PostgreSQL的用户、角色和权限管理

最新推荐文章于 2024-04-17 16:45:12 发布
最新推荐文章于 2024-04-17 16:45:12 发布
阅读量9.1w 收藏 32
点赞数 4
分类专栏: PostgreSQL其他 文章标签: postgresql postgreSQL PostgreSQL Postgresql role user 权限 角色
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BeiiGang/article/details/8604578
版权

Pg权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。对超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走acl。pg里,对acl模型做了简化,组和角色都是role,用户和角色的区别是角色没有login权限

 

可以用下面的命令创建和删除角色,

CREATE ROLE name;

DROP ROLE name;

为了方便,也可以在 shell 命令上直接调用程序 createuserdropuser,这些工具对相应命令提供了封装:

createuser name

dropuser name

 

 

数据库对象上的权限有:SELECTINSERTUPDATEDELETERULEREFERENCESTRIGGERCREATETEMPORARYEXECUTE,和 USAGE等,具体见下面定义

 

typedefuint32AclMode;         /* a bitmask of privilege bits */

 

#define ACL_INSERT      (1<<0)  /* forrelations */

#defineACL_SELECT      (1<<1)

#defineACL_UPDATE      (1<<2)

#defineACL_DELETE      (1<<3)

#defineACL_TRUNCATE    (1<<4)

#defineACL_REFERENCES  (1<<5)

#defineACL_TRIGGER     (1<<6)

#defineACL_EXECUTE     (1<<7)  /* for functions */

#defineACL_USAGE       (1<<8)  /* for languages, namespaces, FDWs, and

                                 * servers */

#defineACL_CREATE      (1<<9)  /* for namespaces and databases */

#defineACL_CREATE_TEMP (1<<10) /* for databases */

#defineACL_CONNECT     (1<<11) /* for databases */

#defineN_ACL_RIGHTS    12      /* 1plus the last 1<<x */

#defineACL_NO_RIGHTS   0

/*Currently, SELECT ... FOR UPDATE/FOR SHARE requires UPDATE privileges */

#defineACL_SELECT_FOR_UPDATE   ACL_UPDATE

 

我们可以用特殊的名字 PUBLIC 把对象的权限赋予系统中的所有角色。 在权限声明的位置上写 ALL,表示把适用于该对象的所有权限都赋予目标角色。

beigang=#  grantall on schema csm_ca to public;

GRANT

beigang=# revoke all on schema csm_ca frompublic;

REVOKE

beigang=#

 

每种对象的all权限定义如下:

/*

 * Bitmasks defining "allrights" for each supported object type

 */

#defineACL_ALL_RIGHTS_COLUMN       (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_REFERENCES)

#defineACL_ALL_RIGHTS_RELATION     (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_DELETE|ACL_TRUNCATE|ACL_REFERENCES|ACL_TRIGGER)

#defineACL_ALL_RIGHTS_SEQUENCE     (ACL_USAGE|ACL_SELECT|ACL_UPDATE)

#defineACL_ALL_RIGHTS_DATABASE     (ACL_CREATE|ACL_CREATE_TEMP|ACL_CONNECT)

#define ACL_ALL_RIGHTS_FDW          (ACL_USAGE)

#defineACL_ALL_RIGHTS_FOREIGN_SERVER (ACL_USAGE)

#defineACL_ALL_RIGHTS_FUNCTION     (ACL_EXECUTE)

#defineACL_ALL_RIGHTS_LANGUAGE     (ACL_USAGE)

#defineACL_ALL_RIGHTS_LARGEOBJECT  (ACL_SELECT|ACL_UPDATE)

#defineACL_ALL_RIGHTS_NAMESPACE    (ACL_USAGE|ACL_CREATE)

#defineACL_ALL_RIGHTS_TABLESPACE   (ACL_CREATE)

 

 

用户的属性可参见下图:

pg_roles供访问数据库角色有关信息的接口。 它只是一个 pg_authid 表的公开可读部分的视图,把口令字段用空白填充了。

Table 42-39.pg_roles字段

名字

类型

引用

描述

rolname

name

 

角色名

rolsuper

bool

 

有超级用户权限的角色

rolcreaterole

bool

 

可以创建更多角色的角色

rolcreatedb

bool

 

可以创建数据库的角色

rolcatupdate

bool

 

可以直接更新系统表的角色。(除非这个字段为真,否则超级用户也不能干这个事情。)

rolcanlogin

bool

 

可以登录的角色,也就是说,这个角色可以给予初始化会话认证的标识符。

rolpassword

text

 

不是口令(总是 ********)

rolvaliduntil

timestamptz

 

