PostgreSQL 用户及授权管理 04:授予及回收权限

PostgreSQL 是一个坚如磐石的数据库,它非常注重安全性,提供了非常丰富的基础设施来处理权限、特权和安全策略。在前面的章节中以我们介绍的基本概念为基础,重新审视角色概念,特别关注授予角色的安全性和权限(角色可以是用户,也可以是用户组)。我们将学习如何配置角色的各个方面以细致管理安全性,从连接到访问数据库中的数据。

请添加图片描述

文章目录

    • 授予及回收权限
      • 表相关的权限
      • 基于列的权限
      • 序列相关的权限
      • schema 相关的权限
        • schema 中的所有对象
      • 编程语言相关的权限
      • 例程相关的权限
      • database 相关的权限
      • 授予对象所有者
      • 获取 ACL 信息
    • 总结

授予及回收权限

在前面的小节中我们了解到,角色与权限集合相关联,这些权限通过 GRANT 语句授予,并通过 REVOKE 语句回收,权限以 ACL 的形式存储在内部。

本小节将深入探讨 GRANT 和 REVOKE 语句,以更好地帮助我们了解如何针对不同的数据库对象而它们进行不同的授权。

GRANT 语句的语法如下:

GRANT <permission, permission, ...> ON <database-object> TO <role>;

我们可以把需要的权限列出来,以逗号为分割,然后指定数据库。还可以使用 WITH GRANT OPTION 子句扩展 GRANT 语句,这将使得目标角色能够将其收到的相同权限授予另一个角色。

REVOKE 语句的语法如下:

REVOKE <permission, permission, ..> ON <database-object> FROM <role>;

在处理权限管理时,可以使用一个名为 PUBLIC 的特殊角色。它不是一个具体的角色,而是一个表示“所有可用角色”的标记。换言之,如果向 PUBLIC 授予权限,则会隐式地将此权限授予所有可用角色。

但是,“所有可用角色”是什么意思?它意味着所有现有和未来的角色。PUBLIC 角色表示在管理权限时和将来将存在于系统中的任何角色。

根据上述内容,为了防止任何用户访问我们的数据,我们应该始终从特殊的公共角色中删除所有权限,然后有选择性地授予特定角色所需的权限。也就是按需授予指定的权限。

表相关的权限

我们已经看到了与数据库表相关的主要权限。它们指的是可以针对表对象运行的主要语句,例如 SELECT、INSERT、UPDATE、DELETE 和 TRUNCATE。此外,可以使用特殊关键字 TRIGGER 和 REFERENCES 在表中创建触发器和外键。

当然,关键字 ALL 则包含了所有权限。例如,为了向 forum_stats 角色组提供读取、更新和插入数据到 categories 表中的权限,而无需授予执行其他操作的权限,我们可以在连接 forum 用户后执行以下操作:

$ psql -U forum forumdbforumdb=> REVOKE ALL ON forum.categories FROM forum_stats;
REVOKEforumdb=> GRANT SELECT, INSERT, UPDATE ON forum.categories TO forum_stats;
GRANTforumdb=> \dp categoriesAccess privilegesSchema |    Name    | Type  |     Access privileges      | Column privileges | Policies 
--------+------------+-------+----------------------------+-------------------+----------forum  | categories | table | forum=arwdDxt/forum       +|                   | |            |       | forum_admins=arwdDxt/forum+|                   | |            |       | taoqi=arw/forum           +|                   | |            |       | =d/forum                  +|                   | |            |       | forum_stats=arw/forum      |                   | 
(1 row)

第一个 REVOKE 语句不是强制性的,但这是一个很好的做法。由于我们希望确保该角色恰好具有我们要授予的权限,而不是更多,因此先从角色中删除所有权限可以确保任何之前的 GRANT 授权语句会被回收。

