如何查看PostgreSQL默认权限
当我们对Postgresql的某个用户授予默认权限时, pg_default_acl表存储要被分配给新创建对象的初始权限。你可能通过查询该表获取默认权限,先了解下官方文档的解释:
表 50-17. pg_default_acl的列:
名称 | 类型 | 引用 | 描述 |
---|---|---|---|
oid | oid | 行标识符(隐藏属性,必须被显式选择才会显示) | |
defaclrole | oid | pg_authid.oid | 与此项相关的角色的OID |
defaclnamespace | oid | pg_namespace.oid | 与此项相关的名字空间的OID,如果没有则为0 |
defaclobjtype | char | 此项适合的对象类型: r = 关系(表、视图), S = 序列, f = 函数, T = 类型 | |
defaclacl | aclitem[] | 此类对象在创建时应用有的访问权限 |
一个pg_default_acl项展示了要分配给属于一个指定用户的对象的初始权限。当前有两类项:defaclnamespace = 0的"全局"项和引用一个特殊模式的"每模式"项。如果一个全局项存在,则它重载该对象类型的普通hard-wired默认权限。一个每模式项如果存在,表示权限将被加入到全局或hard-wired默认权限中。
添加默认权限
演示数据库版本:PostgreSQL 9.6.8
这里我们测试给test用户添加“abc”模式的默认权限,先查看下当前schema的所有者:
// 查看当前schema的所有者,相当于\du元命令
SELECT n.nspname AS "Name",
pg_catalog.pg_get_userbyid(n.nspowner) AS "Owner"
FROM pg_catalog.pg_namespace n
WHERE n.nspname !~ '^pg_' AND n.nspname <> 'information_schema'
ORDER BY 1;
查询结果如图所示,模式“abc”的所有者为postgresql用户
针对模式“abc”, 使用超级管理员postgresql给普通用户test授权,命令如下:
// 最后一条命令就是授予初始权限
grant select on all tables in schema abc to test;
grant usage on schema abc to test;
alter default privileges in schema abc grant select on tables to test;
查看默认权限
授权完成,通过pg_default_acl表查看默认权限
// 查看初始权限
select * from pg_catalog.pg_default_acl;
这样看其实不是很直观,可以使用下面的SQL来查看:
// 查看初始权限
SELECT pg_catalog.pg_get_userbyid(d.defaclrole) AS "Granter",
n.nspname AS "Schema",
CASE d.defaclobjtype WHEN 'r' THEN 'table' WHEN 'S' THEN 'sequence' WHEN 'f' THEN 'function' WHEN 'T' THEN 'type' END AS "Type",
pg_catalog.array_to_string(d.defaclacl, E', ') AS "Access privileges"
FROM pg_catalog.pg_default_acl d
LEFT JOIN pg_catalog.pg_namespace n ON n.oid = d.defaclnamespace
ORDER BY 1, 2, 3;
输出结果如下: 表示通过Postgresql超级用户授予test普通用户对模式“abc”有读的权限。
在此,我们再把模式“abc”的拥有者(owner)修改为dbadmin用户(可以事先创建好),执行以下命令:
// 修改模式“abc”拥有者为:dbadmin
ALTER SCHEMA abc OWNER TO "dbadmin";
// 查看模式的拥有者,相当于\du元命令
SELECT n.nspname AS "Name",
pg_catalog.pg_get_userbyid(n.nspowner) AS "Owner"
FROM pg_catalog.pg_namespace n
WHERE n.nspname !~ '^pg_' AND n.nspname <> 'information_schema'
ORDER BY 1;
现在我们使用dbadmin用户登录连接到数据库,给普通用户test添加默认权限,其实上面已经通过postgresql超级用户给test用户加过默认权限了。 这里演示使用dbadmin用户再添加一次,目的是演示pg_default_acl表会出现2条记录,使用dbadmin用户执行以下命令:
alter default privileges in schema abc grant select on tables to test;
再次查看pg_default_acl表会出现两行记录:
一行是dbadmin拥有者授予的读权限。 一行是postgresql超级用户授权的读权限。