口令失效日期(只用于口令认证);如果没有失效期,为 NULL

rolconfig

text[]

 

运行时配置变量的会话缺省

 

 

 

下面实验验证

先创建一个角色xxx,再创建一个超级用户csm、普通用户csm_ca,csm用户创建一个数据库testdb,在这个数据库里创建一个schema:csm_ca,然后赋予普通用户csm_ca操作数据库testdb里schema:csm_ca里的表的权限。

1

Create role:

 

testdb=# create role xxx with superuser;

CREATE ROLE

 

2

Create user:

 

testdb=# create user csm with superuserpassword 'csm';

CREATE ROLE

testdb=# create user csm_ca with password 'csm_ca';

CREATE ROLE

testdb=#

 

3

验证

 

 

testdb=# \du

角色列表

-[ RECORD 1]--------------------------------------

角色名称 | csm

属性     | 超级用户

成员属于 | {}

-[ RECORD 2]--------------------------------------

角色名称 | csm_ca

属性     |

成员属于 | {}

-[ RECORD 3 ]--------------------------------------

角色名称 | postgres

属性     | 超级用户, 建立角色, 建立 DB, Replication

成员属于 | {}

-[ RECORD 4]--------------------------------------

角色名称 | xxx

属性     | 超级用户, 无法登录

成员属于 | {}

 

 

testdb=# SELECT * FROM pg_roles;

-[ RECORD 1 ]---------+---------

rolname               | postgres

rolsuper              | t

rolinherit            | t

rolcreaterole         | t

rolcreatedb           | t

rolcreatedblink       | t

rolcreatepublicdblink | t

roldroppublicdblink   | t

rolcatupdate          | t

rolcanlogin           | t

rolreplication        | t

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 10

-[ RECORD 2 ]---------+---------

rolname               | csm

rolsuper              | t

rolinherit            | t

rolcreaterole         | f

rolcreatedb           | f

rolcreatedblink       | f

rolcreatepublicdblink | f

roldroppublicdblink   | f

rolcatupdate          | t

rolcanlogin           | t

rolreplication        | f

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 24598

-[ RECORD 3 ]---------+---------

rolname               | csm_ca

rolsuper              | f

rolinherit            | t

rolcreaterole         | f

rolcreatedb           | f

rolcreatedblink       | f

rolcreatepublicdblink | f

roldroppublicdblink   | f

rolcatupdate          | f

rolcanlogin           | t

rolreplication        | f

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 24599

-[ RECORD 4 ]---------+---------

rolname               | xxx

rolsuper              | t

rolinherit            | t

rolcreaterole         | f

rolcreatedb           | f

rolcreatedblink       | f

rolcreatepublicdblink | f

roldroppublicdblink   | f

rolcatupdate          | t

rolcanlogin           | f

rolreplication        | f

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 24600




 

postgres=# \c beigang

You are now connected to database "beigang" as user "csm".

5

Csm用户在beigang里创建schema: csm_ca

beigang=#

beigang=#

beigang=# create schema csm_ca;

CREATE SCHEMA

beigang=#


 

6

验证模式csm_ca和用户csm_ca

beigang=# \dn

   架构模式列表

  名称  |  拥有者

--------+----------

 csm_ca | csm

 dbo    | postgres

 public | postgres

 sys    | postgres

(4 行记录)

 

 

beigang=# \du

                            角色列表

 角色名称 |                   属性                   | 成员属于

----------+------------------------------------------+----------

 csm      | 超级用户                                 | {}

 csm_ca   |                                          | {}

 postgres | 超级用户, 建立角色, 建立 DB, Replication | {}

 xxx      | 超级用户, 无法登录                       | {}

 

 

beigang=#

 

7

超级用户csm给普通用户csm_ca授予操作schema csm_ca的权限

 

beigang=#  grant all on schema csm_ca to csm_ca;

GRANT

beigang=# grant all on all tables in schema csm_ca to csm_ca;

GRANT

beigang=#

 

8

pg中组就是role,操作见以下

beigang=# grant xxx to csm_ca;

GRANT ROLE

beigang=# revoke xxx from csm_ca;

REVOKE ROLE

beigang=#

 

参考:

Pg documentation

src/include/nodes/parsenodes.h

src/include/utils/acl.h

 

