Security6:查看授予的权限

最新推荐文章于 2020-09-18 11:27:16 发布
最新推荐文章于 2020-09-18 11:27:16 发布
阅读量293 收藏
点赞数
文章标签: 数据库 java python linux oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/upluck/article/details/116970246
版权

在SQL Server的安全体系中,权限分为服务器级别(Server-Level)和数据库级别(Database-Level),获得权限的途径分为两种形式:直接授予的权限,由于加入角色而获得的权限。在安全体系中,授予权限涉及到有三种对象,分别是权限(Permission)、安全主体(Principal)和安全对象(Securable),授予权限的过程,可以用一句话概括:Grants permissions on a securable to a principal。

一,查看服务器级别的权限

在服务器级别,安全主体(Principal)是指Login和Server Role,权限对应的是服务器级别的权限。

1,查看服务器级别的安全主体

系统视图:sys.server_principals 用于查看服务器级别的安全主体:

  • name:主体的名称
  • principal_id:主体ID
  • sid:主体的SID (Security-IDentifier),如果主体是Windows的登陆或组,那么该字段是Winows SID
  • type:主体的类型,常见的主体类型是:SERVER_ROLE、SQL_LOGIN、WINDOWS_GROUP、WINDOWS_LOGIN

2,从角色而获得的权限

系统视图:sys.server_role_members 用于查看属于服务器角色(Server Role)的Login:

select r.principal_id as role_id
    ,r.name as role_name
    ,r.is_fixed_role
    ,r.type_desc as role_type
    ,m.principal_id as member_id
    ,m.name as member_name
    ,m.is_disabled
    ,m.type_desc as member_type
from sys.server_role_members srm 
inner join sys.server_principals r
    on srm.role_principal_id=r.principal_id
inner join sys.server_principals m
    on srm.member_principal_id=m.principal_id

3,直接授予的权限

系统视图:sys.server_permissions,用于查看服务器级别的权限

  • class:权限存在的分类,常见的分类是:SERVER、SERVER_PRINCIPAL、ENDPOINT

  • grantee_principal_id:指定被授予权限的主体ID,grantor_principal_id 指定:授予者的主体ID。

  • type:服务器级别的权限类型(server permission type);
  • permission_name:服务器级别的权限的名称;
  • state和state_desc:权限的状态,分别是DENY、REVOKE、GRANT、GRANT_WITH_GRANT_OPTION;

如果安全主体是Login,那么查看Login被直接授予的权限;如果安全主体是Role,那么查看Role被授予的权限。

select pr.principal_id
    ,pr.name as principal_name
    ,pr.type_desc as principal_type
    ,pe.class_desc as class
    ,pe.permission_name
    ,pe.state_desc as state
from sys.server_principals pr
inner join sys.server_permissions pe
    on pr.principal_id=pe.grantee_principal_id

二,查看Login和User的映射

Login和User 通过sid关联,用户是存在于特定数据库的安全主体,如果User没有映射到Login,那么该用户称作孤立用户(Orphaned User),也就是说,User的sid不能映射到Login的sid。

select dp.principal_id as user_id
    ,dp.name as user_name
    ,dp.type_desc as user_type
    ,dp.authentication_type_desc as authentication_type
    ,sp.principal_id as login_id
    ,sp.name as login_name
    ,sp.type_desc as login_type
from sys.database_principals dp 
left join sys.server_principals sp
    on dp.sid=sp.sid
where dp.type_desc in ('WINDOWS_USER','SQL_USER')
    and dp.name not in ('guest','INFORMATION_SCHEMA','sys')

特殊地,数据库的创建者,其Login对应的user是dbo。

如果user对应的login不存在,那么该user可能是一个孤立用户,有些user可能会通过windows group来登录,单独创建一个user的目的是为了给该user设置特殊的权限。

三,查看数据库级别的权限

在数据库级别,安全主体是User和Role,权限对应的是数据库级别的权限,包括操作数据库对象,执行的权限等。

1,查看数据库级别的安全主体

系统视图:sys.database_principals 用于查看数据库级别的安全主体:

  • name:主体的名称;
  • principal_id:主体ID;
  • sid:主体的SID (Security-IDentifier),如果主体是Windows的登陆或组,那么该字段是Winows SID;
  • type和type_desc:主体的类型,常见的主体类型是:SQL_USER、WINDOWS_USER、WINDOWS_GROUP、DATABASE_ROLE;
  • authentication_type:验证类型,常见的是DATABASE 和 WINDOWS;
  • owning_principal_id:安全主体(Principal)的所有者,除了数据角色之外的所有主体的所有者必须是dbo;

系统视图:sys.database_permissions 用于查看数据库级别的权限:

  • class:权限存在的分类,常见的分类是:DATABASE、OBJECT_OR_COLUMN、SCHEMA、DATABASE_PRINCIPAL

  • grantee_principal_id指定:被授予权限的主体ID,grantor_principal_id 指定:授予者的主体ID。

  • type:数据库级别的权限类型(server permission type);
  • permission_name:数据库级别的权限的名称;
  • state:权限的状态,分别是DENY、REVOKE、GRANT、GRANT_WITH_GRANT_OPTION;
  • major_id和minor_id:

