| 获得了某种形式授权的用户可能被允许将此授权传递给其他用户。但是,我们对于授权可能会在用户间怎样传递必须格外小心,以保证这样的授权在未来的某个时候可以被收回。
|
|
|
| 例如,考虑银行数据库中loan关系上update权限的授予。假设最初数据库管理员将loan上的update权限授给用户U1、U2和U3,他们接下来又可以将授权传递给其他用户。授权从一个用户到另一个用户的传递可以表示为授权图(authorization graph)。该图的结点是用户。如果用户Ui将loan上的update权限授给用户Uj,则图中包含边Ui→Uj。图的根是数据库管理员。下图给出了一个示例的图,请注意用户U1和U2都给U5授予了权限;而U4只从U1处获得了授权。
|
|
|
|
|
|
|
| 用户具有授权当且仅当存在从授权图的根(即代表数据库管理员的结点)到代表该用户的结点的路径。
|
|
|
| 设数据库管理员决定收回用户U1的授权。由于用户U4从U1处获得授权,因此其权限也应该被收回。可是,用户U5既从U1处又从U2处获得了授权。由于数据库管理员没有从U2处收回loan上的update授权,U5继续拥有loan上的update授权。如果U2最后从U5处收回授权,则U5失去授权。
|
|
|
| 狡猾的用户可能企图通过相互授权来破坏权限回收规则,如下图(a)所示。
|
|
|
|
|
|
|
| 如果数据库管理员从U2收回权限,U2保留了通过U3获得的授权,如上图(b)所示。如果权限接着从U3处收回,U3似乎保留了通过U2获得的授权,如上图(c)所示。
|
|
|
| 然而,当数据库管理员从U3处收回权限时,从U3到U2的边以及从U2到U3的边就不再是从数据库管理员开始的路径的一部分了。
|
|
|
| 为了防止相互授权破坏权限回收规则,要求授权图中的所有边都必须是某条从数据库管理员开始的路径的一部分。这样U2和U3之间的边将被删除,不会产生上图(c)的情况。结果授权图如下图所示。
|
|
|
|
|
|
|
