数据库安全管理课程(共92页).ppt

1、第第1414章章 平安管理平安管理o14.1 14.1 平安控制概述平安控制概述o14.2 14.2 登录帐户管理登录帐户管理o14.3 14.3 数据库用户管理数据库用户管理o14.4 14.4 数据库用户权限管理数据库用户权限管理o14.5 14.5 角色角色14.1 平安控制概述o平安性问题的提出平安性问题的提出o数据库平安性概念数据库平安性概念o计算机系统平安性层次计算机系统平安性层次o数据库平安控制模型数据库平安控制模型oSQL Server平安控制过程平安控制过程oSQL Server用户分类用户分类问题的提出问题的提出o数据库的一大特点是数据可以共享数据库的一大特点是数据可以共享

2、o数据共享必然带来数据库的平安性问题数据共享必然带来数据库的平安性问题o数据库系统中的数据共享不能是无条件的共享数据库系统中的数据共享不能是无条件的共享o例：军事秘密、国家机密、新产品实验数据、例：军事秘密、国家机密、新产品实验数据、o 市场需求分析、市场营销策略、销售方案、市场需求分析、市场营销策略、销售方案、o 客户档案、医疗档案、银行储蓄数据客户档案、医疗档案、银行储蓄数据数据库安全性数据库安全性数据库平安性概念o数据库的平安性是指保护数据库，防止因数据库的平安性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改用户非法使用数据库造成数据泄露、更改或破坏。或破坏。o数据库系统中的

3、数据共享必须是在数据库系统中的数据共享必须是在DBMS统一的严格的控制之下，只允许有合法使统一的严格的控制之下，只允许有合法使用权限的用户访问允许他存取的数据。用权限的用户访问允许他存取的数据。计算机系统平安性层次o物理层：计算机系统在物理硬件上的平安性保护。物理层：计算机系统在物理硬件上的平安性保护。o操作系统层：操作系统本身提供的平安性保护措操作系统层：操作系统本身提供的平安性保护措施。施。o网络层：网络平安控制机制。网络层：网络平安控制机制。o数据库系统层：数据库系统应该有完善的访问控数据库系统层：数据库系统应该有完善的访问控制机制，检查数据库用户的合法性以及数据库操制机制，检查数据库用

4、户的合法性以及数据库操作权限。作权限。o数据层：直接对数据加密。数据层：直接对数据加密。数据库平安控制模型文件操作控制操作权控制身份验证用户数据库应用程序数据库管理系统操作系统加密存储与冗余数据库数据库平安控制数据库系统层平安性保护措施o身份认证身份认证：系统内部记录着所有合法用户的：系统内部记录着所有合法用户的标识，每次用户要求进入系统时，由系统将标识，每次用户要求进入系统时，由系统将用户提供的身份标识与系统内部记录的合法用户提供的身份标识与系统内部记录的合法用户标识进行核对，通过鉴定后才提供系统用户标识进行核对，通过鉴定后才提供系统使用权。使用权。o操作权限控制操作权限控制：对于通过鉴定获

5、得系统使用：对于通过鉴定获得系统使用权的用户权的用户( (即合法用户即合法用户) )，系统根据他的存取，系统根据他的存取权限定义对他的各种操作请求进行控制确保权限定义对他的各种操作请求进行控制确保他只执行合法操作。他只执行合法操作。SQL Server平安控制过程SQL Server用户的平安验证过程o一个用户如果要访问一个用户如果要访问SQL ServerSQL Server数据库中的数据，他必须数据库中的数据，他必须要经过三个认证过程：要经过三个认证过程：o第一个认证过程是身份验证，这使用登录账号来标识用户，第一个认证过程是身份验证，这使用登录账号来标识用户，身份验证只验证用户连接到身份验

6、证只验证用户连接到SQL ServerSQL Server数据库效劳器的资数据库效劳器的资格，即验证该用户是否具有连接到数据库效劳器的格，即验证该用户是否具有连接到数据库效劳器的“连接连接权。权。o第二个认证过程是当用户访问数据库时，他必须具有对具第二个认证过程是当用户访问数据库时，他必须具有对具体数据库的访问权，即验证用户是否是数据库的合法用户。体数据库的访问权，即验证用户是否是数据库的合法用户。o第三个认证过程是当用户操作数据库中的数据或对象时，第三个认证过程是当用户操作数据库中的数据或对象时，他必须具有所要进行的数据库数据操作的操作权，即验证他必须具有所要进行的数据库数据操作的操作权，即

