问题描述
我有以下问题(这对我来说似乎很绝望)。 我想要两个角色:
- 拥有 MYTABLE 的角色 main_admin。
- 角色 child_admin 只能向 MYTABLE 添加列但不能从该表中选择(出于隐私原因)。
我的计划是:
- 将角色 child_admin 作为子角色添加到 main_admin(因此,main_admin 是 child_admin 的组角色)。
- 撤销 child_admin 的 SELECT 权限
但是 rovokation 不起作用,因为 child_admin 从 main_admin 继承了 SELECT 权限。但是我必须将 child_admin 包含到 main_admin 中,因为这是让 child_admin 能够更改 MYTABLE 的唯一方法(对吗?)所以,它看起来像一个恶性循环。有什么办法可以解决我的问题吗?
解决方法
您可以让 main_admin 定义一个带有 SECURITY DEFINER 的函数,该函数在验证其输入后执行请求的 ALTER TABLE。然后将此函数的 EXECUTE 授予 child_admin(不应授予其 main_admin 角色)。