基于列的权限

基于列的授权与前面的授权语法是一样的,我只需要把相关的列写出来即可。

列的授权只能应用于 SELECT、UPDATE、INSERT 和 REFERENCES 权限。

举例如下,考虑一个场景,即 forum_stats 用户组只能通过 gecos 和 username 列与 users 表交互,能够读取这两个列,但只更新第一个。权限可以由用户 forum 分配如下:

forumdb=> SELECT current_role;current_role 
--------------forum
(1 row)forumdb=> REVOKE ALL ON forum.users FROM forum_stats;forumdb=> GRANT SELECT (username, gecos), UPDATE (gecos) ON forum.users TO forum_stats;
GRANT

正如我们前面建议的那样,最好先执行第一个 REVOKE 语句,以确保在我们分配我们想要的角色之前重置角色的权限。然后,我们再授予 SELECT 和 UPDATE 权限。

前面的 GRANT 语句的副作用是,forum_stats 角色不再能够执行比 GRANT 中指定的列列表更多的 SELECT 或 UPDATE。我们验证如下:

$ psql -U taoqi forumdb-- 执行失败,不是所有的列都可以访问
forumdb=> SELECT * FROM forum.users;
ERROR:  permission denied for table users-- 执行成功
forumdb=> SELECT gecos, username FROM forum.users;gecos     |   username   
--------------+--------------LAVEN LIU    | laven_liuTAO QI       | taotao_qiJAMES LEBRON | james_lebronTAO QI 2     | taoqiLAVEN LIU 2  | lavenliuFORUM LI     | forum
(6 rows)-- 执行失败,username 列不允许被更新
forumdb=> UPDATE forum.users SET username = upper( username );
ERROR:  permission denied for table users-- 执行成功
forumdb=> UPDATE forum.users SET gecos = lower( gecos );forumdb=> SELECT gecos, username FROM forum.users;gecos     |   username   
--------------+--------------laven liu    | laven_liutao qi       | taotao_qijames lebron | james_lebrontao qi 2     | taoqilaven liu 2  | lavenliuforum li     | forum
(6 rows)

现在让我们检查用户表的权限:

forumdb=> \dp forum.usersAccess privilegesSchema | Name  | Type  |     Access privileges      |   Column privileges    | Policies 
--------+-------+-------+----------------------------+------------------------+----------forum  | users | table | forum=arwdDxt/forum       +| username:             +| |       |       | forum_admins=arwdDxt/forum |   forum_stats=r/forum +| |       |       |                            | gecos:                +| |       |       |                            |   forum_stats=rw/forum+| |       |       |                            | email:                +| |       |       |                            |   forum_emails=r/forum | 
(1 row)

上述输出中,用户名列具有 ACL forum_stats=r/forum,这意味着 forum_stats 角色在此类列上具有读取权限(即 SELECT)。gecos 列具有 ACL forum_stats=rw/forum,读作 forum_stats 角色,能够在列上读写(即 SELECT 和 UPDATE)。

我们必须要当心,不要让权限相互冲突。例如,假设我们错误地向 forum_stats 角色提供了 SELECT 权限:

forumdb=> GRANT SELECT ON forum.users TO forum_stats;
GRANT

如果我们在执行完成上述语句后检查users 表的权限,我们可以看到 ACL 已经更新如下:

forumdb=> \dp usersAccess privilegesSchema | Name  | Type  |     Access privileges      |   Column privileges    | Policies 
--------+-------+-------+----------------------------+------------------------+----------forum  | users | table | forum=arwdDxt/forum       +| username:             +| |       |       | forum_admins=arwdDxt/forum+|   forum_stats=r/forum +| |       |       | forum_stats=r/forum        | gecos:                +| |       |       |                            |   forum_stats=rw/forum+| |       |       |                            | email:                +| |       |       |                            |   forum_emails=r/forum | 
(1 row)

那么问题来了,在接下来执行 SELECT 语句时,哪个授权会生效呢?

