Security6:查看授予的权限

最新推荐文章于 2024-02-20 22:21:25 发布
最新推荐文章于 2024-02-20 22:21:25 发布
阅读量103 收藏
点赞数
文章标签: 数据库
原文链接:https://yq.aliyun.com/articles/385798
版权

在SQL Server的安全体系中,权限分为服务器级别(Server-Level)和数据库级别(Database-Level),用户的权限分为两种形式,分别是直接授予的权限,以及由于加入角色而获得的权限。在安全体系中,授予权限涉及到有三种对象,分别是权限(Permission)、安全主体(Principal)和安全对象(Securable),授予权限的过程,可以用一句话概括:Grants permissions on a securable to a principal。

一,查看服务器级别的权限

在服务器级别,安全主体(Principal)是指Login和Server Role,权限对应的是服务器级别的权限。

1,查看服务器级别的安全主体

系统视图:sys.server_principals 用于查看服务器级别的安全主体:

  • name:主体的名称
  • principal_id:主体ID
  • sid:主体的SID (Security-IDentifier),如果主体是Windows的登陆或组,那么该字段是Winows SID
  • type:主体的类型,常见的主体类型是:SERVER_ROLE、SQL_LOGIN、WINDOWS_GROUP、WINDOWS_LOGIN

2,由于属于角色而获得的权限

系统视图:sys.server_role_members 用于查看属于服务器角色(Server Role)的Login:

复制代码 
select r.principal_id as role_id
    ,r.name as role_name
    ,r.is_fixed_role
    ,r.type_desc as role_type
    ,m.principal_id as member_id
    ,m.name as member_name
    ,m.is_disabled
    ,m.type_desc as member_type
from sys.server_role_members srm 
inner join sys.server_principals r
    on srm.role_principal_id=r.principal_id
inner join sys.server_principals m
    on srm.member_principal_id=m.principal_id
复制代码

3,直接授予的权限

系统视图:sys.server_permissions,用于查看服务器级别的权限

  • class:权限存在的分类,常见的分类是:SERVER、SERVER_PRINCIPAL、ENDPOINT

  • grantee_principal_id指定:被授予权限的主体ID,grantor_principal_id 指定:授予者的主体ID。

  • type:服务器级别的权限类型(server permission type);
  • permission_name:服务器级别的权限的名称;
  • state:权限的状态,分别是DENY、REVOKE、GRANT、GRANT_WITH_GRANT_OPTION;

如果安全主体是Login,那么查看Login被直接授予的权限;如果安全主体是Role,那么查看Role被授予的权限。

复制代码 
select pr.principal_id
    ,pr.name as principal_name
    ,pr.type_desc as principal_type
    ,pe.class_desc as class
    ,pe.permission_name
    ,pe.state_desc as state
from sys.server_principals pr
inner join sys.server_permissions pe
    on pr.principal_id=pe.grantee_principal_id
复制代码

二,查看Login和User的映射

Login和User 通过sid关联,用户是存在于特定数据库的安全主体,如果User没有映射到Login,那么该用户称作孤立用户(Orphaned User),也就是说,User的sid不能映射到Login的sid。

复制代码 
select sp.principal_id as login_id
    ,sp.name as login_name
    ,sp.type_desc as login_type
    ,dp.principal_id as user_id
    ,dp.name as user_name
    ,dp.type_desc as user_type
    ,dp.authentication_type_desc as authentication_type
from sys.server_principals sp
inner join sys.database_principals dp 
    on dp.sid=sp.sid
复制代码

三,查看数据库级别的权限

在数据库级别,安全主体是User和Role,权限对应的是数据库级别的权限,包括操作数据库对象,执行的权限等。

1,查看数据库级别的安全主体

系统视图:sys.database_principals 用于查看数据库级别的安全主体:

  • name:主体的名称;
  • principal_id:主体ID;
  • sid:主体的SID (Security-IDentifier),如果主体是Windows的登陆或组,那么该字段是Winows SID;
  • type:主体的类型,常见的主体类型是:SQL_USER、WINDOWS_USER、WINDOWS_GROUP、DATABASE_ROLE;
  • authentication_type:验证类型,常见的是DATABASE 和 WINDOWS;
  • owning_principal_id:安全主体(Principal)的所有者,除了数据角色之外的所有主体的所有者必须是dbo;

系统视图:sys.database_permissions 用于查看数据库级别的权限:

  • class:权限存在的分类,常见的分类是:DATABASE、OBJECT_OR_COLUMN、SCHEMA、DATABASE_PRINCIPAL

  • grantee_principal_id指定:被授予权限的主体ID,grantor_principal_id 指定:授予者的主体ID。

  • type:数据库级别的权限类型(server permission type);
  • permission_name:数据库级别的权限的名称;
  • state:权限的状态,分别是DENY、REVOKE、GRANT、GRANT_WITH_GRANT_OPTION;
  • 安全对象(Securable):通过major_id 和 minor_id 指定安全对象

major_id:该字段共有3种类型的数值:

  • 正整数,标识数据库对象,是object_id;
  • 0,标识数据库级别的授权,class是DATABASE;
  • 负整数,标识系统对象;

minor_id:该字段共有2种类型的数值:

  • 正整数,标识的是数据库对象的column_id,该字段连接到sys.columns中的column_id;
  • 0,标识的是整个数据库对象object;

2,查询数据库Role的成员

系统视图:sys.database_role_members 用于查看数据库级别的角色和数据库主体的映射关系。

复制代码 
select r.principal_id as role_id 
    ,r.name as role_name
    ,r.type_desc as role_type
    ,r.is_fixed_role
    ,u.name as member_name
    ,u.type_desc as member_type
    ,u.authentication_type_desc as member_authentication
from sys.database_role_members rm
inner join sys.database_principals r
    on rm.role_principal_id=r.principal_id 
inner join sys.database_principals u
    on rm.member_principal_id=u.principal_id 
where r.type='R'    --database role
order by role_name
复制代码

3,查看数据库级别的安全主体的权限

复制代码 
select pr.principal_id
    ,pr.name as principal_name
    ,pr.type_desc as principal_type
    ,pr.is_fixed_role
    ,pr.authentication_type_desc as authentication_type
    ,pe.permission_name
    ,pe.class_desc as permission_class
    ,pe.state_desc as permission_state
    ,pe.major_id
    ,pe.minor_id
from sys.database_principals as pr
inner join sys.database_permissions as pe
    on pe.grantee_principal_id = pr.principal_id
order by pr.name;
复制代码

4,查看数据库对象上的权限

复制代码 
select pr.principal_id
    ,pr.name
    ,pr.type_desc
    ,pr.authentication_type_desc
    ,pe.permission_name
    ,pe.class_desc
    ,pe.state_desc
    ,o.name as object_name
    ,isnull(c.name,'entire_table') as column_name
from sys.database_principals as pr
inner join sys.database_permissions as pe
    on pe.grantee_principal_id = pr.principal_id
inner join sys.objects as o
    on pe.major_id=o.object_id
left join sys.columns c 
    on o.object_id=c.object_id
        and pe.minor_id=c.column_id
where pe.class=1    -- Object or Column
order by pr.name
    ,o.name
    ,c.column_id;
复制代码

5,查看数据库schema上的权限

复制代码 
select pr.principal_id
    ,pr.name
    ,pr.type_desc
    ,pr.authentication_type_desc
    ,pe.permission_name
    ,pe.class_desc
    ,pe.state_desc
    ,s.name as schema_name
from sys.database_principals as pr
inner join sys.database_permissions as pe
    on pe.grantee_principal_id = pr.principal_id
inner join sys.schemas as s 
    on pe.major_id=s.schema_id
where pe.class=3    -- Object or Column
order by pr.name;
复制代码

 

参考文档:

Security Catalog Views (Transact-SQL)

