Заняття 12. Керування правами доступу

право надавати повноваження
користувач, який не має права надавати повноваження
рядові користувачі

або обліковий запис користувача (login) та пароль (password). Таким чином

ви автоматично стаєте адміністратором бази даних, тобто користувачем з повним об’ємом повноважень.
Якщо адміністратору необхідно виконати деяку роботу, для якої не потрібні повноваження, то йому краще увійти у систему під іменем користувача з мінімальними повноваженнями, які дозволяють вирішити цю задачу.

базою даних;
несе велику відповідальність за порушення правил роботи з

базою даних та за зіпсуті дані;
створює інших користувачів бази даних, визначаючи для них імена і права (може створити ще одного адміністратора);
має повноваження надати та анулювати права доступу для інших користувачів.

(таблицю чи віртуальну таблицю), стає власником (owner) цього об’єкта.
Це користувач

БД з повноваженнями, який може призначити іншого власника цього ж об’єкта.
Власник таблиці володіє усіма повноваженнями відносно цієї таблиці, включаючи керування доступом до неї.
Власник віртуальної таблиці може і не бути власником базових таблиць (створивши віртуальну таблицю, можна захистити базові таблиці, власниками яких є інші користувачі).

який має право надавати повноваження;
користувач, який не має права надавати

повноваження;
рядові користувачі.
Якщо уповноважений користувач надає права доступу типу PUBLIC, то їх отримують усі користувачі бази даних.

] ...

Специфікація користувача:
[IDENTIFIED BY [PASSWORD] 'password']

RENAME

USER <старий логін користувача> TO <новий логін користувача>
[, <старий логін користувача> TO <новий логін користувача>] ...

DROP USER <логін користувача> [, <логін користувача>] ...

поки вони йому не нададуться спеціально тим користувачем, у якого

вже є ці права і який має повноваження надавати права іншим користувачам.
Спочатку адміністратор створює користувачів і надає їм деякі права.
Якщо хтось із створених користувачів має повноваження передавати права, то створивши таблицю чи віртуальну таблицю, він може передати права на неї іншим користувачам.
І так далі.

[()]...
ON [

користувача>] ...
[REQUIRE {NONE | [[AND] ] ...}]
[WITH <опція> ...]

інструкції GRANT розділяються комами.
Якщо необхідно надати усі права, то

вказують ключові слова ALL PRIVILEGES (усі повноваження).

право додавання нових записів з вставкою значень для вказаних стовпців;
UPDATE[(

стовпців>)] – право зміни значень вказаних стовпців; якщо імена стовпців не вказані, то маються на увазі усі стовпці;
USAGE – право на домени, набори символів, співставлення і трансляції;
UNDER – право на структуровані типи даних;
CREATE – право на створення об'єктів;
EXECUTE – право на виконання зовнішньої програми.

розділеними комами.
Замість списку можна вказати ключове слово '@'localhost (публіка). У

цьому випадку права, вказані в інструкції GRANT, отримують усі користувачі БД.

даних
CREATE USER 'someuser'@'localhost' IDENTIFIED BY 'somepass';
GRANT SELECT ON mydb.* TO

'someuser'@'localhost';

об’єктів бази даних (при цьому власники надають права лише на

об’єкти, якими володіють);
Треті особи, які отримали права доступу від адміністратора і/або власника, вже не можуть надавати права. Таке обмеження дозволяє адміністратору і власникам зберегти контроль над базою даних.
Однак, бувають ситуації, коли необхідно делегувати повноваження надавати свої права іншим користувачам (наприклад, помічникам або заміні під час відпустки).
У цьому випадку в інструкції GRANT використовується фраза WITH GRANT OPTION.

[

ALL PRIVILEGES, GRANT OPTION
FROM <логін користувача> [, <логін користувача>] ...

відміни повноважень, а навпаки – надання повноважень.
Як правило, надання

прав багатьом користувачам на велику кількість об’єктів пов’язане з великим об’ємами SQL-коду.
Комбінуючи оператори GRANT та REVOKE, надаючи спочатку широкі повноваження для багатьох користувачів, а потім обмежуючи їх для деяких користувачів, можна скоротити загальний об’єм SQL-коду.

переглядати, додавати і видаляти записи таблиці Table_1(Id_Col,Col1,Col2,Col3,Col4). Також вони можуть

змінювати значення стовпців, крім стовпця Id_Col. Усі інші користувачі можуть лише переглядати записи.
Такий розподіл прав можна виконати двома способами.

випадку надання прав на зміну, треба перелічити усі стовпці, дозволені

для цього.
GRANT SELECT ON Table_1 TO ''@'localhost';
GRANT INSERT, DELETE ON Table_1 TO 'User_1'@'localhost', 'User_2'@'localhost';
GRANT UPDATE (Col1,Col2,Col3,Col4) ON Table_1 TO 'User_1'@'localhost', 'User_2'@'localhost';

потім відізвати право оновлювати заборонений стовпець :
GRANT SELECT ON Table_1

TO ''@'localhost';
GRANT INSERT, UPDATE, DELETE ON Table_1 TO 'User_1'@'localhost', 'User_2'@'localhost';
REVOKE UPDATE (Id_Col) ON Table_1 TO 'User_1'@'localhost', 'User_2'@'localhost';

т.д. існує команда SHOW.
Основні типи команди SHOW:
SHOW CREATE DATABASE

бази даних>
SHOW CREATE FUNCTION <ім'я функції>
SHOW CREATE PROCEDURE <ім'я процедури>
SHOW CREATE TABLE <ім'я табл>
SHOW DATABASES []
SHOW GRANTS FOR <логін користувача>
SHOW INDEX FROM <ім'я табл> [FROM <ім'я бази даних>]
SHOW PRIVILEGES
SHOW TRIGGERS [FROM <ім'я бази даних>] []

користувачів для сервера, одному з яких встановити пароль.
1 користувачу (із

паролем) надати права адміністратора для власної бази даних.
1 користувачу надати права перегляду всіх таблиць бази даних та можливості додання та модифікації даних для 1 таблиці.
1 користувачу надати права перегляду усієї бази даних та можливість створення об'єктів в цій базі (збережених процедур, віртуальних таблиць і т.д.).
Останнім 2-м користувачам заборонити перегляд 1 із таблиць бази даних.