这个很容易测试,PostgreSQL 认为上次授予的权限比授予列的权限更开放。因此,该角色将被赋予查看表上每列的能力:

$ psql -U taoqi forumdbforumdb=> SELECT * FROM forum.users;pk |   username   |    gecos     |       email       
----+--------------+--------------+-------------------1 | laven_liu    | laven liu    | laven@google.com2 | taotao_qi    | tao qi       | taoqi@lavenliu.cn3 | james_lebron | james lebron | james@qq.com4 | taoqi        | tao qi 2     | taoqi2@apple.com5 | lavenliu     | laven liu 2  | lcc@ibm.com6 | forum        | forum li     | forum@ibm.com
(6 rows)

要想解决这个问题并不像我们想象的那么简单。撤销对我们不希望角色访问的列的读取权限可能不会达到预期,即使是由表所有者(forum 用户)完成的:

$ psql -U forum forumdbforumdb=> REVOKE SELECT (pk, email) ON users FROM forum_stats;

如果我们还记得,REVOKE 不会存储 ACL,但会修改现有的 ACL。在这种情况下,由于与前面的 pk 和 email 列没有任何关系,REVOKE语句不会改变任何内容:

forumdb=> \dp usersAccess privilegesSchema | Name  | Type  |     Access privileges      |   Column privileges    | Policies 
--------+-------+-------+----------------------------+------------------------+----------forum  | users | table | forum=arwdDxt/forum       +| username:             +| |       |       | forum_admins=arwdDxt/forum+|   forum_stats=r/forum +| |       |       | forum_stats=r/forum        | gecos:                +| |       |       |                            |   forum_stats=rw/forum+| |       |       |                            | email:                +| |       |       |                            |   forum_emails=r/forum | 
(1 row)

由上述输出可以看到,ACL 列表并没有发生变化。我们知道,每个特定的 GRANT 语句都可以由相应的 REVOKE 来回收。接下来我们需要执行一个不带任何列的 REVOKE 语句,如下:

$ psql -U forum forumdbforumdb=> REVOKE SELECT ON users FROM forum_stats;forumdb=> \dp usersAccess privilegesSchema | Name  | Type  |     Access privileges      |   Column privileges    | Policies 
--------+-------+-------+----------------------------+------------------------+----------forum  | users | table | forum=arwdDxt/forum       +| gecos:                +| |       |       | forum_admins=arwdDxt/forum |   forum_stats=w/forum +| |       |       |                            | email:                +| |       |       |                            |   forum_emails=r/forum | 
(1 row)

执行上述 REVOKE 语句后,同事也会删除基于列的授予权限,因此在 REVOKE 之后,forum_stats 角色将不再能够对 username 和 gecos 列执行 SELECT。为了重新让该角色具有权限,我们必须为目标列重新执行 GRANT 语句。我们使用 taoqi 用户验证一下:

$ psql -U taoqi forumdbforumdb=> SELECT username, gecos from forum.users;
ERROR:  permission denied for table usersforumdb=> SELECT gecos from forum.users;
ERROR:  permission denied for table usersforumdb=> SELECT email from forum.users;email       
-------------------laven@google.comtaoqi@lavenliu.cnjames@qq.comtaoqi2@apple.comlcc@ibm.comforum@ibm.com
(6 rows)

序列相关的权限

序列是一个类似表的对象,它生成事务安全的新值流,通常用于自动生成(合成)键。

与序列相关的三个主要权限: USAGE 允许从序列中查询新值; SELECT 权限允许查询序列中的最后一个或当前值(但不能获取新值); 最后,UPDATE 权限是另一个特定于 PostgreSQL 的扩展,它允许设置和/或重置序列的值。

SELECT 和 UPDATE 两个权限仅允许我们对序列进行更细粒度的权限配置。

GRANT 和 REVOKE 语句的一般语法如下:

GRANT <permission> ON SEQUENCE <sequence> TO <role>;
REVOKE <permission> ON SEQUENCE <sequence> FROM <role>;

特殊关键字 ALL 则包含了适用于序列的所有权限。

为了理解序列的权限如何工作,让我们考虑用于生成 categories 表主键的序列:categories_pk_seq。

首先,回收 taoqi 角色的所有序列的权限,以便它无法再与序列交互:

$ psql -U forum forumdbforumdb=> REVOKE ALL ON SEQUENCE categories_pk_seq FROM taoqi;
REVOKE

