postgresql用戶與權限管理

原創 egeman 2022-08-20 12:56

pg使用角色的概念管理數據庫訪問權限,角色是一系列相關權限的集合。爲了管理方便,通常把一系列先關的權限賦予給一個角色,如果哪個用戶需要這些權限,就把這些角色賦予給響應的用戶。 由於用戶也擁有一系列的相關權限,爲了簡化管理,在PG中,角色與用戶是沒有區別的,一個用戶也是一個角色,我們可以把一個用戶的權限賦值給另一個用戶。

用戶和角色在整個數據庫實例中是全局的,在同一個實例的不同數據庫中,看到的用戶都是相同的。

數據庫初始化時會創建一個與操作系統同名的超級用戶postgres,也可以使用-U:指定超級用戶

(一)創建用戶和角色

創建用戶和角色的語法如下:

-- 創建用戶
CREATE USER name [[ WITH ] option [...]]

-- 創建角色
CREATE ROLE name [[ WITH ] option [...]]

備註:在PG中,用戶與角色是沒有區別的,角色默認沒有login權限,無法登陸,如果授予login之後,也可以像用戶一樣登陸。

option常用選項如下:

  • SUPERUSER | NOSUPERUSER:創建出來的用戶是否爲超級用戶
  • CREATEDB | NOCREATEDB:創建出來的用戶是否有create database的權限
  • CREATEROLE | NOCREATEROLE:創建出來的用戶是否有創建其它角色的權限
  • CREATEUSER | NOCREATEUSER:創建出來的用戶是否有創建其它用戶的權限
  • INHERIT | NOINHERIT:確定角色是否繼承其它角色的權限
  • LOGIN | NOLOGIN:創建出來的角色是否有登錄權限
  • CONNECTION LIMIT n:創建出來的角色併發連接數限制數量,默認值是“-1”,表示沒有限制
  • VALID UNTIL 'timestamp':密碼失效時間

(二)權限的管理

在postgresql數據庫中,任何邏輯對象(包括數據庫)都是有所有者的,也就是說數據庫對象都是屬於某個用戶的,所以,無需把對象的權限賦予所有者,因爲所有者默認就擁有所有的權限,在PG數據庫中,刪除及其修改對象的權限都不能賦予別的用戶,它是所有者的固有權限,不能賦予或撤銷,所有者也隱式地擁有把操作該對象的權限授予其他用戶的權利。

(2.1)兩類權限

用戶的權限分兩類,一類是在創建用戶時就指定的權限,有:

  • 超級用戶的權限
  • 創建數據庫的權限
  • 是否允許login的權限
  • 更多見\help create role

這些權限是創建用戶時指定的,後面可以使用alter role來修改。

另一類是有GRANT和REVOKE命令來管理的,有:

  • 在數據庫中創建schema的權限

  • 在指定的數據庫中創建臨時表的權限

  • 連接某個數據庫的權限

  • 在某個數據庫中創建數據庫對象的權限,如表、視圖、函數等

  • 在一些表中做SELECT 、INSERT、UPDATE、DELETE等操作的權限

  • 在一張表的列上做 SELECT 、UPDATE、DELETE等操作的權限

  • 對序列進行查詢(執行序列的currval函數)、使用(執行序列的currval和nextval函數)、更新的權限

  • 在表上創建觸發器的權限

  • 把表、索引創建到指定表空間的權限

(2.2)GRANT 和REVOKE權限

(2.2.1)角色的授予與回收

-- 將角色授予給另外一個角色
GRANT role_name[,...] TO role_name[,...] WITH ADMIN OPTION;

-- 角色回收
REVOKE role_name[,...] FROM role_name[,...][CASCADE | RESTRICT]

(2.2.2)權限的授予與回收

權限的授予

db1=# \help grant
命令:       GRANT
描述:       定義存取權限
語法:
-- 表相關權限
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
    [, ...] | ALL [ PRIVILEGES ] }
    ON { [ TABLE ] 表名 [, ...]
         | ALL TABLES IN SCHEMA 模式名稱 [, ...] }
    TO role_specification [, ...] [ WITH GRANT OPTION ]
-- 列相關權限
GRANT { { SELECT | INSERT | UPDATE | REFERENCES } ( 列名稱 [, ...] )
    [, ...] | ALL [ PRIVILEGES ] ( 列名稱 [, ...] ) }
    ON [ TABLE ] 表名 [, ...]
    TO role_specification [, ...] [ WITH GRANT OPTION ]
-- 序列相關權限
GRANT { { USAGE | SELECT | UPDATE }
    [, ...] | ALL [ PRIVILEGES ] }
    ON { SEQUENCE 序列名稱 [, ...]
         | ALL SEQUENCES IN SCHEMA 模式名稱 [, ...] }
    TO role_specification [, ...] [ WITH GRANT OPTION ]
-- 數據庫相關權限
GRANT { { CREATE | CONNECT | TEMPORARY | TEMP } [, ...] | ALL [ PRIVILEGES ] }
    ON DATABASE 數據庫名稱 [, ...]
    TO role_specification [, ...] [ WITH GRANT OPTION ]

GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON DOMAIN 域_名稱 [, ...]
    TO role_specification [, ...] [ WITH GRANT OPTION ]

GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON FOREIGN DATA WRAPPER 外部數據封裝器的名稱 [, ...]
    TO role_specification [, ...] [ WITH GRANT OPTION ]

GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON FOREIGN SERVER 服務器名稱 [, ...]
    TO role_specification [, ...] [ WITH GRANT OPTION ]
-- 函數、存儲過程相關權限
GRANT { EXECUTE | ALL [ PRIVILEGES ] }
    ON { { FUNCTION | PROCEDURE | ROUTINE } 程序名稱 [ ( [ [ 參數模式 ] [ 參數名稱 ] 參數類型 [, ...
] ] ) ] [, ...]
         | ALL { FUNCTIONS | PROCEDURES | ROUTINES } IN SCHEMA 模式名稱 [, ...] }

(2.2.3)權限授予回收總結

postgresql中的權限是按照以下幾個層次進行管理的:

1.首先管理賦予用戶的特殊權限,如超級用戶的權限,創建數據庫的權限、創建用戶的權限、login權限等

2.然後是在數據庫中創建schema的權限

3.接着是在schema中創建數據庫對象(如表、索引)的權限

4.之後是對錶進行操作(insert、update、delete、select)的權限

5.最後是操作(update、delete、select)表中某些字段的權限

(2.3)權限操作常用命令

(2.3.1)授予增刪查改權限

GRANT update,delete,insert,select ON ALL TABLES IN SCHEMA public TO signalmap_rw;

(2.3.2)回收public權限

在初始化數據庫實例後,數據庫中默認就會存在一個名稱爲“public”的schema,任何用戶都有在public schema上的create 權限,通常我們需要把這個權限回收回來

revoke create on schema public from public;

(2.3.3)創建只讀用戶

-- 回收public模式的create權限
revoke create on schema public from public;
-- 創建只讀用戶,密碼爲readonly
create user readonly password 'readonly';
-- 授權public模式給readonly
grant usage on schema public to readonly;
-- 授權public模式的所有表權限給readonly用戶
grant select on all tables in schema public to readonly;
-- 切換到readonly測試
\c - readonly 
-- 切換到postgres用戶
\c - postgres
-- 將public模式的默認表查詢權限授予readonly用戶
alter default privileges in schema public grant select on tables to readonly;

(2.3.4)查看用戶權限

-- 查看某用戶的系統權限
SELECT * FROM  pg_roles WHERE rolname='postgres';

-- 查看某用戶的表級別權限
select * from information_schema.table_privileges where grantee='postgres';

-- 查看某用戶的usage權限
select * from information_schema.usage_privileges where grantee='postgres';

-- 查看某用戶在存儲過程函數的執行權限
select * from information_schema.routine_privileges where grantee='postgres'; 

-- 查看某用戶在某表的列上的權限
select * from information_schema.column_privileges where grantee='postgres'; 

-- 查看當前用戶能夠訪問的數據類型
select * from information_schema.data_type_privileges ; 

-- 查看用戶自定義類型上授予的USAGE權限
select * from information_schema.udt_privileges where grantee='postgres';
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

《期貨-市場技術分析》讀書筆記

第二本技術分析書籍,《期貨-市場分析技術》: 書中的很多內容,如趨勢、趨勢線、阻力、支撐等,也象《日本蠟燭圖》一樣,沒有邏輯推理過程,沒有數據驗證。但是我認可其確實有一定的心理暗示作用。因爲我在聽很多技術分析大 V 的視頻時,他們中的大部

BloodyAngel 2024-04-29 14:32:19

《日本蠟燭圖》讀書筆記 & 技術分析回測

最近想做一些現金流的策略,所以決定把技術分析研究得更加深入一些。朋友推薦了幾本書:《日本蠟燭圖》、《期貨市場技術分析》、《纏論》,我想挨個把它們看完,同步也嘗試做一些量化技術策略。 日本蠟燭圖 下面這本書就是上面所說的第一本: 其實,我是