安全对象(Securable):通过major_id 和 minor_id 指定安全对象

major_id:该字段共有3种类型的数值:

  • 正整数,标识数据库对象,是object_id;
  • 0,标识数据库级别的授权,class是DATABASE;
  • 负整数,标识系统对象;

minor_id:该字段共有2种类型的数值:

  • 正整数,标识的是数据库对象的column_id,该字段连接到sys.columns中的column_id;
  • 0,标识的是整个数据库对象object;

系统视图:sys.database_role_members 用于查看数据库级别的角色和数据库主体的映射关系。

2,查看数据库级别的安全主体的权限

安全主体包括User和数据库级别的role,通过以下脚本查看它们的权限,这是直接授予安全主体的权限:

select pr.principal_id
    ,pr.name as principal_name
    ,pr.type_desc as principal_type
    ,pr.is_fixed_role
    ,pr.authentication_type_desc as authentication_type
    ,pe.permission_name
    ,pe.class_desc as permission_class
    ,pe.state_desc as permission_state
    ,pe.major_id
    ,pe.minor_id
from sys.database_principals as pr
inner join sys.database_permissions as pe
    on pe.grantee_principal_id = pr.principal_id
order by pr.name;

2,从数据库角色获得的权限

查询数据库Role的成员,可以查看数据库用户从数据库角色获得的权限:

select r.principal_id as role_id 
    ,r.name as role_name
    ,r.type_desc as role_type
    ,r.is_fixed_role
    ,u.name as member_name
    ,u.type_desc as member_type
    ,u.authentication_type_desc as member_authentication
from sys.database_role_members rm
inner join sys.database_principals r
    on rm.role_principal_id=r.principal_id 
inner join sys.database_principals u
    on rm.member_principal_id=u.principal_id 
where r.type='R'    --database role
order by role_name

四,查看用户在表、view或schema上的权限

用户可以被授予数据库对象上或schema上的权限

1,查看用户在对象上的权限

select pr.principal_id
    ,pr.name
    ,pr.type_desc
    ,pr.authentication_type_desc
    ,pe.permission_name
    ,pe.class_desc
    ,pe.state_desc
    ,o.name as object_name
    ,isnull(c.name,'entire_table') as column_name
from sys.database_principals as pr
inner join sys.database_permissions as pe
    on pe.grantee_principal_id = pr.principal_id
inner join sys.objects as o
    on pe.major_id=o.object_id
left join sys.columns c 
    on o.object_id=c.object_id
        and pe.minor_id=c.column_id
where pe.class=1    -- Object or Column
order by pr.name
    ,o.name
    ,c.column_id;

2,查看用户在schema上的权限

select pr.principal_id
    ,pr.name
    ,pr.type_desc
    ,pr.authentication_type_desc
    ,pe.permission_name
    ,pe.class_desc
    ,pe.state_desc
    ,s.name as schema_name
from sys.database_principals as pr
inner join sys.database_permissions as pe
    on pe.grantee_principal_id = pr.principal_id
inner join sys.schemas as s 
    on pe.major_id=s.schema_id
where pe.class=3    -- Schema
order by pr.name;

参考文档:

Getting Started with Database Engine Permissions

Security Catalog Views (Transact-SQL)

