数据库权限分配

数据库权限分配 管理软件中的用户权限分配 权限的分配是所有管理软件中必不可少的部分，其实现的方式主要有两大类，以下做出简单的介绍。 1.基于角色管理的系统访问控制 MIS(管理信息系统)中包括信息量巨大以及不同程度的信息敏感度，各种有访问需求的用户，使得其安全管理非常复杂。基于角色的系统安全控制模型是目前国际上流行的先进的安全管理控制方法。其特点是通过分配和取消角色来完成用户权限的授予和取消。安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离，如下图所示，角色可以看成是一个表达访问控控制策略的语义结构，它可以表示承担特定工作的资格。 用户角色权限例: 用户角色 用户IDInteger属于角色IDInteger用户名称Characters (20)角色名称Characters (20)用户密码Characters (20)权限描述Characters (20)用户ID角色ID 这种控制模式下DBMS会根据不同users所属的role不同来做权限的验证，每个role具有其特定的权限，然后再配合一定的程序来控制user在用户界面中的操作权限。 连接数据库的字符串示例: CString DataBaseName=_T("MFTDMA"); CString DataBaseServer=_T("PC-20090727OAEE"); CString temp=_T("Provider=SQLOLEDB;Server=")+DataBaseServer+_T(";Database=")+ DataBaseName+_T(";uid="); temp.Append(name); temp.Append(_T(";pwd=")); temp.Append(pwd); temp.Append(_T(";")); 优点:是主流的安全管理控制方式，代码中不会泄露数据库的连接用户及其密码，有很好的安全性，并可以一定程度上防止SQL注入攻击，权限体系的结构明晰，不容易混淆。适用于权限层次比较复杂的系统。 缺点:配置权限到角色的工作比较复杂，需要对每个角色的权限有清晰的了解并精确的在DBMS中建立权限分配及约束。此外在用户登录验证时需要一定的处理来避免权限分配的冲突。 2.编程实现系统访问控制 基于角色管理的系统访问控制是通过DBMS和一定程序控制来实现用户的权限控制， 此外也可以完全利用程序代码来实现权限的控制，其基本的思想是:在数据库连接时使用一个统一的数据库用户(以下称为DBUSER)和密码，DBUSER拥有数据库的操作权限(包括增加、删除、修改、更新、查询等)。在 应用程序的用户(以下称为PUSER)登录时使用DBUSER连接数据库并查询该PUSER的权限， 再根据PUSER的权限信息通过编写控制程序来实现其所能进行的操作。 例:建立如下图的用户表 用户表 用户IDInteger用户名称Characters (20)用户密码Characters (20)用户类型Integer 用户ID 在用户登录时查询用户表里的信息验证用户输入的用户名和密码，验证成功后记录该用户的用户类型以此来控制该用户所能进行的操作。 连接数据的字符串示例: Provider=SQLOLEDB.1;Server=PC-20090727OAEE;Database=ABC; uid=sa; pwd=330330; 优点:实现比较简单，由于是利用程序做权限控制所以有一定的灵活性，适合用于权限层次结构比较简单的系统。 缺点:在代码中会出现连接数据库的用户名及其密码，如果被反编译则会让破坏者取得访问数据库的权限。