现在,如果 taoqi 角色试图从序列中获取新值,它会收到一个权限被拒绝的错误:

$ psql -U taoqi forumdbforumdb=> SELECT nextval( 'forum.categories_pk_seq' );
ERROR:  permission denied for sequence categories_pk_seq

再次授予允许 taoqi 角色再次查询序列:

$ psql -U forum forumdbforumdb=> GRANT USAGE ON SEQUENCE categories_pk_seq TO taoqi;
GRANT

现在,taoqi 角色可以成功执行 nextval 函数:

$ psql -U taoqi forumdbforumdb=> \dp forum.categories_pk_seq Access privilegesSchema |       Name        |   Type   | Access privileges | Column privileges | Policies 
--------+-------------------+----------+-------------------+-------------------+----------forum  | categories_pk_seq | sequence | forum=rwU/forum  +|                   | |                   |          | taoqi=U/forum     |                   | -- 这里的 U 表示 Usage,Usage 包含了 SELECT 权限
(1 row)forumdb=> SELECT nextval( 'forum.categories_pk_seq' );nextval
---------11
(1 row)-- setval 函数是否可以执行呢?
forumdb=> SELECT setval( 'forum.categories_pk_seq', 10 );
ERROR:  permission denied for sequence categories_pk_seq

但是 taoqi 角色并不能执行 setval 函数,接下来我们授予 taoq 对 categories_pk_seq 序列的更新权限:

$ psql -U forum forumdbforumdb=> GRANT USAGE, UPDATE ON SEQUENCE forum.categories_pk_seq TO taoqi;
GRANT-- 验证一下 ACL
forumdb=> \dp categories_pk_seq Access privilegesSchema |       Name        |   Type   | Access privileges | Column privileges | Policies 
--------+-------------------+----------+-------------------+-------------------+----------forum  | categories_pk_seq | sequence | forum=rwU/forum  +|                   | |                   |          | taoqi=wU/forum    |                   | 
(1 row)

切换到 taoqi 用户再次执行 setval 函数:

$ psql -U taoqi forumdbforumdb=> SELECT setval( 'forum.categories_pk_seq', 10 );setval 
--------10
(1 row)forumdb=> SELECT nextval( 'forum.categories_pk_seq' );nextval 
---------11
(1 row)

schema 相关的权限

由前面的章节中介绍的,schema 是各种对象的命名空间,主要包含表和视图,但也包括函数、例程和其他数据库对象。主要有两种权限可以应用于模式:CREATE,允许在模式中创建对象,USAGE,允许角色在模式中使用对象。

令人有些困惑的是,如果角色没有 USAGE 权限,即使它是所有者,它也无法访问对象。

对 schema 进行授权与回收权限的语法如下:

-- 授予权限
GRANT <permission> ON SCHEMA <schema> TO <role>;-- 回收权限
REVOKE <permission> ON SCHEMA <schema> FROM <role>;

关键字 ALL 则包含了所有的权限。为了更好地了解两种不同的权限,让我们创建一个名为 configuration 的 schema,看看如何启用对它的访问:

$ psql -U forum forumdbforumdb=> CREATE SCHEMA configuration;
CREATE SCHEMA

该模式是由 forum 用户创建的,因此用户 taoqi 没有任何权限,因此它无法在该 schema 下创建表:

$ psql -U taoqi forumdbforumdb=> CREATE TABLE configuration.conf( param text,value text,UNIQUE (param) );
ERROR: permission denied for schema configuration

为了允许用户 taoqi 在模式中创建新对象,必须授予 CREATE 权限。接下来我们需要同时提供 CREATE 及 USAGE 权限:

$ psql -U forum forumdbforumdb=> GRANT CREATE ON SCHEMA configuration TO taoqi;
GRANTforumdb=> GRANT USAGE ON SCHEMA configuration TO taoqi;
GRANT

经过上面的授权后,taoqi 角色现在可以在模式中创建一个新对象:

