PostgreSQL的用户、角色和权限管理

Pg权限分为两部分,一部分是“系统权限”或者数据库用户属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。对超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走acl。pg里,对acl模型做了简化,组和角色都是role用户和角色的区别是角色没有login权限

可以用下面的命令创建和删除角色,

CREATE ROLEname;

DROP ROLEname;

为了方便,也可以在 shell 命令上直接调用程序createuserdropuser,这些工具对相应命令提供了封装:

createusername

dropusername

数据库对象上的权限有:SELECTINSERTUPDATEDELETERULEREFERENCESTRIGGERCREATETEMPORARYEXECUTE,和USAGE等,具体见下面定义

typedefuint32AclMode;/* abitmaskof privilege bits */

#defineACL_INSERT(1<<0)/* forrelations */

#defineACL_SELECT(1<<1)

#defineACL_UPDATE(1<<2)

#defineACL_DELETE(1<<3)

#defineACL_TruncATE(1<<4)

#defineACL_REFERENCES(1<<5)

#defineACL_TRIGGER(1<<6)

#defineACL_EXECUTE(1<<7)/* for functions */

#defineACL_USAGE(1<<8)/* for languages,namespaces,FDWs,and

* servers */

#defineACL_CREATE(1<<9)/* fornamespacesand databases */

#defineACL_CREATE_TEMP (1<<10)/* for databases */

#defineACL_CONNECT(1<<11)/* for databases */

#defineN_ACL_RIGHTS12/* 1plus the last 1<<x */

#defineACL_NO_RIGHTS0

/*Currently,SELECT ... FOR UPDATE/FOR SHARE requires UPDATE privileges */

#defineACL_SELECT_FOR_UPDATEACL_UPDATE

我们可以用特殊的名字 PUBLIC 把对象的权限赋予系统中的所有角色。 在权限声明的位置上写 ALL,表示把适用于该对象的所有权限都赋予目标角色。

beigang=# grantall on schema csm_ca to public;

GRANT

beigang=# revoke all on schema csm_ca frompublic;

REVOKE

beigang=#

每种对象的all权限定义如下:

/*

*Bitmasksdefining "allrights" for each supported object type

*/

#defineACL_ALL_RIGHTS_COLUMN(ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_REFERENCES)

#defineACL_ALL_RIGHTS_RELATION (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_DELETE|ACL_TruncATE|ACL_REFERENCES|ACL_TRIGGER)

#defineACL_ALL_RIGHTS_SEQUENCE(ACL_USAGE|ACL_SELECT|ACL_UPDATE)

#defineACL_ALL_RIGHTS_DATABASE(ACL_CREATE|ACL_CREATE_TEMP|ACL_CONNECT)

#defineACL_ALL_RIGHTS_FDW(ACL_USAGE)

#defineACL_ALL_RIGHTS_FOREIGN_SERVER (ACL_USAGE)

#defineACL_ALL_RIGHTS_FUNCTION(ACL_EXECUTE)

#defineACL_ALL_RIGHTS_LANGUAGE(ACL_USAGE)

#defineACL_ALL_RIGHTS_LARGEOBJECT(ACL_SELECT|ACL_UPDATE)

#defineACL_ALL_RIGHTS_NAMESPACE(ACL_USAGE|ACL_CREATE)

#defineACL_ALL_RIGHTS_TABLESPACE(ACL_CREATE)

用户属性可参见下图:

视图pg_roles提供访问数据库角色有关信息的接口。 它只是一个pg_authid表的公开可读部分的视图,把口令字段用空白填充了。

Table 42-39.pg_roles字段

名字

类型

引用

描述

rolname

name

角色名

rolsuper

bool

有超级用户权限的角色

rolcreaterole

bool

可以创建更多角色的角色

rolcreatedb

bool

可以创建数据库的角色

rolcatupdate

bool

可以直接更新系统表的角色。(除非这个字段为真,否则超级用户也不能干这个事情。)

rolcanlogin

bool

可以登录的角色,也就是说,这个角色可以给予初始化会话认证的标识符。

rolpassword

text

不是口令(总是 ********)

rolvaliduntil

timestamptz

口令失效日期(只用于口令认证);如果没有失效期,为 NULL

rolconfig

text[]

运行时配置变量的会话缺省

下面实验验证

先创建一个角色xxx,再创建一个超级用户csm、普通用户csm_ca,csm用户创建一个数据库testdb,在这数据库里创建一个schema:csm_ca,然后赋予普通用户csm_ca操作数据库testdb里schema:csm_ca里的表的权限。

1

Create role:

testdb=# create role xxx with superuser;

