PostgreSQL角色(二)

最新推荐文章于 2022-05-05 15:15:00 发布
最新推荐文章于 2022-05-05 15:15:00 发布
阅读量238 收藏
点赞数
文章标签: 数据库 python
原文链接:https://my.oschina.net/u/1171200/blog/200784
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

role角色

1.define定义


       在PostgreSQL中可以由超级用户或者拥有createrole权限的角色使用用create role命令定义一个数据库层次(所有数据库均可用)的新角色。具体语法就不另作说明了,在此仅就语法中几个参数加以说明:

•INHERIT:默认定义,使用这个参数定义的角色自动拥有其所属角色组拥有的数据库权限
•IN ROLE:将新角色定义为所列出角色的成员
•ROLE:定义新角色为角色组,而所列角色成为该角色组的成员
•ADMIN:作用与role相同,区别在于所列角色拥有新角色的with admin option权限,即可以将新角色的权限赋予给其他用户
//实验三,验证上述四个参数

lihao=# create role role1 nosuperuser nocreatedb nocreaterole noreplication noinherit password 'oracle';

CREATE ROLE

lihao=# create user user1 in role role1 password 'oracle';

CREATE ROLE

lihao=# create role role2 nosuperuser nocreatedb nocreaterole noreplication noinherit login password 'oracle';
CREATE ROLE

lihao=# create role role3 role role2 login;
CREATE ROLE
lihao=# create role role4 nosuperuser nocreatedb nocreaterole noreplication noinherit loginpassword 'oracle';
CREATE ROLE
lihao=# create role role5 admin role4 login;
CREATE ROLE
lihao=# \du+
                                    List of roles
 Role name |                   Attributes                                           | Member of | Description
---------+--------------------------------------------------------+-------------+---------
 lihao     | Superuser, Create role, Create DB, Replication         | {}                  |
 role1     | No inheritance                                                          | {}                   |
 role2     | No inheritance                                                          | {role3}           |
 role3     |                                                                                   | {}                   |
 role4     | No inheritance                                                          | {role5}           |
 role5     |                                                                                   | {}                   |
 user1     |                                                                                   | {role1}          |
lihao=# \c lihao role4
You are now connected to database "lihao" as user "role4".
lihao=# grant role5 to user1;
GRANT ROLE
lihao=# \c lihao role2
You are now connected to database "lihao" as user "role2".
lihao=# grant role3 to user1;
ERROR:  must have admin option on role "role3"
lihao=# \du+
                                            List of roles
 Role name |                   Attributes                                           | Member of | Description
---------+--------------------------------------------------------+-------------+---------
 lihao     | Superuser, Create role, Create DB, Replication         | {}                  |
 role1     | No inheritance                                                          | {}                   |
 role2     | No inheritance                                                          | {role3}           |
 role3     |                                                                                   | {}                   |
 role4     | No inheritance                                                          | {role5}           |
 role5     |                                                                                   | {}                   |
 user1     |                                                                                   | {role1,role5} | 

2.set role

    将当前会话的当前角色更改为所指定角色,修改成功后,当前会话的命令权限使用的是新角色权限。需要注意的是:指定角色必须是超级用户或者是当前会话角色所在的角色组。

lihao=# create role role1 login password 'oracle';
CREATE ROLE
lihao=# create user user1 in role role1 noinherit password 'oracle';
CREATE ROLE
lihao=# grant select on table t1 to role1;
GRANT
lihao=# grant select on table t2 to user1;
GRANT
lihao=# \du+
                                    List of roles
 Role name |                   Attributes                                          | Member of | Description
-------------+---------------------------------------------------+-------------+-------------
 lihao           | Superuser, Create role, Create DB, Replication | {}                  |
 role1           |                                                                            | {}                  |
 user1           | No inheritance                                                  | {role1}           |
lihao=# \dp
                                       Access privileges
 schema |       Name        |   Type   |  Access privileges  | Column access privileges

---------+----------------+--------+----------------------+--------------------------

 public  | t1                      | table     | lihao=arwdDxt/lihao+|
             |                          |              | role1=r/lihao       |
 public  | t2                      | table     | lihao=arwdDxt/lihao+|
             |                          |              | user1=r/lihao       |
[lihao@lihao ~]$ psql -U user1 -d lihao
psql (9.1.8)
Type "help" for help.

lihao=> select * from t1;
ERROR:  permission denied for relation t1
lihao=> set role role1;
SET
lihao=> select * from t1;
 id
----
(0 rows)
lihao=> select * from t2;
ERROR:  permission denied for relation t2

[lihao@lihao ~]$ psql -U role1 -d lihao
psql (9.1.8)
Type "help" for help.

lihao=> set role user1;
ERROR:  permission denied to set role "user1"