$ psql -U taoqi forumdbforumdb=> CREATE TABLE configuration.conf( param text,value text,UNIQUE (param) );
CREATE TABLEforumdb=> INSERT INTO configuration.confVALUES( 'posts_per_page', '10' );
INSERT 0 1

如果没有 USAGE 权限,角色将无法再访问模式中的任何对象,即使它是对象的所有者:

$ psql -U forum forumdbforumdb=> REVOKE USAGE ON SCHEMA configuration FROM taoqi;
REVOKE

经过权限回收后,用户 taoqi 无法再读取自己的数据:

$ psql -U taoqi forumdbforumdb=> SELECT * FROM configuration.conf;
ERROR: permission denied for schema configuration

通常我们允许角色操纵特定模式中包含的一些数据,但同时不授予其创建新数据库对象(如表)的能力。例如:

$ psql -U forum forumdbforumdb=> GRANT USAGE ON SCHEMA configuration TO taoqi;
GRANTforumdb=> REVOKE CREATE ON SCHEMA configuration FROM taoqi;
REVOKE

我们可以将模式视为其他对象的容器。要访问容器,我们必须具有 USAGE 权限,要创建新对象,我们必须具有 CREATE 权限。

schema 中的所有对象

如何授予 schema 中所有对象的权限呢?可以使用 ALL <objects> IN SCHEMA 子句。操作如下:

$ psql -U postgres forumdbforumdb=# REVOKE ALLON ALL TABLES IN SCHEMA configurationFROM taoqi;
REVOKEforumdb=# GRANT SELECT, INSERT, UPDATEON ALL TABLES IN SCHEMA configurationTO taoqi;
GRANT-- 查看一下权限
forumdb=> \dp configuration.conf Access privilegesSchema     │ Name │ Type  │ Access privilegesColumn privileges │ Policies 
═══════════════╪══════╪═══════╪═══════════════════╪═══════════════════╪══════════configuration │ conf │ table │ taoqi=arw/taoqi   │                   │ 
(1 row)

这可以大大简化大型 schema 的管理。

如果要授予不同对象的所有权限,我们总结如下:

  • 对表授权所有权限,可以使用子句 ON ALL TABLES IN SCHEMA
  • 对序列授予所有权限,可以使用子句 ON ALL SEQUENCES IN SCHEMA
  • 对例程授予所以权限,可以使用子句 ON ALL ROUTINES IN SCHEMA (类似的还有 ON ALL PROCEDURES IN SCHEMAON ALL FUNCTIONS IN SCHEMA

编程语言相关的权限

只有一个权限适用于编程语言:USAGE。此权限允许角色使用该语言。关键字 ALL 的存在是为了与其他 GRANT 和 REVOKE 语句兼容,只需应用一个权限即可。

为了防止不受信任的用户在数据库中运行代码,授予尽可能少的权限是一个很好的安全习惯。例如,要拒绝任何角色执行任何 PL/Perl 代码片段的能力,我们需要撤销特殊组 PUBLIC 的权限:

forumdb=# REVOKE USAGE ON LANGUAGE plperl FROM PUBLIC;
REVOKE

需要确保系统已安装了相应的编程语言,如果没有安装,则会报错:

forumdb=# REVOKE USAGE ON LANGUAGE plperl FROM PUBLIC;
ERROR:  language "plperl" does not exist

这样,即使是像 taoqi 这样的受信任用户也无法执行 PL/Perl 片段:

forumdb=> DO LANGUAGE plperl $$ elog( INFO, "Hello World" ); $$;
ERROR: permission denied for language plperl

如果我们想允许 taoqi 角色执行 PL/Perl 代码,我们需要显式授予此权限:

forumdb=# GRANT USAGE ON LANGUAGE plperl TO taoqi;
GRANT

例程相关的权限

特殊关键字 ROUTINES 包括 FUNCTIONS 和 PROCEDURES。有一个与 ROUTINES 关联的单一权限,即 EXECUTE 权限,以便能够在例程中运行(执行)代码。

