public角色
Public是一个特殊的角色,在元数据表中都查不到该角色。
但它确实是存在的,它默认拥有:
- 数据库:connect,temp/temprary权限,与模式无关
任何新建的数据库,系统会自动为public角色赋予connect和在任何schema下创建临时表的权限。
- Public模式:usage,create权限,与数据库无关
在任何新建的数据库的public chema下有usage和create的权限。
- 函数:execute权限,仅限于public模式下
- Language语言:usage权限,与模式无关
注:
- public角色属于一个全局性的角色,这就意味着你所创建的角色都可以理解为是public角色组成员。
- 对public权限的继承完全不受noinherit的控制,一旦创建了一个拥有login权限的角色,它会立即继承拥有上述权限,此时如果想通过revoke(比如revoke connect on database)来回收的话不会成功,因为这是通过组-组成员来继承的,这种继承权限无法通过单纯的对角色成员revoke掉,只能对组进行revoke,通过继承来实现回收。
----Case1:用户自动继承public权限 --Step1:创建用户u1 \c test1 system Create user u1; --Step2:用户登录数据库 \c test1 u1 --Step3:创建表 Create table t1(id int); Create temp table tmp1(id int); --可见,新建用户是自动继承public角色的权限的。 |
----case2:revoke继承public的权限 --Step1:收回权限 \c test1 system Revoke connect on database test1 from u1; Revoke create on schema public from u1; --step2:验证权限 \c test u1 Create table t2(id int); \d --由此可见connect和create on schema public的权限并没有收回。 |
----case3:revoke public角色的权限 --step1:回收connect权限 \c test1 system Revoke connect on database test1 from public; \c test1 u1 --用户没有connect权限了 --Step2:回收create权限 \c test1 system Grant connect on database test1 to u1; \c test1 system Revoke all on schema public from PUBLIC; \c test1 u1 Create table t3(id int); --u1用户已经没有在public schema下创建表的权限了 |
总结:
- 数据库中存在一个全局public角色,它不具体存在,但会影响到数据库中已有或将有角色的权限
- Public就像一个public组,数据库中所有角色默认继承其权限
- 数据库中角色继承的权限不能仅仅对角色进行revoke,这样是不会成功的,只有通过对其所在组的权限进行revoke才可