角色与权限

授权：授予与收回

SQL 中使用 grant 和 revoke 语句向用户授予或收回对数据的操作权限。
grant 语句向用户授予权限，revoke 语句收回已经授予用户的权限。

grant

grant 语句的一般格式为：

grant <权限>[,<权限>]...
on <对象类型><对象名>[,<对象类型><对象名>]...
to <用户>[,<用户>]...
[with grant option]

其语意为：将指定操作对象的指定操作权授予指定的用户。
发出该 grant 语句的可以是数据库管理员，也可以是该数据库对象的创建者（即主owner），还可以是已经拥有该权限的用户。
接受权限的用户可以是一个或者多个具体用户，也可以是 public ，即全体用户。

如果指定了 with grant option 子句，则获得某种权限的用户还可以把这种权限再授予其他的用户。
如果没有指定 with grant option 子句，则获得某种权限的用户只能使用该权限，不能传播该权限。

SQL标准允许具有 with grant option 的用户把相应权限或其子集传递授予其他用户，但不允许循环授权，即被授权者不能把权限再授回给授权者或其祖先。

U1 ------>U2------->U3--------->U4
^                                |
|-----------------x--------------|

• 例1：把查询 Student 表的权限授给用户 U1

grant select
on table Student
to U1;

• 例2：把对 Student 表和 Course 表的全部操作权授给用户 U2和U3

grant all privileges
on table Student,Course
to U2,U3;

• 例3：把对表 SC 的查询权限授予所有用户

grant select
on table Student
to public;

• 例4：把查询 Student 表和修改学生学号的权限授给用户 U4

grant update(Sno),select
on table Student
to U4;
/* 
这里，实际上要授予 U4 用户的是对基本表 Student 的 select 权限和对属性列 Sno 的 update 权限，
对属性列授权时必须明确指出相应的属性列名
 */

• 例5：把对表 SC 的 insert 权限授予 U5 用户，并允许将此权限再授予其他用户

grant insert
on table SC
to U5
with grant option;
/*
执行此 SQL 语句后，U5不仅拥有了对表 SC 的 insert 权限，还可以传播此权限，
即由 U5 用户发上述 grant 命令给其他用户
*/

• 例6：U5 把对 SC 表的 insert 权限授给用户 U6

grant insert
on table Student
to U6
with grant option;

• 例7：同样，U6 还可以将此权限授予 U7

grant insert
on table SC
to U7;
// 因为 U6 未给 U7 传播的权限，因此 U7 不能再传播此权限

revoke

授予用户的权限可以由数据库管理员或其他授权者用 revoke 语句收回
revoke 语句的一般格式为：

revoke <权限>[,<权限>]...
on <对象类型><对象名>[,<对象类型><对象名>]...
from <用户>[,<用户>]...[cascade | restrict];

• 例1：把用户 U4 修改学生学号的权限收回

revoke update(Sno)
on table Student
from U4;

• 例2：收回所有用户对表 SC 的查询权限

revoke select
on table SC
from public

• 例3：把用户 U5 对 SC 表的 insert 权限收回

revoke insert
on table SC
from U5 cascade;
/*
将用户 U5 的 insert 权限收回的同时，级联（cascade）收回了 U6 和 U7 的 insert 权限
*/

数据库角色

数据库角色是被命名的一组和数据库操作相关的权限，角色是权限的集合。 因此，可以一组具有相同权限的用户创建一个角色，使用角色来管理数据库权限可以简化授权的过程。
在 SQL 中首先用 create role 语句创建角色，然后用 grant 语句给角色授权，用 revoke 语句收回授予角色的权限

1. 角色的创建

创建角色的 SQL 语句的格式是

create role <角色名>

刚刚创建的角色是空的，没有任何内容，可以用 grant 为角色授权

2. 给角色授权

grant <权限>[,<权限>]...
on <对象类型>对象名
to <角色>[,<角色>]...

数据库管理员和用户可以利用 grant 语句将权限授予某一个或几个角色

3. 将一个角色授予其他角色或用户

grant <角色1>[,<角色2>]...
to <角色3>[,<用户1>]...
[with admin option]

该语句把角色授予某用户，或授予另一个角色。这样，一个角色（例如角色3）所拥有的权限就是授予它的全部角色（例如角色1和角色2）所包含的权限的总和。

授予者或者是角色的创建者，或者拥有在这个角色上的 admin option。

如果指定了 with admin option 子句，则获得某种权限的角色或用户还可以把这种权限再授予其他的角色。

一个角色包含的权限包括直接授予这个角色的全部权限加上其他角色授予这个角色的全部权限。

4. 角色权限的收回

revoke <权限>[,<权限>]...
on <对象类型><对象名>
from <角色>[,<角色>]...;

用户可以收回角色的权限，从而修改角色拥有的权限。
revoke 动作的执行者或者是角色的创建者，或者拥有在这个（些）角色上的 admin option 。

• 例1：通过角色来实现将一组权限授予一个用户

/*
1. 首先创建一个角色 R1
*/
create role R1;

/*
2. 然后使用 grant 语句，使角色 R1 拥有 Student 表的 select ，update ，insert 权限
*/
grant select,update,insert
on table Student
to R1;

/*
3. 将这个角色授予王平，张明，赵玲，使他们具有角色 R1 所包含的全部权限
*/
grant R1
to '王平','张明','赵玲';

/*
也可以一次性地通过 R1 来收回王平的这三个权限
*/
revoke R1
from '王平';

• 例2：角色的权限修改

grant delete
on table Student
to R1;
/*
使角色 R1 在原来的基础上增加了 Student 表的 delete 权限
*/

revoke select 
on table Student
from R1;
/*
使 R1 减少了 select 权限
*/

可以看出，数据库角色是一组权限的集合。使用角色来管理数据库权限可以简化授权的过程，使自主授权的执行更加灵活，方便