为了演示上述权限,接下来我们创建一个非常简单的例程 get_max,它返回两个整数之间的最大值:

forumdb=> CREATE FUNCTION get_max (a int, b int)RETURNS intAS $$
BEGINIF a > b THENRETURN a;ELSERETURN b;END IF;
END
$$
LANGUAGE plpgsql;-- 查看一下刚才创建的函数
forumdb=> \df forum.get_maxList of functionsSchema │  Name   │ Result data type │ Argument data typesType
════════╪═════════╪══════════════════╪══════════════════════╪══════forum  │ get_max │ integer          │ a integer, b integer │ func
(1 row)

现在,让我们防止除 taoqi 以外的任何角色执行这样的例程:

forumdb=> REVOKE EXECUTE ON ROUTINE get_max FROM PUBLIC;
REVOKEforumdb=> GRANT EXECUTE ON ROUTINE get_max TO taoqi;
GRANT

如果调用该函数,除 taoqi 以外的任何角色都将收到权限拒绝错误:

-- 接下来以 james 角色执行
$ psql -U james forumdbforumdb=> SELECT forum.get_max( 10, 20 );
ERROR:  permission denied for function get_max-- 以 taoqi 角色执行
$ psql -U taoqi forumdbforumdb=> SELECT forum.get_max( 10, 20 );get_max 
═════════20
(1 row)

由于 get_max 是一个函数,我们可以用 FUNCTION 关键字而不是 ROUTINE 编写 GRANT 和 REVOKE 权限。这是一个偏好问题。当我们想同时使用单个语句对模式中的所有函数和过程应用权限时,ROUTINES 关键字会变得很方便,如下所示:

-- 以 forum 角色执行
forumdb=> GRANT EXECUTE ON ALL ROUTINES IN SCHEMA forum TO taoqi;

database 相关的权限

有很多与数据库相关的权限:CONNECT 允许或拒绝连接,而不考虑基于主机的访问控制;TEMP 允许在数据库中创建临时对象(例如表);CREATE 允许在数据库中创建新对象。其授予与回收的一般的语法为:

GRANT <permission> ON DATABASE <database> TO <role>;REVOKE <permission> ON DATABASE <database> FROM <role>;

例如,如果我们需要将每个用户锁定在数据库之外,例如,当我们必须进行维护工作时,我们可以执行以下 REVOKE 命令:

forumdb=# REVOKE CONNECT ON DATABASE forumdb FROM PUBLIC;
REVOKE

那么新的连接将因权限被拒绝而被阻挡连接:

$ psql -U taoqi forumdb
psql: error: connection to server on socket "/tmp/.s.PGSQL.5432" failed: FATAL:  permission denied for database "forumdb"
DETAIL:  User does not have CONNECT privilege.

现在,如果我们希望 taoqi 角色是唯一能够连接到数据库并创建对象而不是临时对象的角色,我们需要执行以下命令:

forumdb=# REVOKE ALL ON DATABASE forumdb FROM public;
REVOKEforumdb=# GRANT CONNECT, CREATE ON DATABASE forumdb TO taoqi;
GRANT

授予对象所有者

我们知道对象的所有者拥有此类对象的所有可用权限。有时,我们可能希望将对象的所有权更改为另一个角色。所有权的变更是使用 ALTER 语句完成的,例如:

ALTER <object> OWNER TO <role>;

例如,要更改表的所有权,我们可以执行以下命令:

forumdb=# ALTER TABLE forum.categories OWNER TO taoqi;
ALTER TABLE

要更改函数的所有权,我们可以执行以下命令:

-- 等价于: ALTER FUNCTION forum.get_max OWNER TO taoqi;
forumdb=# ALTER ROUTINE forum.get_max OWNER TO taoqi;
ALTER ROUTINE