作者悦光阴
本文版权归作者和博客园所有,欢迎转载,但未经作者同意,必须保留此段声明,且在文章页面醒目位置显示原文连接,否则保留追究法律责任的权利。
分类: Security
标签: Security, 安全, 权限

本文转自悦光阴博客园博客,原文链接:http://www.cnblogs.com/ljhdo/p/5610029.html,如需转载请自行联系原作者
weixin_34247155
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
security-study:权限验证学习
03-26
权限类代表了一种特定的可授予或拒绝的系统操作,如文件读写、网络连接等。证书则用来证明代码的来源和信任度,通常包含发行者的数字签名。 在实际应用中,我们可能使用`java.security.Policy`类来定义和管理安全...
springsecurity角色和权限
12-13
角色通常包含一组权限,通过角色分配,可以方便地批量授予用户相应的操作权限。 2. **配置角色和权限** 在Spring Security配置中,我们可以定义安全拦截规则,如`@Secured`或`@PreAuthorize`注解,来指定哪些方法...
Security5:授予权限
weixin_34249367的博客
01-30 111
SQL Server授予用户访问对象的权限,通常的模式是:Grants permissions on a securable to a principal(user or login),也就是说,授予权限的命令分为三部分:Permission,Securable 和 Principal,用一句话来解释这三个概念:授予 Principal 操作 Secu...
MySQL 查看用户授予权限
亘优科技
10-17 583
在MySQL中,如何查看一个用户被授予了那些权限呢? 授予用户的权限可能分全局层级权限数据库层级权限、表层级别权限、列层级别权限、子程序层级权限。具体分类如下: 全局层级 全局权限适用于一个给定服务器中的所有数据库。这些权限存储在mysql.user表中。GRANT ALL ON *.*和REVOKE ALL ON *.*只授予和撤销全局权限数据库层级 数据库权限适用于一个给定数据库...
Linux之用户授权及权限安全
weixin_43936250的博客
01-09 1412
给文件设定权限可以使文件被允许使用的用户操作,可以保护文件的安全。Linux中文件的一般权限分为r(读)、w(写)和x(执行)。通过命令ls -l 文件/目录可以查看文件/目录的权限。 以文件file为例,介绍文件权限查看。 第一位-表示该文件类型为文件,我们分析后面的rw-rw-r--。 read write execute user yes yes no group ...
Security6.2 中的SpEL 表达式应用(权限注解使用)
最新发布
慢慢来的博客
02-20 790
最近学习若依框架,里面的权限注解涉及到了SpEL表达式 @PreAuthorize("@ss.hasPermi('system:user:list')"),若依项目中用的是自己写的方法进行权限处理, 也可以只用security 来实现权限逻辑代码,下面写如何用security 实现。1、securityConfig文件上加入注解@EnableMethodSecurity,且引入自定义评估器:CustomPermissionEvaluator。2、编写CustomPermissionEvaluator文件。
spring boot security 安全权限 ---6特性方法说明
liwei10822的博客
01-02 1055
spring boot security 安全权限 ---6特性方法说明
security-parent:SpringSecurity oauth2权限系统
03-28
- **资源服务器**:保护资源,验证访问令牌并决定是否授予访问权限。通过实现`ResourceServerConfigurerAdapter`来配置。 - **客户端**:第三方应用,需要获取用户的授权才能访问资源服务器的资源。 ### 4. 主要...
springboot整合Security、OAuth2实现权限控制
09-24
6. 权限控制:定义角色和权限,使用@PreAuthorize、@Secured等注解进行细粒度的访问控制。 7. 客户端管理:配置OAuth2客户端,定义客户端ID、秘钥和授权类型。 通过以上步骤,我们可以构建一个安全、可扩展的Spring...
srping权限认证、分布式、Security 、oAuth
01-06
在本文中,我们将深入探讨Spring Security和OAuth2这两个在IT行业中用于权限认证和分布式系统安全的重要概念。Spring Security是一个强大的安全框架,而OAuth2则是一种授权协议,它们共同为企业微服务架构提供了安全...
sql服务器查看数据信息,[数据库]SqlServer查看数据库信息及服务器级、数据库级、数据库独立 用户权限...
weixin_33404102的博客
08-11 364