3.set session authorization

这条命令类似于SET ROLE,区别在于:SET ROLE是由组成员角色变成组角色,而SET SESSION AUTHORIZATION却是反过来的;而且SET ROLE只能更改current_user,而后者可以更改current_usersession_user。一般来说,session_user = current_user,在类Unix系统中,session_user真正的用户,而current_user起作用的用户

[lihao@lihao ~]$ psql -U role1 -d lihao
psql (9.1.8)
Type "help" for help.

lihao=# select session_user,current_user;
 session_user | current_user
--------------+--------------
 role1            | role1
(1 row)
lihao=# set session authorization user1;
SET
lihao=> select session_user,current_user;
 session_user | current_user
--------------+--------------
 user1           | user1
(1 row)
lihao=> select * from t2;
 id
----
(0 rows)
lihao=> set role role1;
SET
lihao=# select session_user,current_user;
 session_user | current_user
--------------+--------------
 user1           | role1(1 row)
lihao=# select * from t1;
 id
----
(0 rows)
lihao=# select * from t2;
 id
----
(0 rows)

[lihao@lihao ~]$ psql -U user1 -d lihao
psql (9.1.8)
Type "help" for help.

lihao=> set session authorization role1;
ERROR:  permission denied to set session authorization

4.结论

SET ROLE命令成功后,还可以继续使用原用户权限(即set role role1后可select * from t2;),而SET SESSION AUTHORIZATION 就不能,可以得出结论:session_usercurrent_user不同时,可以使用二者的权限;相同时,只能调用current_user的权限。

个人认为这两条命令很危险,理由如下:

  • 在命令行下执行这两条命令不需要进行密码验证

  • 命令执行成功后,可调用alter user命令更改当前用户的属性,比如密码

  • 当两个用户中有一个拥有一些系统权限,如superusercreaterole等权限时,完全可用这两条命令进行切换,然后进行一些危险操作

转载于:https://my.oschina.net/u/1171200/blog/200784

weixin_33894992
关注
PostgreSQL笔记-角色创建 (Role)-登录权限-继承权限-set role-set session authorization
weixin_45680604的博客
06-09 5330
PostgreSQL 中使用角色 (role)机制来处理用户身份认证。 拥有登录数据库权限的角色称为可登录角色 (login role)。 角色继承:一个角色可以继承其他角色的权限从而成为其成员角色 (member role);拥有成员角色角色称为组角色 (group role)。(一个组角色可以是另一个组角色的成员角色,并且这种角色间的继承关系可以有无限多层,但除非你非常有把握能搞定这种多层嵌套关系,否则别这么干,因为你最后一定会把自己搞糊涂。) 登录权限:拥有登录权限的组角色称为可登录的组角色 (g
PG中用户与角色管理
最新发布
weixin_39185173的博客
04-16 1508
查看用户权限:SELECT * FROM pg_user WHERE usename = ‘用户名’;查看角色权限:SELECT * FROM pg_roles WHERE rolname = ‘角色名’;
postgresql 11 的默认角色
一名数据库爱好者的专栏
11-22 3077
os: centos 7.4 db: postgresql 11.1 # cat /etc/centos-release CentOS Linux release 7.4.1708 (Core) # su - postgres -c "psql -c \"select version();\"" v...
第2章 数据库管理
qq_42226855的博客
11-22 1504
第 2 章 数据库管理 2.1 配置文件 postgresql.conf   该文件包含一些通用设置,比如内存分配、新建 database 的默认存储位置、PostgreSQL 服务器的 IP 地址、日志的位置以及许多其他设置。 pg_hba.conf   该文件用于控制 PostgreSQL 服务器的访问权限,具体包括:允许哪些用户连接到哪个数据库,允许哪些 IP 地址连接到本服务器,以及指定连接时使用的身份验证模式。 pg_ident.conf   如果该文件存在,则系统会基于文件内容将当前登录的操作系
openGauss数据库源码解析系列文章—— 角色管理
wangchewen的博客
11-05 813
9.3 角色管理 角色是拥有数据库对象和权限的实体,在不同的环境中角色可以认为是一个用户、一个组或者兼顾两者。角色管理包含了角色的创建、修改、删除、权限授予和回收操作。 9.3.1 角色创建 如果在openGauss上需要创建一个角色,可以使用SQL命令CREATE ROLE,其语法为: CREATE ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY }
Postgresql中如何正确删除role
魂醉的一亩二分地
05-05 3777
关于删除role的一些理论 首先,删除用户不能使用DROP ROLE … CASCADE,不能级联删除用户。也就是不能删除依赖的对象。 因为角色可以拥有数据库对象,并且可以拥有访问其他数据库对象的权限,所以删除角色通常不仅是执行DROP role的问题。该角色拥有的任何对象必须先被删除或重新分配给其他角色;并且必须回收授予该角色的一切权限。 对象的所有权可以通过alter命令修改,如下: ALTER TABLE bobs_table OWNER TO alice; 这里就该REASSIGN OWNED B
postgresql_role:安装PostgreSQL角色
05-16
PostgreSQL Ansible角色 这个Ansible角色在Debian(9,10)或RHEL(7,8)环境中安装PostgreSQL(9.6到12)服务器。 入门 这些说明将为您提供Ansible剧本角色的副本。 一旦启动,它将在Debian或RHEL系统中安装服务器...
PostgreSQL 角色与用户管理介绍
09-10
PostgreSQL角色与用户管理介绍 在数据库管理系统中,角色和用户是两个非常核心的概念,它们用于对数据库中的不同使用者进行身份验证与权限控制。虽然在很多数据库系统中角色与用户被视为两个不同的实体,但在...
ansible-postgresql:部署PostgreSQL软件的角色
05-28
enix.postgresql 使用在UNIX主机上部署和配置上游发行版的。 要求 支持的目标: Debian 8“ Jessie” Debian 9“拉伸” 角色变量 几乎所有可用的默认值都预加载了这些角色。 您可以在主机/组变量,清单或播放中...
pgrights:PostgreSQL角色,特权和策略的GUI
02-05
PostgreSQL角色,特权和策略的GUI 怎么跑 从最新下载dmg文件 或从源代码构建: yarn && yarn package 路线图和变更日志 1.0.0 SQL命令日志 删除连接的可能性 删除政策的可能性 可以编辑表和列的访问权限 ...
Postgresql的用户管理
dekh93096的博客
05-16 181
五、给已存在用户赋予各种权限 使用ALTER ROLE 命令。 ALTER ROLE 语法: ALTER ROLE name [ [ WITH ] option [ ... ] ] where option can be: SUPERUSER | NOSUPERUSER | CREATEDB | NOCREATEDB | CRE...
PostgreSQL中的Permission denied问题解决
dufemt的博客
05-21 6万+
想开始学习SQL和Excel那本书,觉得自己亲手去输入才是正道。发现程序后续会用到窗口函数,可是我的mysql没有窗口函数,这本书所提供的数据的导入方式比较特别,分别是MS SQL Sever和PostreSQL。上午我先安装的sql sever,可是由于比较大且在安装时出现了一些小的问题(安装缓慢,服务启动不了)。无奈选择了PostreSQL,体积小,安装顺利。导入数据比较特别,先建一个表,然后...
PostgreSQL的用户、角色和权限管理
热门推荐
深入理解PostgreSQL
02-23 9万+
Pg权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。对超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走acl。在pg里,对acl模型做了简化,组和角色都是role,用户和角色的区别是角色没有login权限。   可以用下面的命令创建和删除角色
PostgreSQL用户角色及其属性介绍
Socrates的专栏
07-10 1万+
1.CREATE ROLE创建的用户默认不带LOGIN属性,而CREATE USER创建的用户默认带有LOGIN属性,如下:postgres=# CREATE ROLE pg_test_user_1; /*默认不带LOGIN属性*/ CREATE ROLE postgres=
postgresql用户模式权限介绍
Brent的专栏
06-12 2万+
一.USER用户管理1.查看用户pg中的role,user,group基本是一样的,只是默认创建的role,group没有登录数据库的权限.用户分为普通用户和超级用户1.使用\du查看数据库中的用户,其中role name是用户名,第列是用户的属性,第三列表示用户具有哪些成员,例如将suq赋予给brent postgres=# \du                               ...
PostgreSQL权限控制
Jesse技术博客
05-18 4377
postgres=# \du 角色列表 角色名称 | 属性 | 成员属于 ----------+--------------------------------------------+---------- postgres | 超级用户, 建立角色, 建立...
PostgreSql角色、用户创建
AbbottKilig的博客
11-16 2万+
PostgreSQL数据库角色、用户创建1、数据库角色数据库角色与操作系统用户的观念完全不同,其可以方便的维护数据库,但不是必须的。 创建数据库角色CREATE ROLE name; 删除存在的角色DROP ROLE name; 创建和删除用户CREATE USER name;dropuser name; 检查存在的数据库角色SELECT rolname FROM pg_roles;\du #用这
[Postgres] 创建Role并赋予权限
middleJ的博客
04-24 3369
创建Role CREATE USER <role_name> PASSWORD '<role_password>'; 赋予权限 赋予database所有权限 GRANT ALL ON DATABASE <db_name> TO <role_name>; 赋予只读权限 (不能再db level直接赋予SELECT权限) GRANT SELECT O...
postgresql 查看角色
03-31
要查看 PostgreSQL 数据库中的角色,可以使用以下命令: ```sql \du ``` 该命令将显示所有角色的列表,包括每个角色的名称、角色类型(超级用户、普通用户等)、是否可以登录、是否是默认角色以及该角色是否被锁定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值