超级用户可以更改每个数据库对象的所有者,而普通用户却不能,它们只能修改属于它们自己权限的对象。

获取 ACL 信息

为了查看已授予角色和对象的权限,我们可以使用前面已经提到的 psql 特殊命令 \dp(describe permission),该命令打印为特定对象(例如表)配置的 ACL。该命令对特殊 category pg_class 执行查询,该目录包含一个名为 relacl 的特定字段——一个 ACL 数组。我们可以看到如下:

forumdb=> SELECT current_role;current_role
══════════════forum
(1 row)forumdb=> \dp usersAccess privilegesSchema │ Name  │ Type  │     Access privilegesColumn privileges    │ Policies
════════╪═══════╪═══════╪════════════════════════════╪════════════════════════╪══════════forum  │ users │ table │ forum=arwdDxt/forum       ↵│ username:             ↵││       │       │ forum_admins=arwdDxt/forum↵│   forum_stats=r/forum ↵││       │       │ taoqi=r/forum              │ gecos:                ↵││       │       │                            │   forum_stats=r/forum ↵││       │       │                            │ email:                ↵││       │       │                            │   forum_emails=r/forum │
(1 row)forumdb=> SELECT relname, relacl FROM pg_class WHERE relname = 'users';relname │                             relacl
═════════╪════════════════════════════════════════════════════════════════users   │ {forum=arwdDxt/forum,forum_admins=arwdDxt/forum,taoqi=r/forum}
(1 row)

从上面的输出可以看出,除了输出的格式不同外,\dp 命令和查询的输出是相同的。

我们还可以使用特殊函数 aclexplode 来获取有关 ACL 含义的更多描述性信息。该函数返回一组记录,每条记录都有授予者(grantor)和被授予者(grantee)的 OID 以及授予权限的文本描述。我们可以执行以下查询:

forumdb=> WITH acl AS (SELECTrelname,(aclexplode(relacl)).grantor,(aclexplode(relacl)).grantee,(aclexplode(relacl)).privilege_typeFROMpg_class
)
SELECTg.rolname AS grantee,acl.privilege_type AS permission,gg.rolname AS grantor
FROMaclJOIN pg_roles g ON g.oid = acl.granteeJOIN pg_roles gg ON gg.oid = acl.grantor
WHEREacl.relname = 'users';

上述语句将返回分配给 users 表的所有权限,如图所示:

   grantee    │ permission │ grantor
══════════════╪════════════╪═════════forum        │ INSERT     │ forumforum        │ SELECT     │ forumforum        │ UPDATE     │ forumforum        │ DELETE     │ forumforum        │ TRUNCATE   │ forumforum        │ REFERENCES │ forumforum        │ TRIGGER    │ forumforum_admins │ INSERT     │ forumforum_admins │ SELECT     │ forumforum_admins │ UPDATE     │ forumforum_admins │ DELETE     │ forumforum_admins │ TRUNCATE   │ forumforum_admins │ REFERENCES │ forumforum_admins │ TRIGGER    │ forumtaoqi        │ SELECT     │ forum
(15 rows)

简单回顾一下,前面我们说过,grantee 与 grantor 相同的话,说明该角色时对象的所有者。

总结

在本小节中,我们重点介绍了 GRANT 及 REVOKE 的使用及一些具体实例。在下面的一小节中我们再介绍 RLS 授权及如何验证。

为自己打个小广告:

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/700085.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024年前一季度,国内医疗器械营收TOP10出炉!

随着国内医疗器械市场的不断发展&#xff0c;各大医疗器械公司的财报数据成为了投资者和行业观察者关注的焦点。近日&#xff0c;根据2024年第一季度财报数据&#xff0c;我们梳理出了中国医疗器械第一财季营收排名前十的械企&#xff0c;为大家带来深入的分析和解读。 一、营…

达梦数据库 报错 数据类型不匹配

达梦数据库 报错 数据类型不匹配 背景描述问题分析问题处理方案1&#xff1a;方案2&#xff1a;TO_CHAR(str)CAST(value AS type)CONVERT(type,value)DBMS_LOB 包TEXT_EQUAL(n1,n2) 写在最后 背景描述 本文写于初接触到达梦(DM)数据库&#xff0c;之前没有用过&#xff0c;因此…

