《A权限管理与设计》ppt课件

1、6权限管理的设计与实现权限管理的设计与实现l权限管理与设计讨论l任何Application都应有权限管理子系统lDBMS的权限管理是权限管理的典范lDBMS权限管理战略适用于大多数App的权限管理l本章首先讲述DBMS的权限管理战略l然后讨论DBMS权限管理战略数据模型设计和实现l本章的目的l掌握DBMS的权限管理战略l本章是一个数据库设计与实现的综合案例，希望经过一个完好子系统数据模型的设计和实现，了解、领会和掌握数据模型的设计和实现方法6权限管理的设计与实现权限管理的设计与实现l本章内容lDMBS的权限管理lDMBS权限管理的概念模型设计lDMBS权限管理的逻辑模型设计l1、E-R图转换为

2、表并进展必要的合并l2、优化逻辑模型lDMBS权限管理的物理模型设计6.1DMBS的权限管理的权限管理l本节要点：lDBMS权限的分类lDBMS的身份管理l授权与回收权限6.1权限分类权限分类l权限的分类l系统权限ladministrator,create table,connectl针对关系(table/view)的权限l select,update,delete,insertl例如：select on sl针对属性/属性组的权限l select,update,delete,insertl例如：select(sno,sname) on sl没有关于元组的权限，不能基于元组授权SSnoSnam

3、eDeptS1甲计S2乙软S3丙软S4丁计6.1身份标识身份标识l数据库系统的身份标识l用户userl角色rolel用户和角色的关系l衔接运用数据库，必需以一个特定的用户身份l不能运用role身份直接衔接运用数据库l一个用户可同时具备多个角色l一个角色可以为多个用户拥有l角色可以拥有角色l角色拥有关系可以传送l权限可以授予用户或者角色l用户拥有授给本用户的一切权益，以及本用户具有的角色的一切权益l每个用户对本人方式下的对象(表,视图)拥有属主权(owner)6.1身份管理身份管理l用户管理l创建用户：lcreate user username identified by password;l删

4、除用户：drop user username;l角色管理l创建角色：create role rolename;l删除角色：drop role rolename;l用户和角色关系的管理l赋予用户角色：grant role1 to u1;l撤销用户角色：revoke role1 from u1;6.1授权：授权：grantl授权lgrant privilege to identity (user/role)l例如：u1将s(sno,sname) 的查询权授予u2和role1lgrant select(sno,sname) on s to u2,role1;l转授权权：with grant opti

5、on lu1:grant select on s to u2;l/u2拥有了select s权,无转授权权lu2:grant select on s to u3;/不能胜利lu1:grant select on s to u4 with grant option;l/u4拥有了select s权,并有转授权权lu4:grant select on s to u5;l/胜利，u5拥有了select s权6.1权限回收：权限回收：revokel权限回收revoke lrevoke privilege from identity(user/role); l例如,u1：revoke select on

6、 s from u2; l转授的权益与回收l转授权人的权益被回收时，其转授的权益随之被回收l例如：lu1:grant select on sc to u2 with grant option;lu2:grant select on sc to u3; lu1:revoke select on sc from u2;l /u2权益被回收后，u3不再具有select sc权6.2权限管理的概念模型设计权限管理的概念模型设计lDBMS权限管理的概念模型设计l他在一个DBMS开发公司任务，担任进展DBMS权限管理子系统的开发任务l请根据DBMS的权限管理要求，完成权限管理子系统概念模型的设计6.2权限

7、管理的概念模型设计权限管理的概念模型设计lDBMS权限管理概念模型设计l参考方案(一)l思索：该方案有哪些缺乏？ISA角色角色用户用户具有具有身份身份具有具有权限权限拥有拥有对象对象IidpasswordpidonamepnameoidIname6.2权限管理的概念模型设计权限管理的概念模型设计lDBMS权限管理概念模型设计l参考方案(二)grantergrantedISA角色角色用户用户具有具有身份身份具有具有权限权限拥有拥有对象对象GrantoptionIidpasswordpidonamepnameoidIname6.2权限管理的概念模型设计权限管理的概念模型设计l参考方案(一)vs参考

8、方案(二)l参考方案(一) 没有描画谁进展的授权l参考方案(二)是一个比较理想的方案l关于后续讨论l为了方便讨论，以下我们采用方案一l采用方案一，即假设我们不思索权益由谁授予l采用方案一，仅仅是为了后续讨论的方便l思索：l假设不运用承继，E-R会如何？l(假设不思索权益由谁授予)6.2权限管理的概念模型设计权限管理的概念模型设计lDBMS权限管理概念模型设计l参考方案(三)l一种不运用承继的方案角色角色用户用户具有具有具有具有权限权限拥有拥有对象对象UIDpasswordpidonamepnameoidUnameRidRname拥有拥有6.2权限管理的概念模型设计权限管理的概念模型设计lDBM

9、S权限管理概念模型设计l参考方案(四)l另一种不运用承继的方案身份身份具有具有权限权限拥有拥有对象对象IidpasswordpidonamepnameoidInametype6.2权限管理的概念模型设计权限管理的概念模型设计l假设不思索权益由谁授予，思索：l方案一、三、四，各有什么优缺陷？l哪个方案更适宜？他更情愿选择哪个方案？6.3权限管理的逻辑模型设计权限管理的逻辑模型设计l逻辑模型设计步骤l6.3.1E-R图转换为表并进展必要的合并l6.3.2逻辑模型优化转换、设计转换、设计了解、表达了解、表达现实世界现实世界概念模型：概念模型：E-R图图逻辑模型：逻辑模型： DBSchema6.3.1