7、验证用户是否具有操作许可。用户是否具有操作许可。 三个平安认证过程图示三个平安认证过程图示SQL Server用户分类用户分类o根据用户登录层次分类根据用户登录层次分类o根据用户操作权限分类根据用户操作权限分类根据用户登录层次分类o分为分为SQL Server登录用户登录用户和和数据库用户数据库用户o只有先成为合法的只有先成为合法的SQL Server登录用户，登录用户，才有可能成为合法的数据库用户才有可能成为合法的数据库用户登录用户登录用户login user数据库用户数据库用户database user从用户操作权限角度分类o数据库中的用户按其操作权限的大小可分为如下三类：数据库中的用户按

8、其操作权限的大小可分为如下三类：o数据库系统管理员：数据库系统管理员在数据库系统管理员：数据库系统管理员在SQL Server中为中为sa在数据库中具有全部的权限，当用户以系统管在数据库中具有全部的权限，当用户以系统管理员身份进行操作时，系统不对其权限进行检验。理员身份进行操作时，系统不对其权限进行检验。o数据库对象拥有者：创立数据库对象的用户即为数据库数据库对象拥有者：创立数据库对象的用户即为数据库对象拥有者。数据库对象拥有者对其所拥有的对象具有对象拥有者。数据库对象拥有者对其所拥有的对象具有一切权限。一切权限。o数据库访问用户：数据库访问用户只具有对数据库数据数据库访问用户：数据库访问用户

9、只具有对数据库数据的增、删、改、查权。的增、删、改、查权。 14.2 登录帐户管理oSQL Server有三个默认的用户登录帐号有三个默认的用户登录帐号osa:拥有全部系统权限和数据库权限拥有全部系统权限和数据库权限oadministratorsbuiltin：SQL Server提供给提供给Windows 的系统管理员帐户的系统管理员帐户oGuest：默认的普通用户帐户：默认的普通用户帐户o系统管理员的工作系统管理员的工作 o建立新的登录用户建立新的登录用户o修改登录密码修改登录密码o删除登录用户删除登录用户SQL Server的帐户验证模式o帐户验证是用来确认登录帐户验证是用来确认登录SQ

10、L Server的用的用户登录帐号和密码的正确性，由此来验证其是户登录帐号和密码的正确性，由此来验证其是否具有连接否具有连接SQL Server的权限。的权限。 oSQL Server 提供了两种确认用户的验证模提供了两种确认用户的验证模式：式：oWindows身份验证模式身份验证模式n仅允许授权的仅允许授权的Windows用户访问用户访问SQL Servero混合身份验证模式混合身份验证模式n仅允许授权的仅允许授权的Windows用户和非用户和非Windows用用户访问户访问SQL Server连接SQL Server效劳器的过程 设置登录验证模式方法o在安装在安装SQL Server时设置

11、验证模式时设置验证模式o在企业管理器中设置验证模式在企业管理器中设置验证模式在安装在安装SQL ServerSQL Server时设置验证模式时设置验证模式在企业管理器中设置验证模式在企业管理器中设置验证模式验证模式选择验证模式选择建立新的登录帐户建立新的登录帐户o通过企业管理器新建登录用户通过企业管理器新建登录用户o利用系统存储过程利用系统存储过程sp_addlogin新建登录用户新建登录用户新的登录用户新的登录用户user1修改登录密码输入新密码输入新密码确认新密码确认新密码用用T-SQL语句建立登录帐户语句建立登录帐户CREATE LOGIN login_name WITH | FROM

12、 := WINDOWS WITH ,. := PASSWORD = password , ,. := SID = sid | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language := DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language2022年2月22日16时31分30例如例如o例例1创立创立SQL Server身份验证的登录帐身份验证的登录帐户。登录名为：户。登录名为：SQL_User2，密码为：，密码为：a1b2c3XY。oCREATE LOGIN SQL_Use