BloodyAngel 2024-04-29 14:32:19

pytest lastfailed原理

相信很多使用pytest的,都知道pytest有運行上次失敗用例的參數,如下: --lf, --last-failed rerun only the tests that failed at the last run (or all

Believer007 2024-04-29 14:24:29

一個開源輕量級的C#代碼格式化工具(支持VS和VS Code)

前言 C#代碼格式化工具除了ReSharper和CodeMaid,還有一款由.NET開源、免費(MIT License)、輕量級的C#語言代碼格式化工具:CSharpier。 工具介紹 CSharpier是一款開源、免費、輕量級的C#語言代

追逐時光 2024-04-29 14:22:08

頂級 Javaer 都在用的 20 個類庫,真香!

優秀且經驗豐富的Java開發人員的特徵之一是對API的廣泛瞭解,包括JDK和第三方庫。 我花了很多時間來學習API,尤其是在閱讀了Effective Java 3rd Edition之後 ,Joshua Bloch建議在Java 3rd E

Java技術棧 2024-04-29 14:21:48

Linux內核之SPI協議

SPI(Serial Peripheral Interface,串行外設接口)是一種同步串行的行業標準,但是並沒有像I2C那樣有標準文檔,它還有主從、可片選的特性。 圖源自Serial Peripheral Interface-wikip

藍天上的雲℡ 2024-04-29 14:21:38

mongodb處理json數據很好

mysql只適合處理簡單的一級數據表 複雜嵌套的json用mongodb mongodb實現: 插入: //切記數字不要帶引號,帶引號就字符串了,就無法比較大小了. //每一個對象都用{}包起來.這樣查詢時候方便多了.雖然插入寫起

張博的博客 2024-04-29 14:20:08

【Nano Framework ESP32篇】使用 LCD 屏幕

在開始主題之前,先介紹一個刷固件工具。這個工具在 idf 中是集成的,不過,樂鑫也單獨發佈了這個工具—— esptool。下載鏈接:Releases · espressif/esptool · GitHub。這貨是用 Python 寫的,只

東邪獨孤 2024-04-29 14:16:57

雙token+redis(token無感刷新)

爲什麼要使用雙token+redis呢?單token+redis+自動續期不行嗎? 單token+redis的缺點: 可能會出現用戶正在操作的時候,token過期了,讓用戶重新登錄的情況。 單token+redis+自動續期的缺點: 單to

uper超人 2024-04-29 14:15:37

cookie,session,token的區別

cookie,session,token它們本質上不是同一個東西。但是都跟維持狀態信息有關係。 什麼是狀態信息呢? 我來用一個登錄來個大家講解。 如果我們登錄以後,希望後續的所有的頁面都維持登錄的狀態,那我們就需要用剛剛講到的cookie,

uper超人 2024-04-29 14:15:37

Asp .Net Core 系列:國際化多語言配置

目錄概述術語本地化器IStringLocalizer在服務類中使用本地化IStringLocalizerFactoryIHtmlLocalizerIViewLocalizer資源文件區域性回退配置 CultureProvider內置的 Re

IT技術派 2024-04-29 14:14:57

編譯原理PL0語法分析實驗1

編譯原理PL0語法分析實驗1 1,待分析的簡單語言的詞法相同點:都是分析種別碼不同點:詞法分析器分析的是字符串中的單詞的種別碼(單詞)語法分析器分析的是字符串的文法是否正確(句子)待分析的簡單語言的語法 BNF:(1)<程序>::=begi

孤獨的貓 2024-04-29 14:13:26

google瀏覽器插件開發

項目結構 在開發Chrome插件時,以下幾個文件的作用如下: manifest.json:這是Chrome插件的清單文件,用於配置插件的基本信息、權限、頁面跳轉等。其中包括插件的名稱、版本號、圖標、後臺腳本、瀏覽器動作等信息。 ba

張佔嶺 2024-04-29 14:12:46

element表單中選擇 el-date-picker 選擇後沒反應

折騰一早上沒有用直到百度到了 https://blog.csdn.net/KeepReal666/article/details/134471038 解決辦法:直接加上@input="$forceUpdate()"即可。

York 2024-04-29 14:09:56

什麼是SQL 語句中相關子查詢與非相關子查詢

1.什麼是SQL子查詢 要理解相關子查詢和非相關子查詢,我們得首先理解什麼是子查詢,子查詢是指在一個查詢語句中嵌套的另一個查詢語句。 子查詢可以嵌套在其他查詢語句中,如 SELECT、INSERT、UPDATE、DELETE 等,它作爲一個

魯邊 2024-04-29 14:06:35