10、 E-R 关系方式关系方式l假设DBMS权限系统概念模型设计采用方案(一)l练习：请将E-R图，转换逻辑模型l思索：承继关系，如何转换更适宜？ISA角色角色用户用户具有具有身份身份具有具有权限权限拥有拥有对象对象IidpasswordpidonamepnameoidIname6.3.1 E-R 关系方式关系方式l参考方案(一)l实体转换的关系，父子分别建表lIdentity(iid,iname)lUser(iid,password)lRole(iid)lPrivilege(pid,pname)lObject(oid,oname)l联络转化的关系lUR(u-iid,r-iid)lRR(iid,h

11、as-iid)lPOI(pid,oid,iid)l思索：表role(iid)可以省略吗？6.3.1 E-R 关系方式关系方式l参考方案(二)l实体转换的关系，只为child建表lUser(iid,iname,password)lRole(iid,iname)lPrivilege(pid,pname)lObject(oid,oname)l联络转化的关系lUR(u-iid,r-iid)lRR(iid,has-iid)lPOU(pid,oid,iid)lPOR(pid,oid,iid)l思索：POU和POR能合并吗？6.3.1 E-R 关系方式关系方式l参考方案( 三)l实体转换的关系，只为pare

12、nt建表lIdentity(iid,iname,password,type)lPrivilege(pid,pname)lObject(oid,oname)l联络转化的关系lII(iid,has-iid)lPOI(pid,oid,iid)l思索：表role(iid)可以省略吗？6.3.1 E-R 关系方式关系方式l思索一：l逻辑模型一、二、三，哪一个更适宜？l假设他是设计人员，他更情愿选择哪个方案？l思索二：l逻辑模型二，和概念模型三，有什么关系？l逻辑模型三，和概念模型四，有什么关系？l他能总结一下，当有承继关系时，概念模型到逻辑模型的转化方法吗？6.3.1表的合并表的合并l表合并的原那么l二

13、元m:1联络转化成的表可以和多端实体转化成的表进展合并l其它表之间不能机械合并l权限系统E-R图转换成的表的合并l本逻辑模型无表可以机械合并6.3.2逻辑模型优化逻辑模型优化l逻辑模型设计步骤l1、E-R图转换为表并进展必要的合并l本步可以按照机械方法完成l2、逻辑模型优化l本步无详细可行的机械方法l主要依托设计人员的阅历和才干l逻辑模型优化l本节针对逻辑模型方案一，进展优化转换、设计转换、设计了解、表达了解、表达现实世界现实世界概念模型：概念模型：E-R图图逻辑模型：逻辑模型： DBSchema6.3.2逻辑模型优化逻辑模型优化l思索：l针对如下逻辑模型方案一，可以如何优化？lIdentit

14、y(iid,iname)lUser(iid,password)lRole(iid)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)lPOI(pid,oid,iid)6.3.2逻辑模型优化逻辑模型优化l优化思绪一：思索减少表l能去掉表Role(iid)吗？如何去掉？lIdentity(iid,iname)lUser(iid,password)lRole(iid)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)l

15、POI(pid,oid,iid)l思索：是去掉好，还是原来好？6.3.2逻辑模型优化逻辑模型优化l优化思绪一：思索减少表l去掉表Role后的逻辑方式lIdentity(iid,iname,isrole)lUser(iid,password)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)lPOI(pid,oid,iid)l思索：能进一步合并User和identity吗？l User+Identity=Identity(iid,iname,isrole,isuser)l User+Identity=Id

16、entity(iid,iname,type)l要不要进展合并？哪个合并方案更好？6.3.2逻辑模型优化逻辑模型优化l优化思绪一：思索减少表l 合并user和identity后的逻辑方式lIdentity(iid,iname,type)lPrivilege(pid,pname)lObject(oid,oname)lUR(u-iid,r-iid)lRR(iid,has-iid)lPOI(pid,oid,iid)l思索：能否应该进一步合并UR和RR？6.3.2逻辑模型优化逻辑模型优化l优化思绪一：思索减少表l进一步合并UR和RR后的逻辑方式lIdentity(iid,iname,type)lPriv

17、ilege(pid,pname)lObject(oid,oname)lII(iid,has-iid)lPOI(pid,oid,iid)l比较：l优化到如今的结果，和逻辑模型参考方案三，有什么区别？6.3.2逻辑模型优化逻辑模型优化l优化思绪二，效率优化思索：l针对减少表优化之后的逻辑方式lIdentity(iid,iname,type)lPrivilege(pid,pname)lObject(oid,oname)lII(iid,has-iid)lPOI(pid,oid,iid)l思索：l哪些操作的效率能够存在问题？l如何处理这些问题？6.3.2逻辑模型优化逻辑模型优化l效率优化思索一：l表II

18、(iid,has-iid)存储了给某一身份直接赋予的身份，但一身份实践拥有哪些身份？l这个关系并没有直接存储l这个问题可以从II(iid,has-iid)中递归计算获取答案l这个问题的运用频率应该较高l递归计算效率较低l为了提高这一问题的解答速度，可以思索添加表II_all(iid,has-iid),该表存储每一身份实践拥有的全部身份l思索：添加该表的利与弊？他情愿添加这个表吗？6.3.2逻辑模型优化逻辑模型优化l效率优化思索二：l表POI(pid,oid,iid)存储了给某一身份直接赋予的权限，但一身份实践拥有哪些权限？l这个关系并没有直接存储l这个问题可以从II_all(iid,has-iid)和POI中计算l这个问题的运用频率应该较高l为了提高这一问题的解答速度，可以思索添加表POI_all(pid,oid,iid),该表存储每一身份实践拥有的全部权限l思索：添加该表的利与弊？他情愿添加这个表吗？6.3.2逻辑模型优化逻辑模型优化l逻辑模型优化参考方案一：lIdentity