《四》系统模块整体功能关联与实现

在上一篇里&#xff0c;我们完成了动作的创建&#xff0c;那么这一次&#xff0c;我们把它加载到界面上&#xff0c;把需要是实现的动作都加上。 MyWord::MyWord(QWidget *parent): QMainWindow(parent) {mdiAreanew QMdiArea;mdiArea->setHorizontalScrollBarPolicy(Qt::S…

Python爬虫逆向——某公开数据网站实例小记(二)

注意&#xff01;&#xff01;&#xff01;&#xff01;某XX网站逆向实例仅作为学习案例&#xff0c;禁止其他个人以及团体做谋利用途&#xff01;&#xff01;&#xff01; 第一步&#xff1a;分析页面和请求方式 aHR0cHM6Ly95Z3AuZ2R6d2Z3Lmdvdi5jbi8jLzQ0L2p5Z2c 此网站经…

ORACLE ODA一体机存储节点电源故障的分析处理

近期&#xff0c;某用户的ORACLE ODA一体机在例行机房巡检时出现亮黄灯告警&#xff1b;用户反馈次问题后我们立刻通过远程方式&#xff0c;登陆ODA的控制台进行查看&#xff1b; 对于ODA一体机&#xff08;2个计算节点1个存储节点&#xff09;&#xff0c;计算节点可以通过il…

HTTP协议及应用

一.HTTP协议 1.HTTP协议版本 HTTP1.0&#xff1a;服务器处理完成后立即断开TCP连接&#xff08;无连接&#xff09;&#xff0c;服务器不跟踪每个客户端也不记录过去的请求&#xff08;无状态&#xff09;&#xff1b; HTTP1.1&#xff1a;KeepAlived长连接避免了连接建立和…

卷积神经网络CNN的运行过程、常见术语与问题

目录 一、CNN运行过程 1、卷积&#xff08;Convolution&#xff09; 2、激活函数&#xff08;activation function&#xff09; 3、池化&#xff08;pooling&#xff09; 3.1 池化操作 3.2 池化过程 3.3 池化后结果 4、Flatten 5、全连接层 Flatten层的操作 全连接层…

MyBatis常见报错:org.apache.ibatis.binding.BindingException

哈喽&#xff0c;大家好&#xff0c;我是木头左&#xff01; 异常现象描述 当开发者在使用MyBatis进行数据库操作时&#xff0c;可能会遇到org.apache.ibatis.binding.BindingException: Parameter appId not found这样的错误提示。这个错误通常会让程序无法正常运行&#xff…

namenode启动失败 org.apache.hadoop.hdfs.server.common.InconsistentFSStateException:

小白的Hadoop学习笔记 2024/5/14 18:26 文章目录 问题解决报错浅浅分析一下core-ste.xml 问题 namenode启动失败 读日志 安装目录下 vim /usr/local/hadoop/logs/hadoop-tangseng-namenode-hadoop102.log2024-05-14 00:22:46,262 ERROR org.apache.hadoop.hdfs.server.namen…

ov通配符证书1590

OV通配符SSL证书也可以称之为OV企业型泛域名SSL证书&#xff0c;指的是专为企事业单位准备的通配符SSL证书&#xff0c;不仅可以用一张SSL证书保护主域名以及主域名下所有的子域名&#xff0c;还可以为多个域名网站进行身份认证服务。今天就随SSL盾小编了解性价比较高的OV通配符…

端口号查询进程PID

情况1&#xff1a;由于 idea 突然闪退&#xff0c;导致正在 debug 的 Java 进程没结束掉&#xff0c;端口还在占用&#xff0c;重新 debug 不了&#xff0c;所以需要到任务管理器把进程结束掉 但问题是如果当任务管理器进程同时有多个 Java 进程在运行&#xff08;而且名字一样…

涨点神器:即插即用特征融合模块!超低参数,性能依旧SOTA

在写论文时&#xff0c;一些通用性模块可以在不同的网络结构中重复使用&#xff0c;这简化了模型设计的过程&#xff0c;帮助我们加快了实验的迭代速度。 比如在视觉任务中&#xff0c;即插即用的特征融合模块可以无缝集成到现有网络中&#xff0c;以灵活、简单的方式提升神经…