13、r2 o WITH PASSWORD = a1b2c3XY2022年2月22日16时31分31例如例如o例例2创立创立Windows身份验证的登录帐户。身份验证的登录帐户。从从Windows域帐户创立域帐户创立 HYJWin_User2 登录帐户。登录帐户。oCREATE LOGIN HYJWin_User2 o FROM WINDOWS2022年2月22日16时31分32例如例如o例例3创立创立SQL Server身份验证的登录帐身份验证的登录帐户。登录名为：户。登录名为：SQL_User3，密码为：，密码为：AD4h9fcdhx32MOP。要求该登录帐户首。要求该登录帐户首次连接效劳器时必

14、须更改密码。次连接效劳器时必须更改密码。 oCREATE LOGIN SQL_User3 o WITH PASSWORD = AD4h9fcdhx32MOP o MUST_CHANGE2022年2月22日16时31分33删除登录用户删除登录帐户的删除登录帐户的T-SQL语句语句DROP LOGIN login_name不能删除正在使用的登录帐户，也不能删除不能删除正在使用的登录帐户，也不能删除拥有任何数据库对象、效劳器级别对象的拥有任何数据库对象、效劳器级别对象的登录帐户。登录帐户。例例4删除删除SQL_User2登录帐户。登录帐户。 DROP LOGIN SQL_User22022年2月22

15、日16时31分3514.3 数据库用户管理o数据库用户管理概述数据库用户管理概述o数据库管理员的工作数据库管理员的工作o创立数据库的用户创立数据库的用户o删除数据库的用户略删除数据库的用户略 数据库用户管理概述数据库用户管理概述o用户具有了登录账号之后，他只能连接到用户具有了登录账号之后，他只能连接到SQL ServerSQL Server效劳器上，但不具有访问任何数据库的能力，只有成效劳器上，但不具有访问任何数据库的能力，只有成为了数据库的合法用户后，才能访问此数据库。为了数据库的合法用户后，才能访问此数据库。 o数据库的用户只能来自于效劳器上已有的登录账号，数据库的用户只能来自于效劳器上已

16、有的登录账号，让登录账号成为数据库的用户就称为让登录账号成为数据库的用户就称为“映射。映射。o一个登录账号可以映射为多个数据库中的用户。一个登录账号可以映射为多个数据库中的用户。o管理数据库用户的过程实际上就是建立登录账号与数管理数据库用户的过程实际上就是建立登录账号与数据库用户之间的映射关系的过程。据库用户之间的映射关系的过程。o默认情况下，新建立的数据库只有一个用户，就是：默认情况下，新建立的数据库只有一个用户，就是：dbodbo，它是数据库的拥有者。，它是数据库的拥有者。 授权登录用户为数据库用户授权登录用户为数据库用户o方法一：在企业管理器方法一：在企业管理器 “平安性中创立数据平安性

17、中创立数据库用户库用户o方法二：在数据库方法二：在数据库“用户对象中创立数据库用户对象中创立数据库用户用户o方法三：利用系统存储过程方法三：利用系统存储过程sp_grantdbaccess 创立数据库用户创立数据库用户在在“平安性中创立数据库用户平安性中创立数据库用户查看新建的数据库用户查看新建的数据库用户在数据库在数据库“用户用户 中创立数据库用户中创立数据库用户查看新建的数据库用户查看新建的数据库用户用用T-SQL语句建立数据库用户语句建立数据库用户CREATE USER user_name FOR | FROM LOGIN login_name user_name：指定在此数据库中用于识

18、别该用：指定在此数据库中用于识别该用户的名称。户的名称。LOGIN login_name：指定要映射为数据库用：指定要映射为数据库用户的户的SQL Server登录名。登录名。如果省略如果省略FOR LOGIN，那么新的数据库用户将，那么新的数据库用户将被映射到同名的被映射到同名的SQL Server登录名。登录名。2022年2月22日16时31分45例如例如o例例5.让让SQL_User2登录帐户成为登录帐户成为students数据库中的用户，并且用户数据库中的用户，并且用户名同登录名。名同登录名。USE students;GOCREATE USER SQL_User22022年2月22日1

19、6时31分46例如例如o例例6.本例如首先创立名为本例如首先创立名为SQL_JWC且具有且具有密码的密码的SQL Server身份验证的效劳器登录身份验证的效劳器登录名，然后在名，然后在students数据库中创立与此登录数据库中创立与此登录帐户对应的数据库用户帐户对应的数据库用户JWC。oCREATE LOGIN SQL_JWC oWITH PASSWORD = jKJl3$nN09jsK84;oGOoUSE students;oGOoCREATE USER JWC FOR LOGIN SQL_JWC;2022年2月22日16时31分4714.3.3 删除数据库用户删除数据库用户DROP U

