加深了理论知识的理解，还提高了实际操作能力。