悦光阴
关注
MySQL 查看用户授予权限
亘优科技
10-17 602
在MySQL中,如何查看一个用户被授予了那些权限呢? 授予用户的权限可能分全局层级权限数据库层级权限、表层级别权限、列层级别权限、子程序层级权限。具体分类如下: 全局层级 全局权限适用于一个给定服务器中的所有数据库。这些权限存储在mysql.user表中。GRANT ALL ON *.*和REVOKE ALL ON *.*只授予和撤销全局权限数据库层级 数据库权限适用于一个给定数据库...
sql server 数据库 用户查询
最新发布
weixin_30133813的博客
08-19 178
我整理的一些关于【数据库】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1SQL Server 数据库用户查询 在当今信息时代,数据库是我们存储和管理数据的基础要素之一。而 SQL Server 作为 Microsoft 提供的一款强大数据库管理系统,广泛用于企业...
Sql Server来龙去脉系列 必须知道的权限控制核心篇
weixin_34026484的博客
01-06 175
    最近写了《Sql Server来龙去脉系列  必须知道的权限控制基础篇》,感觉反响比较大。这可能也说明了很多程序猿对数据库权限控制方面比较感兴趣,或者某些技术点了解的没有很透彻。 有些人看了上篇感觉意犹未尽,介绍的都是基础方面,不够深入。那么本篇内容就比较符合大家的胃口,本篇包括了数据库常用的权限控制,例如服务角色以及数据库角色管理。 提几个问题     在介绍权限控制之前先提下面几个...
sys.database_principals (Transact-SQL) 从SQL SERVER数据库中查询安全主体
hejisan的专栏
08-23 1810
default_schema_name为主体的默认schema,默认架构 THIS TOPIC APPLIES TO: SQL Server (starting with 2008)Azure SQL DatabaseAzure SQL Data Warehouse Parallel Data Warehouse Returns a row for each securit
Security2:角色和权限
悦光阴的博客
02-01 175
权限授予分为三部分:权限(Permission),安全对象(Securable)和安全主体(Principal),这三个术语之间的关系是:Grant Permission on Securable to Principal,通俗地解释是:授予Principal操作Securable的Permission。Principal是被授予权限的实体,Securable是table,view等对象,是P...
word源码java-rbac-security:基于角色的权限访问控制(Role-BasedAccessControl)
06-05
对系统的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。 同样用户被分配了多...
security-study:权限验证学习
03-26
权限类代表了一种特定的可授予或拒绝的系统操作,如文件读写、网络连接等。证书则用来证明代码的来源和信任度,通常包含发行者的数字签名。 在实际应用中,我们可能使用`java.security.Policy`类来定义和管理安全...
security-parent:SpringSecurity oauth2权限系统
03-28
- **资源服务器**:保护资源,验证访问令牌并决定是否授予访问权限。通过实现`ResourceServerConfigurerAdapter`来配置。 - **客户端**:第三方应用,需要获取用户的授权才能访问资源服务器的资源。 ### 4. 主要...
Spring Security-GrantedAuthority已授予权限权限检查
西京刀客
09-18 1679
Spring Security 【详解】GrantedAuthority(已授予权限) 参考URL: https://www.cnblogs.com/longfurcat/p/9417422.html GrantedAuthority接口 我们知道UserDeitails接口里面有一个getAuthorities()方法。这个方法将返回此用户的所拥有的权限。这个集合将用于用户的访问控制,也就是Authorization。 所谓权限,就是一个字符串。一般不会重复。 所谓权限检查,就是查看用户权限列表中是否含
SQL Server数据库权限
三空道人的博客
02-17 4254
前面博文《SQL Server服务器级权限》介绍了服务器级安全主题的权限,本文将继其之后,来介绍一下数据库级安全主题具有的权限,以及如何赋予、拒绝数据库用户、角色权限,并介绍查看用户、角色具有哪些权限的方法。 本文同样使用sys.fn_builtin_permissions来查看安全主题数据库具有的权限 SELECT * FROM sys.fn_builtin_permissions('...
数据库创建存储过程_创建存储过程来修复孤立的数据库用户
culuo4781的博客
07-17 407
数据库创建存储过程 问题 ( The Problem ) This problem demonstrates a very common scenario. When a backed up database is restored to a different location or server, the restored database users that exist insi...
Oracle 权限详解(grant,revoke)
鱼丸丶粗面
08-12 2997
文章目录1 概述2 分类2.1 系统权限2.2 对象权限2.3 角色权限3 示例3.1 权限回收3.2 权限传递 1 概述 1. Oracle 权限管理是十分严格的,这也是 Oracle 系统的精华之一 2. 基本权限操作 (1) grant select, insert on scott.emp to hr; -- 授权 (2) revoke select, insert on scott.emp from hr; -- 回收 2 分类 区别:'权限的 颗粒度 不同' 1. 系统权限 '
SQL Server服务器级权限
三空道人的博客
02-11 1855
SQLServer 2008共有26个服务器级权限,分别为 ADMINISTER BULK OPERATIONS ALTER ANY CONNECTION ALTER ANY CREDENTIAL CREATE ANY DATABASE ALTER ANY DATABASE VIEW ANY DATABASE CREATE END...
sql server
diaohuqiao7206的博客
07-26 188
目录 数据库的操作 SELECT name FROM master.dbo.sysdatabases--查看拥有的数据库,dbid>6时属于非系统的数据库 use databasename select * from sysobjects where xtype='U' --查询数据库的所有的表格 C = CHECK 约束 D =...
Security 11:用户和登录的ID和Name属性
悦光阴的博客
10-30 783
SQL Server的安全主体主要分为Login、User和Role,不仅有ID属性,还有Name属性和SID属性,SID是指Security ID。 一,查看数据库用户 数据库主体,可以从sys.database_principals中查看,不仅包含User,还包括数据库角色(DATABASE_ROLE)。每一个user不仅有ID属性,还有Name属性和SID属性。 数据库用户是指在特定的...
查询sqlserver用户默认数据库
once先森的博客
03-18 4324
SELECT * FROM sys.database_principals
(4.5)授权/权限操作/查看权限
weixin_30315723的博客
07-27 556
转自:http://blog.51cto.com/jimshu/1176573 一、概述 1、GRANT   将安全对象的权限授予主体。   GRANT SELECT ON Marketing.Salesperson( SalespersonID, EmailAlias) 2、DENY  拒绝授予主体权限。防止主体通过其组或角色成员身份继承权限。   DENY SELECT O...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悦光阴

你的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值