sqlserver数据库信息、数据库权限 --数据库清单SELECT * FROM Master..SysDatabases ORDER BY Name; --服务器级用户权限WITH CTE AS(SELECT u.name AS UserName,u.is_disabled AS IsDisabled,g.name as svrRole,'√' as 'flag'FROM sys.serve...
Spring Security 6使用自定义数据库存储用户权限
weixin_52019286的博客
01-24 356
1] 自定义实体@Entity@Getter@Setter@ToString@Id@Override@Override[2] 自定义repository[3] 自定义CustomerUserDetailsSpring Security 使用UserDetailsService实例来存取用户信息,因此,这里我们实现了这个接口,从自定义的customers表中提取信息,创建UserDetails对象。
Sql Server来龙去脉系列 必须知道的权限控制核心篇
weixin_34026484的博客
01-06 154
    最近写了《Sql Server来龙去脉系列  必须知道的权限控制基础篇》,感觉反响比较大。这可能也说明了很多程序猿对数据库权限控制方面比较感兴趣,或者某些技术点了解的没有很透彻。 有些人看了上篇感觉意犹未尽,介绍的都是基础方面,不够深入。那么本篇内容就比较符合大家的胃口,本篇包括了数据库常用的权限控制,例如服务角色以及数据库角色管理。 提几个问题     在介绍权限控制之前先提下面几个...
SpringBoot 集成 Spring Security 自定义权限逻辑备忘
nangongyanya的专栏
03-28 2419
继上一次记录《SpringBoot 集成 Spring Security 自定义认证逻辑备忘》之后,这次记录一下SpringBoot 集成 Spring Security 自定义权限逻辑 源码位置:码云地址、CSDN下载地址 主要分为三步:1、用户自定义认证通过后获取数据库栏目地址列表;2、添加自定义权限校验器SecurityPermissionEvaluator; 3、注入自定...
SpringSecurity实现动态鉴权
weixin_42943586的博客
06-25 1053
SpringSecurity的鉴权原理 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而我们今天要说的动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 FilterSecurityInterceptor 想知道怎么动态鉴权首先我们要搞明白SpringSecurity的鉴权逻辑,从上图中我们也可以看出:FilterSecurityInterceptor是这个过滤链的最后一环,而认证之后就是鉴权,所以我们的FilterSecurityInterceptor
SQL Server服务器级权限
三空道人的博客
02-11 1713
SQLServer 2008共有26个服务器级权限,分别为 ADMINISTER BULK OPERATIONS ALTER ANY CONNECTION ALTER ANY CREDENTIAL CREATE ANY DATABASE ALTER ANY DATABASE VIEW ANY DATABASE CREATE END...
spring security 获取当前用户信息及权限
守护
11-11 1万+
spring security 获取当前用户信息及权限 一、在程序中获取用户信息 UserDetails userDetails = (UserDetails); SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 在程序中获取权限信息 Collection<? extends GrantedAut...
mysql用户权限管理:查看用户权限授予用户权限、收回用户权限
热门推荐
chushiyan的博客
07-25 4万+
mysql用户权限管理:查看用户权限授予用户权限、收回用户权限 查看用户权限授予用户权限、收回用户权限命令总结: 项 命令示例 查看用户权限 show grants;show grants for chushiyan@localhost; 授予用户权限 grant insert on test.* to chushiyan@localhost;grant delete on test.* to chushiyan@localhost;grant update on test.* to
5.7security权限
09-18
5.7security权限是MySQL数据库中的一种权限控制机制,用于限制用户对数据库的操作。它通过授予用户不同级别的权限来实现对特定数据库、表或列的访问和修改的控制。 5.7security权限包括以下几个方面: 1. 用户管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值