与RDBMS一样,OrientDB也基于众所周知的概念,用户和角色提供安全性。 每个数据库都有自己的用户,每个用户都有一个或多个角色。 角色是工作模式和权限集合的组合。
用户
默认情况下,OrientDB为服务器中的所有数据库维护三个不同的用户 -
管理员 - 此用户可以无限制地访问数据库上的所有功能。
读取用户 - 此用户是只读用户。读取用户可以查询数据库中的任何记录,但不能修改或删除它们。 它无法访问内部信息,例如用户和角色本身。
写入用户 - 该用户与读取用户相同,但它也可以创建,更新和删除记录。
使用用户
连接到数据库时,可以通过在OUser
类上使用SELECT查询来查询数据库上的当前用户。
orientdb> SELECT RID, name, status FROM OUser
如果上述查询成功执行,您将得到以下输出。
---+--------+--------+--------
# | @CLASS | name | status
---+--------+--------+--------
0 | null | admin | ACTIVE
1 | null | reader | ACTIVE
2 | null | writer | ACTIVE
---+--------+--------+--------
3 item(s) found. Query executed in 0.005 sec(s).
创建一个新用户
要创建一个新用户,请使用INSERT
命令。 请记住,这样做时,必须将状态设置为ACTIVE
并赋予其有效角色。
orientdb> INSERT INTO OUser SET
name = 'jay',
password = 'JaY',
status = 'ACTIVE',
roles = (SELECT FROM ORole WHERE name = 'reader')
更新用户
可以使用UPDATE
语句更改用户的名称。
orientdb> UPDATE OUser SET name = 'jay' WHERE name = 'reader'
以同样的方式,也可以更改用户的密码。
orientdb> UPDATE OUser SET password = 'hello' WHERE name = 'reader'
OrientDB以散列格式保存密码。 触发器OUserTrigger
在保存记录之前透明地加密密码。
禁用用户
要禁用用户,请使用UPDATE
语句将其状态从ACTIVE
切换到SUSPENDED
。 例如,如果要禁用除admin
之外的所有用户,请使用以下命令 -
orientdb> UPDATE OUser SET status = 'SUSPENDED' WHERE name <> 'admin'
角色
角色确定用户可以针对资源执行的操作。 主要是这个决定取决于工作模式和规则。 规则本身的工作方式不同,具体取决于工作模式。
使用角色
当连接到数据库时,可以使用SELECT
查询来查询数据库上的ORole
类的当前角色。
orientdb> SELECT RID, mode, name, rules FROM ORole
如果上述查询成功执行,您将得到以下输出。
--+------+----+--------+-------------------------------------------------------
# |@CLASS|mode| name | rules
--+------+----+--------+-------------------------------------------------------
0 | null | 1 | admin | {database.bypassRestricted = 15}
1 | null | 0 | reader | {database.cluster.internal = 2, database.cluster.orole = 0...
2 | null | 0 | writer | {database.cluster.internal = 2, database.cluster.orole = 0...
--+------+----+--------+-------------------------------------------------------
3 item(s) found. Query executed in 0.002 sec(s).
创建角色
要创建新角色,请使用INSERT
语句。
orientdb> INSERT INTO ORole SET name = 'developer', mode = 0
使用模式
在规则确定哪些用户属于特定角色可以对数据库执行操作时,工作模式决定OrientDB如何解释这些规则。 有两种工作模式,分别用1
和0
表示。
全部允许(规则) - 默认情况下,它是超级用户模式。 使用规则指定对此的例外情况。 如果OrientDB找不到所请求资源的规则,则允许用户执行该操作。 主要用于高级用户和管理员。 默认角色admin默认使用此模式,并且没有例外规则。 它在数据库中写为
1
。拒绝所有但(规则) - 默认情况下,此模式不允许任何操作。 使用规则指定对此的例外情况。 如果OrientDB找到请求资源的规则,那么它允许用户执行操作。 使用此模式作为所有经典用户的默认模式。 默认角色,读者和写者,使用这种模式。 它在数据库中写为
0
。