20、SER user_nameo例例7删除删除SQL_User2用户。用户。 DROP USER SQL_User22022年2月22日16时31分4814.4 数据库用户权限管理o权限管理概述权限管理概述o权限种类权限种类 o权限管理的内容权限管理的内容o使用企业管理器使用企业管理器管理权限管理权限o使用使用Transact-SQLTransact-SQL管理权限管理权限权限管理概述权限管理概述o当用户成为数据库中的合法用户之后，当用户成为数据库中的合法用户之后，他除了具有一些系统表的查询权之外，他除了具有一些系统表的查询权之外，并不对数据库中的对象具有任何操作权，并不对数据库中的对象具有任何操

21、作权，因此，下一步就需要为数据库中的用户因此，下一步就需要为数据库中的用户授予数据库的操作权。授予数据库的操作权。o实际上将登录账号映射为数据库用户的实际上将登录账号映射为数据库用户的目的也是为了方便对用户授予数据库对目的也是为了方便对用户授予数据库对象的操作权。象的操作权。权限种类权限种类 在在SQL Server 2000 中，权限分为对象权限、语句权限中，权限分为对象权限、语句权限和隐含的权限三种。和隐含的权限三种。对象权限：对象权限是指用户对数据库中的表、视图等对象对象权限：对象权限是指用户对数据库中的表、视图等对象的操作权，例如是否允许查询、增加、删除和修改数据等。的操作权，例如是否

22、允许查询、增加、删除和修改数据等。语句权限：这种权限专指是否允许执行以下语句：语句权限：这种权限专指是否允许执行以下语句：CREATE TABLE、CREATE VIEW等与创立数据库对象有关的操等与创立数据库对象有关的操作。作。隐含权限：隐含权限是指由隐含权限：隐含权限是指由SQL Server预定义的效劳器角色、预定义的效劳器角色、数据库角色、数据库拥有者和数据库对象拥有者所具有的数据库角色、数据库拥有者和数据库对象拥有者所具有的权限，隐含权限相当于内置权限，不需要再明确地授予这权限，隐含权限相当于内置权限，不需要再明确地授予这些权限。例如，数据库拥有者自动地拥有对数据库进行一些权限。例如

23、，数据库拥有者自动地拥有对数据库进行一切操作的权限。切操作的权限。对象权限对象权限oALTER：具有更改特定数据库对象属性的：具有更改特定数据库对象属性的权限。权限。oDELETE、INSERT、UPDATE和和SELECT：具有对表和视图数据进行删除、：具有对表和视图数据进行删除、插入、更改和查询的权限，其中插入、更改和查询的权限，其中UPDATE和和SELECT可以对表或视图的单个列进行授可以对表或视图的单个列进行授权。权。oEXECUTE：具有执行存储过程的权限。：具有执行存储过程的权限。oREFERENCES：具有通过外键引用其他表：具有通过外键引用其他表的权限。的权限。2022年2月

24、22日16时31分52语句权限语句权限oCRAETE TABLE：创立表的权限。：创立表的权限。oCREATE VIEW：创立视图的权限。：创立视图的权限。oCREATE PROCEDURE：创立存储过程的：创立存储过程的权限。权限。oCREATE FUNCTION：创立函数的权限。：创立函数的权限。2022年2月22日16时31分5314.4.2 权限管理权限管理o权限的管理包含如下三个内容：权限的管理包含如下三个内容：o授予权限：允许用户或角色具有某种操作权。授予权限：允许用户或角色具有某种操作权。o收回权限：不允许用户或角色具有某种操作权，收回权限：不允许用户或角色具有某种操作权，或者收

25、回曾经授予的权限。或者收回曾经授予的权限。o禁止权限拒绝访问：拒绝某用户或角色具禁止权限拒绝访问：拒绝某用户或角色具有某种操作权，既使用户或角色由于继承而获有某种操作权，既使用户或角色由于继承而获得这种操作权，也不允许执行相应的操作。得这种操作权，也不允许执行相应的操作。o管理权限可以使用企业管理器实现，也可以使管理权限可以使用企业管理器实现，也可以使用用Transact-SQL语句实现。语句实现。使用企业管理器使用企业管理器管理权限管理权限o使用企业管理器使用企业管理器管理对象权限管理对象权限o使用企业管理器使用企业管理器管理语句权限管理语句权限使用企业管理器管理对象权限仓库管理数据库中的仓