-----------------

转载请著明出处,来自以下博客或mail至beigaang@gmail.com联系:
blog.csdn.net/beiigang
beigang.iteye.com
beiigang_126_com
关注
  • 4
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PostgreSQL教程(十二):角色权限管理介绍
12-16
PostgreSQL是通过角色来管理数据库访问权限的,我们可以将一个角色看成是一个数据库用户,或者一组数据库用户角色可以拥有数据库对象,如表、索引,也可以把这些对象上的权限赋予其它角色,以控制哪些用户对哪些...
13.pgsql中的用户角色权限
Lei_Da_Gou的博客
02-19 3292
一、用户/角色 1.查看原始数据角色 查看命令: \du 执行结果: 默认只有一个超级用户,账号密码都为postgres。 2.添加一个角色 添加sql: -- 添加角色role1 create role role1; 执行效果: 3.pgsql用户角色 官方文档: PostgreSQL 使用角色的概念管理数据库访问权限。根据角色自身的设置不同,一个角色可以看...
pg模式用户关联关系
一醉千秋的专栏
07-18 281
2.创建pg_user1对应的模式名称,模式名称要和用户名保持一致,便于读取默认的表。1.创建模式对应的用户名 如 pg_user1,并设置用户密码和权限
用户角色权限三者的关系?让你设计用户权限系统,你会设计几张表?为什么要这样设计?
m0_70325779的博客
02-21 835
第二种方案要比第一种方案在编码层面更复杂,需要用到5张表,并需要用到多表查询,但是却非常利于系统对各个用户权限控制,加入角色表我们可以将所有的用户划分为不同的角色,让权限关系更加清晰,当我们需要添加新的用户时,只需要让他与角色表相关联,然后就可以通过角色权限关联表确认当前用户都具有哪些权限,程序的健壮性和可扩展性更强。在有些小的项目中,我们通常会发现关于用户权限的设计非常简单,通常都是设计一个权限表列出各种权限,然后就是用户表,用户表中设计一个权限字段关联权限表的主键,从而达到设计用户权限的目的。
PostgreSQL常用命令-创建数据库、用户、多模式schema、修改用户密码、访问其他模式或在其他模式建表的权限、切换用户、无法删除数据库、导入导出sql、活用set search_path、建表
Muxiu
07-29 3745
一般来说,只需要配置上面三个命令,就可以让某个用户拥有访问某个数据库内的其他模式权限,比如上面的例子意义是,首先,用户。下面都以 test 数据库,my_schema 模式名为例,主用户是 postgres ,新建用户是 admin。下面的命令笔者感觉不需要,感觉有点重复,如果今后需要用到如下的三条命令,再说。切换数据库命令,然后后面可以跟着用户名,相当于是切换当前用户,从。如下命令,意义是,切换当前数据库,相当于 MySQL 数据库的。输入如下命令,断开 test 数据库的所有连接,
Postgresql学习笔记之——逻辑结构管理之用户角色模式_new_owner current_user session_user
最新发布
2401_84296692的博客
04-17 564
这意味着,即使一个角色没有特定的特权,但是可以创建其他角色,它也可以轻松地创建具有不同于自身特权的其他角色(除了创建具有超级用户特权的角色之外)。对于所有数据库设置的值会被附加到一个角色的数据库相关的设置所覆盖。模式(schema)是数据库中的一个概念,可以将它理解为一个命名空间或者目录,存放数据库中的逻辑对象,如表、视图、函数、物化视图等,不同的模式下可以有相同名称的表、函数等对象且互相不冲突,提出模式(schema)的概念主要是为了便于管理,只要有权限,每个模式中的对象可以互相调用。
PostgreSQL学习笔记(一):数据库、模式、表空间、用户用户角色
u011047968的专栏
06-26 2484
当需要对一组数据库表(或函数等)的并发数进行单独控制时,需要对这些表(或函数等)放入一个新建的 database 中,PostgreSQL 对最大并发访问会话进行单独控制的最小单元是 database。其中的层级关系是:数据库-模式-对象。需要注意的是,虽然能创建多个数据库实例,但不能同时访问不同数据库中的对象,当需要访问另一个数据库中的表或其他对象时,需要重新连接到这个数据库,而模式却没有此限制,一个用户在连接到一个数据库后,就可以同时访问这个数据库中多个模式的对象。不同的数据库表空间有不同的定义。
pgsql的schema对用户授权,单个用户跨schema增删改查操作
CSDNBOZI的博客
05-06 1万+
--创建用户 create user user1; --修改密码 alter user report with password 'password'; --授权查询权限 grant usage on schema schema1 to user1; grant usage on schema schema2 to user1; 修改search_path可跨schema操作 set s...
不带模式名称访问达梦数据库,pgsql导入达梦数据库
程高伟
08-27 3700
