博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
PostgreSQL权限(二)
阅读量:5820 次
发布时间:2019-06-18

本文共 3051 字,大约阅读时间需要 10 分钟。

hot3.png

一.角色权限继承

       在create role时通过指定in role和inherit可以继承权限,这是没问题的,但是系统权限(见postgresql权限(一))是无法继承的,只能通过alter命令进行修改。
lihao=# create role role1 superuser createdb createrole login password '123456';
CREATE ROLE
lihao=# grant select on table t1 to role1;
GRANT
lihao=# create user user1 in role role1 inherit;
CREATE ROLE
lihao=> \du+
                                    List of roles
 Role name |                   Attributes                   | Member of | Description
-----------+------------------------------------------------+-----------+-------------
 lihao     | Superuser, Create role, Create DB, Replication | {}        |
 role1     | Superuser, Create role, Create DB, Replication | {}        |
 user1     |                                                                           | {role1}   |
lihao=# \c lihao user1
You are now connected to database "lihao" as user "user1".
lihao=> create database db1;
ERROR:  permission denied to create database
lihao=> create role role1;
ERROR:  permission denied to create role
lihao=> select * from t1;
 id
----
(0 rows)

lihao=> \c lihao role1

You are now connected to database "lihao" as user "role1".

lihao=# alter user user1 createdb;

ALTER ROLE
lihao=# \c lihao user1
You are now connected to database "lihao" as user "user1".
lihao=> create database test;
CREATE DATABASE

二.角色默认权限修改

      这里使用的是ALTER DEFAUT PRIVILEGES命令。可以用这条命令来修改修改的是“将来”你或你所在角色组要创建对象的权限,对已有对象的权限不会有影响。这种修改在当前库或指定模式下是全局性的,目前只能修改表(包括外部表),序列,函数,类型(包括域)。

//验证组成员可以修改所在角色组的default权限

lihao=# create database db1 owner "lihao";
CREATE DATABASE
lihao=# \c db1 lihao
You are now connected to database "db1" as user "lihao".
db1=# create role role1 login password 'oracle';
CREATE ROLE
//使用NOINHERIT创建用户,否则user1默认继承role1的select权限
db1=# create user user1 in role role1 noinherit password 'oracle';
CREATE ROLE
db1=# create user user2 in role role1;
CREATE ROLE
db1=# \c db1 role1
You are now connected to database "db1" as user "role1".
db1=> create table t1 (id int);
CREATE TABLE
db1=> \c db1 user1
You are now connected to database "db1" as user "user1".
db1=> select * from t1;
ERROR:  permission denied for relation t1
db1=> alter default privileges for role role1 in schema public grant select on tables to user1;
ALTER DEFAULT PRIVILEGES
db1=> \c db1 role1
You are now connected to database "db1" as user "role1".
db1=> create table t2 (id int);
CREATE TABLE
db1=> \c db1 user1
You are now connected to database "db1" as user "user1".
db1=> select * from t2;
 id
----
(0 rows)
db1=> select * from t1;
ERROR:  permission denied for relation t1

db1=> alter default privileges for user user2  in schema public grant select on tables to user1;

ERROR:  must be member of role "user2

//证明这条修改只能在当前库下生效

db1=> \c lihao role1
You are now connected to database "lihao" as user "role1".
lihao=> create table t3 (id int);
CREATE TABLE
lihao=> \c lihao user1
You are now connected to database "lihao" as user "user1".
lihao=> select * from t3;
ERROR:  permission denied for relation t3

注意:

       通过读文档大家可以看到alter default privileges***revoke**操作,然后在实验这条命令,比如此时有多个角色成员,却只想要回收掉角色成员user1在角色role1”将来要“创建对象上的select权限,会发现命令提示成功,却没有生效,这是因为之前所说的,revoke操作只能回收grant赋予的权限,对于角色成员所继承的角色权限不能在角色成员上revoke掉,只能通过对角色进行revoke。

转载于:https://my.oschina.net/u/1171200/blog/200838

你可能感兴趣的文章
Linux下通用二进制安装包安装MySQL-5.6.37
查看>>
Usermod 命令详解
查看>>
sudo及其配置文件sudoers
查看>>
IntelliJ IDEA设置JVM运行参数
查看>>
系统文件备份脚本
查看>>
Docker创建Centos踩出来的坑
查看>>
大型网站常用的技术
查看>>
关于C/C++ 结构体字节的算法
查看>>
HTML第三课
查看>>
ThreadPoolExecutor运转机制详解
查看>>
mysql的event概述
查看>>
iphone开发常用代码
查看>>
代理_AddHandler
查看>>
python:random用法
查看>>
解决tomcat启动超慢问题
查看>>
NTP服务器
查看>>
xp 远程桌面不能连接
查看>>
【Camera】控制相机(4)
查看>>
myeclipse 版本 配置文件
查看>>
字符流-FileReader和 FileWriter的用法
查看>>