26、库管理数据库中的user1用户用户权限标记说明o授予权限：假设要授予用户对某个对象表、授予权限：假设要授予用户对某个对象表、视图、存储过程的操作权表和视图为：视图、存储过程的操作权表和视图为：SELECT、INSERT、UPDATE、DELETE，存储过程为：存储过程为：EXEC，可单击相应的方框，可单击相应的方框，使其中出现使其中出现标记。标记。o禁止权限：假设要拒绝此用户对某个对象的禁止权限：假设要拒绝此用户对某个对象的操作权，可单击相应的方框，使其中出现操作权，可单击相应的方框，使其中出现标标记。记。o收回权限：假设要收回此用户对某个对象的收回权限：假设要收回此用户对某个对象的操作权，可

27、单击相应的方框，使其方框成为空操作权，可单击相应的方框，使其方框成为空的。的。使用企业管理器管理语句权限使用使用Transact-SQLTransact-SQL语句管理权限语句管理权限z 管理权限语句在管理权限语句在SQL语言中属于数据控制语句语言中属于数据控制语句DCL。z在在Transact-SQL语句中，用于管理权限的语句有三个：语句中，用于管理权限的语句有三个：zGRANT语句用于授权语句用于授权:允许用户或角色具有某种操允许用户或角色具有某种操作权。作权。zREVOKE语句用于收回权限语句用于收回权限:不允许用户或角色具不允许用户或角色具有某种操作权，或者收回曾经授予的权限。有某种操

28、作权，或者收回曾经授予的权限。zDENY语句用于禁止权限语句用于禁止权限:拒绝某用户或角色具有拒绝某用户或角色具有某种操作权，既使用户或角色由于继承而获得这种操作某种操作权，既使用户或角色由于继承而获得这种操作权，也不允许执行相应的操作。权，也不允许执行相应的操作。使用使用Transact-SQLTransact-SQL语句管理对象权限语句管理对象权限o授予对象权限授予对象权限 o收回撤消对象权限收回撤消对象权限 o禁止拒绝对象权限禁止拒绝对象权限授予对象权限语句授予对象权限语句GRANT GRANT 对象权限名对象权限名 ， ON ON 表名表名 | | 视图名视图名 | | 存存储过程名储

29、过程名 TO TO 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， 其中：对象权限名可以是其中：对象权限名可以是ALLALL、SELECTSELECT、INSERTINSERT、UPDATEUPDATE、DELETEDELETE和和EXECUTEEXECUTE等等例：为用户例：为用户user1user1授予仓库表的查询权。授予仓库表的查询权。 GRANT SELECT ON GRANT SELECT ON 仓库仓库 TO user1TO user1例：为用户例：为用户user1user1授予职工表的查询权和插入权。授予职工表的查询权和插入权。 GRANT SELECTGRANT S

30、ELECT，INSERT ON INSERT ON 职工职工 TO user1TO user1收回对象权限语句收回对象权限语句REVOKE REVOKE 对象权限名对象权限名 ， ON ON 表名表名 | | 视图名视图名 | | 存储过程名存储过程名 FROM FROM 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， 例：例：收回用户收回用户user1user1对对职工职工表的查询权。表的查询权。REVOKE SELECT ON REVOKE SELECT ON 职工职工 FROM user1FROM user1禁止对象权限语句禁止对象权限语句DENY DENY 对象权限名对象权

31、限名 ， ON ON 表名表名 | | 视图视图名名 | | 存储过程名存储过程名 TO TO 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， 例：例：禁止禁止user1user1用户具有用户具有职工职工表的更改权。表的更改权。 DENY UPDATE ON DENY UPDATE ON 职工职工 TO user1TO user1使用Transact-SQL语句管理语句权限o授权语句授权语句GRANT GRANT 语句权限名语句权限名 ， TO TO 数据库用户名数据库用户名 | | 用户用户角色名角色名 ， o收权语句收权语句REVOKE REVOKE 语句权限名语句权限名 ，