-- 查看表空间 select username,default_tablespace from dba_users; -- 创建表空间 CREATE TABLESPACE TESTDB DATAFILE 'TESTDB.DBF' SIZE 128; -- 创建用户指定默认表空间 CREATE USER TESTUSER IDENTIFIED BY "123456789" DEFAULT TABLESPACE TESTDB; -- 分配权限 GRANT DBA TO TESTUSER; 在模式TES
PostgreSql 用户权限管理
脑子进水养啥鱼?的博客
07-17 1万+
ALTER DEFAULT PRIVILEGES 允许设置将被应用于未来要创建的对象的特权(它不会影响分配给已经存在的对象的特权)。当前,只能修改用于模式、表(包括视图和外部表)、序列、函数和类型(包括域)的特权。其中,可设置权限的函数包括聚集函数和过程函数。当这个命令应用于函数时,单词 FUNCTIONS 和 ROUTINES 是等效的。(推荐使用 ROUTINES,因为它是用来囊括函数和过程的一个标准术语。在较早的 PostgreSQL 发行版中,只允许单词 FUNCTIONS。
postgresql用户权限管理
weixin_30895723的博客
08-20 5662
pg使用角色的概念管理数据库访问权限角色是一系列相关权限的集合。为了管理方便,通常把一系列先关的权限赋予给一个角色,如果哪个用户需要这些权限,就把这些角色赋予给响应的用户。 由于用户也拥有一系列的相关权限,为了简化管理,在PG中,角色用户是没有区别的,一个用户也是一个角色,我们可以把一个用户权限赋值给另一个用户用户角色在整个数据库实例中是全局的,在同一个实例的不同数据库中,看到的用户...
PostgreSQL数据库中的角色(Role)、用户User)、模式(Schema)
SQLplusDB的小院
05-07 5858
用户角色)主要用于权限管理模式用于数据库对象的管理。
Asp.net Core 权限管理系统
03-02
技术路线 Asp.net Core Mvc EntityFrameworkCore Bootstrap AdminLTE PostgreSQL 实现功能 组织机构管理 角色管理 用户管理 功能管理 权限管理
ansible-docker-postgres:管理和运行 PostgreSQL docker 容器的 Ansible 角色
05-31
管理和运行 PostgreSQL docker 容器的 Ansible 角色。 有关使用 docker 镜像的。 角色变量 docker_postgres__name (默认值:postgres):此名称用于主文件夹路径的名称和容器的名称。 docker_postgres__image ...
C#课设项目-基于ASP.NET开发的EasyCms后台权限管理系统源码+项目说明+sql数据库.zip
01-16
C#课设项目-基于ASP.NET开发的EasyCms后台权限管理系统源码+项目说明+sql数据库.zipC#课设项目-基于ASP.NET开发的EasyCms后台权限管理系统源码+项目说明+sql数据库.zipC#课设项目-基于ASP.NET开发的EasyCms后台权限...
PostgreSQL 8.2.3 中文文档
06-12
数据库角色权限 19. 管理数据库 20. 用户认证 21. 区域 22. 日常数据库维护工作 23. 备份与恢复 24. 高可用性与负载均衡 25. 监控数据库的活动 26. 监控磁盘使用情况 27. 可靠性和预写式日志 28. 回归...
数据库并发事务控制四:postgresql数据库的锁机制
热门推荐
深入理解PostgreSQL
01-30 1万+
并发控制是DBMS的关键技术,并发控制技术也称为同步机制,其实现通常依赖于底层的并发控制机制。操作系统提供了多种同步对象,如事件 Event、互斥锁 Mutex和条件变量 Cond、信号量Semaphore、读写锁 RWLock、自旋锁 Spinlock等。数据库管理系统自己实现封锁主要是考虑:     锁语义加强:OS只提供排它锁。为了提高并发度,数据库至少需要共享锁和排它锁,即读锁和写锁;
只安装PostgreSQL客户端工具psql的方法
深入理解PostgreSQL
05-30 1万+
最近有个项目,客户用了edb的ppas,没有只安装psql的安装包,客户表示有些不便,就有了下面的DIY,绿色的。postgresql上应该一样,没做测试。思路就是把psql依赖的包和psql搞到一起切让psql执行时能找到并加载就OK了。具体步骤见下面   1 1.1 只安装psql客户端的问题在windows上只要从edb服务器上把下面的文件copy到客户端上(服务器和客户端机应该同为
postgresql权限管理
03-09
PostgreSQL权限管理是通过角色权限来实现的。角色可以是用户或者组,权限可以是数据库级别或者表级别。通过 GRANT 和 REVOKE 命令来授予或者撤销权限。可以使用 ALTER ROLE 命令来修改角色的属性,例如密码、登录限制等。同时,PostgreSQL 还支持继承角色角色层次结构,可以更加灵活地管理权限

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值