CREATE ROLE

2

Create user:

testdb=# create user csm with superuserpassword 'csm';

CREATE ROLE

testdb=# create user csm_ca with password 'csm_ca';

CREATE ROLE

testdb=#

3

验证

testdb=# \du

角色列表

-[ RECORD 1]--------------------------------------

角色名称 | csm

属性 | 超级用户

成员属于 | {}

-[ RECORD 2]--------------------------------------

角色名称 | csm_ca

属性 |

成员属于 | {}

-[ RECORD 3 ]--------------------------------------

角色名称 | postgres

属性 | 超级用户,建立角色,建立 DB,Replication

成员属于 | {}

-[ RECORD 4]--------------------------------------

角色名称 | xxx

属性 | 超级用户,无法登录

成员属于 | {}

testdb=# SELECT * FROM pg_roles;

-[ RECORD 1 ]---------+---------

rolname | postgres

rolsuper | t

rolinherit | t

rolcreaterole | t

rolcreatedb | t

rolcreatedblink | t

rolcreatepublicdblink | t

roldroppublicdblink | t

rolcatupdate | t

rolcanlogin | t

rolreplication | t

rolconnlimit | -1

rolpassword | ********

rolvaliduntil |

rolconfig |

oid | 10

-[ RECORD 2 ]---------+---------

rolname | csm

rolsuper | t

rolinherit | t

rolcreaterole | f

rolcreatedb | f

rolcreatedblink | f

rolcreatepublicdblink | f

roldroppublicdblink | f

rolcatupdate | t

rolcanlogin | t

rolreplication | f

rolconnlimit | -1

rolpassword | ********

rolvaliduntil |

rolconfig |

oid | 24598

-[ RECORD 3 ]---------+---------

rolname | csm_ca

rolsuper | f

rolinherit | t

rolcreaterole | f

rolcreatedb | f

rolcreatedblink | f

rolcreatepublicdblink | f

roldroppublicdblink | f

rolcatupdate | f

rolcanlogin | t

rolreplication | f

rolconnlimit | -1

rolpassword | ********

rolvaliduntil |

rolconfig |

oid | 24599

-[ RECORD 4 ]---------+---------

rolname | xxx

rolsuper | t

rolinherit | t

rolcreaterole | f

rolcreatedb | f

rolcreatedblink | f

rolcreatepublicdblink | f

roldroppublicdblink | f

rolcatupdate | t

rolcanlogin | f

rolreplication | f

rolconnlimit | -1

rolpassword | ********

rolvaliduntil |

rolconfig |

oid | 24600



postgres=# \c beigang

You are Now connected to database "beigang" as user "csm".

5

Csm用户在beigang里创建schema: csm_ca

beigang=#

beigang=#

beigang=# create schema csm_ca;

CREATE SCHEMA

beigang=#


6

验证模式csm_ca和用户csm_ca

beigang=# \dn

架构模式列表

名称 | 拥有者

--------+----------

csm_ca | csm

dbo | postgres

public | postgres

sys | postgres

(4 行记录)

beigang=# \du

角色列表

角色名称 | 属性 | 成员属于

----------+------------------------------------------+----------

csm | 超级用户 | {}

csm_ca | | {}

postgres | 超级用户,Replication | {}

xxx | 超级用户,无法登录 | {}

beigang=#

7

超级用户csm给普通用户csm_ca授予操作schema csm_ca的权限

beigang=# grant all on schema csm_ca to csm_ca;

GRANT

beigang=# grant all on all tables in schema csm_ca to csm_ca;

GRANT

beigang=#

8

pg中组就是role,操作见以下

beigang=# grant xxx to csm_ca;

GRANT ROLE

beigang=# revoke xxx from csm_ca;

REVOKE ROLE

beigang=#

参考:

Pg documentation

src/include/nodes/parsenodes.h

src/include/utils/acl.h

-----------------

转载请著明出处,来自以下博客或mail至beigaang@gmail.com联系:
blog.csdn.NET/beiigang
beigang.iteye.com

博客推荐:http://blog.csdn.net/beiigang/article/details/8604578

相关文章

项目需要,有个数据需要导入,拿到手一开始以为是mysql,结果...
本文小编为大家详细介绍“怎么查看PostgreSQL数据库中所有表...
错误现象问题原因这是在远程连接时pg_hba.conf文件没有配置正...
因本地资源有限,在公共测试环境搭建了PGsql环境,从数据库本...
wamp 环境 这个提示就是说你的版本低于10了。 先打印ph...
psycopg2.OperationalError: SSL SYSCALL error: EOF detect...