32、FROM FROM 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， o拒绝权限拒绝权限 DENY DENY 语句权限名语句权限名 ， TO TO 数据库用户名数据库用户名 | | 用用户角色名户角色名 ， 语句权限名可以是：语句权限名可以是：nBACKUP DATABASE BACKUP DATABASE nBACKUP LOG BACKUP LOG nCREATE DATABASE CREATE DATABASE nCREATE DEFAULT CREATE DEFAULT nCREATE FUNCTION CREATE FUNCTION nCREATE PROCEDURE CR

33、EATE PROCEDURE nCREATE RULE CREATE RULE nCREATE TABLE CREATE TABLE nCREATE VIEW CREATE VIEW 例：授予例：授予user1具有创立数据库表的权限。具有创立数据库表的权限。 GRANT CREATE TABLE TO user1例：授予例：授予user1和和user2具有创立数据库表和视图的权限。具有创立数据库表和视图的权限。 GRANT CREATE TABLE, CREATE VIEW TO user1, user2例：收回授予例：收回授予user1创立数据库表的权限。创立数据库表的权限。 REVOKE

34、CREATE TABLE FROM user1例：拒绝例：拒绝user1创立视图的权限。创立视图的权限。 DENY CREATE VIEW TO user114.5 数据库用户角色o角色概念与分类角色概念与分类o管理效劳器角色管理效劳器角色o管理数据库角色管理数据库角色角色概念与分类o在数据库中，为便于对用户及权限的管理，可以将在数据库中，为便于对用户及权限的管理，可以将一组具有相同权限的用户组织在一起，这一组具有一组具有相同权限的用户组织在一起，这一组具有相同权限的用户就称为角色相同权限的用户就称为角色RoleRole。 o在在SQL Server 2000SQL Server 2000中，

35、角色分为固定的系统角色和中，角色分为固定的系统角色和用户自定义的角色。用户自定义的角色。o系统角色又分为固定的效劳器角色和固定的数据库系统角色又分为固定的效劳器角色和固定的数据库角色，效劳器角色是为整个效劳器设置的，而数据角色，效劳器角色是为整个效劳器设置的，而数据库角色是为具体的数据库设置的。库角色是为具体的数据库设置的。o用户自定义的角色属于数据库一级的角色。用户自用户自定义的角色属于数据库一级的角色。用户自定义的数据库角色有两种类型：即标准角色和应用定义的数据库角色有两种类型：即标准角色和应用程序角色。程序角色。 管理数据库角色o使用企业管理器管理数据库角色使用企业管理器管理数据库角色o

36、使用系统存储过程管理数据库角色使用系统存储过程管理数据库角色使用企业管理器管理数据库角色使用企业管理器管理数据库角色o显示固定的数据库角色显示固定的数据库角色o管理自定义的数据库标准角色管理自定义的数据库标准角色 o建立自定义的应用程序角色建立自定义的应用程序角色显示固定的系统数据库角色显示固定的系统数据库角色管理自定义的数据库标准角色管理自定义的数据库标准角色o创立数据库标准角色创立数据库标准角色o为自定义的角色授权为自定义的角色授权 o添加自定义角色的成员添加自定义角色的成员 o删除自定义角色的成员删除自定义角色的成员 略略创立数据库标准角色创立数据库标准角色输入角色名输入角色名说明：也可

37、暂不添加用户说明：也可暂不添加用户新角色新角色为自定义的角色授权单击单击添加自定义角色的成员单击单击建立用户定义的角色建立用户定义的角色CREATE ROLE role_name AUTHORIZATION owner_name role_name：待创立角色的名称。：待创立角色的名称。 AUTHORIZATION owner_name：将：将拥有新角色的数据库用户或角色。如果未拥有新角色的数据库用户或角色。如果未指定用户，那么执行指定用户，那么执行CREATE ROLE的的用户将拥有该角色。用户将拥有该角色。2022年2月22日16时31分87例如例如例例1.创立用户自定义角色：创立用户自定义角色：CompDept，拥有，拥有者为创立该角色的用户。者为创立该角色的用户。CREATE ROLE CompDept;例例2.创立用户自定义角色：创立用户自定义角色：InfoDept，拥有者，拥有者为为SQL_User1。 CREATE ROLE InfoDept AUTHORIZATION SQL_User1;2022年2月22日16时31分88为用户定义的角色授权为用户定义的角色授权o使用使用SQL语句实现对用户角色的授权与为数语句实现对用户角色的授权与为数据库用户授权完全一样。据库用户授权完全一样。o例例3.为为Software角色授予角色授予Stud