PG用户default privileges授权不生效?

已于 2022-05-11 11:45:00 修改
阅读量2.8k 收藏 10
点赞数 7
分类专栏: PG 文章标签: postgresql 用户授权
于 2022-04-24 11:35:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37692493/article/details/124378959
版权

PG数据库的数据库用户授权相较MySQL是有所不同的。

  • MySQL通过grant对整个schema的表对象授权select权限,被授权账号将会拥有该schema下的所有表对象以及未来创建的表对象的select权限。
  • PostgreSQL数据库通过grant对整个schema的表对象授权select后,被授权账号默认只拥有该schema下当前所有表对象的select权限,不包含该schema下未来创建的表对象的权限。如果需要数据库用户对该schema下未来创建的表对象继承select权限,需要通过alter defaults进行授权。

笔者虽然清楚需要通过alter defaults授权的方式来保证未来创建对象的权限继承,但是还是发现出现了未来创建对象表权限继承失败的情况,详细信息可看下述场景复现。

场景复现

以下表格为我们对业务用户授权说明以及不同用户查询表时候的一些权限表现:

用户名称 数据库授权操作 现象
postgres 默认super账号
aa 通过postgres账号授权aa用户为schema aa 的owner 业务账号,用户表对象创建
bb 通过aa用户授权bb用户拥有 schema aa 所有table的select权限 + alter default 对当前表 + 未来创建表均具有select权限
cc 通过postgres用户授权cc用户拥有schema aa 所有table的select权限 + alter default 对当前表具有select权限,未来创建表没有权限

1、aa用户授权

  • 数据库用户aa为schema aa的owner
  • aa用户为schema aa相关业务的业务账号,后续的表创建、业务数据读写都是通过该账号进行操作
# 使用postgres创建aa账号,并进行授权
db1=# create user aa with password '123123qwe';
CREATE ROLE

db1=# create schema aa authorization aa;
CREATE SCHEMA


# 使用aa用户登录数据库,创建表结构,检查相关表对象owner
db1=# \dn
      List of schemas
      Name      |  Owner   
----------------+----------
 aa             | aa
 
db1=> set search_path ='aa';
SET
db1=> create table t1(id int primary key);
CREATE TABLE

db1=> \d
       List of relations
 Schema | Name | Type  | Owner 
--------+------+-------+-------
 aa     | t1   | table | aa
(1 row)

db1=> insert into t1 values(1);
INSERT 0 1
db1=> select * from t1;
 id 
----
  1
(1 row)

2、bb用户授权

  • bb用户为schema aa的业务只读账号
  • 用户bb的授权使用aa账号进行授权
# 使用postgres创建bb账号
db1=# create user bb with password '123123qwe';
CREATE ROLE

# 使用aa进行授权
db1=> grant USAGE on SCHEMA aa to bb ;
GRANT
db1=> grant SELECT on ALL tables in schema aa to bb ;
GRANT
db1=> alter default privileges in schema aa grant select on tables to bb ;
ALTER DEFAULT PRIVILEGES

3、cc用户授权

  • cc用户为schema aa的业务只读账号
  • 用户cc的授权使用postgres账号进行授权
# 使用postgres创建cc账号
db1=# create user cc with password '123123qwe';
CREATE ROLE

# 使用postgres进行授权
db1=# grant USAGE on SCHEMA aa to cc ;
GRANT
db1=# grant SELECT on ALL tables in schema aa to cc ;
GRANT
db1=# alter default privileges in schema aa grant select on tables to cc ;
ALTER DEFAULT PRIVILEGES

4、权限继承效果查看

1)初始权限

  • 由于上述所有的授权都是在t1创建之后操作的,所以可以看到aa、bb用户都拥有t1表的select权限
# 
db1=# \dp
                            Access privileges
 Schema | Name | Type  | Access privile
最低0.47元/天 解锁文章
三思呐三思
关注
专栏目录
postgres数据库授权失败
qq_40907977的博客
03-12 801
报错信息 : WARNING: sequence “board_bid_seq” only supports USAGE, SELECT, and UPDATE privileges 解决办法 : 把insert换成usage再授权 参考链接 :
【异常】PGSQL提示报错ERRORpermission denied for database postgres
本本本添哥
03-14 1061
遇到的错误ERROR: permission denied for database postgres。
PostgreSQL9.0新特性介绍: alter default privileges,解决只读用户的问题
opendba的专栏
09-01 1264
PostgreSQL9.0提供了一种新的权限方式,即alter default privileges。这个语句的可以解决在数据库中建只读用户的要求。以前在PostgreSQL数据库中,建不了只读用户,即使第一次把所有表的select权限赋给一个用户,但当后面又建新表后,这个只读用户是没有后面新建表的读权限的。而在oracle数据库,只要select any table to xxxx,就建立了一个只读用户。现在PostgreSQL9.0提供了alter default privileges功能后,这个问题不
PostgreSQL权限修改 : ALTER DEFAULT PRIVILEGES
weberhuangxingbo的博客
12-30 6705
关于权限的问题,曾经有个问题一直困扰着,由于关系不是很大一直没有深究,今天偶然的一次机会 看手册时看到 "ALTER DEFAULT PRIVILEGES" 命令,立即解决了困扰已久的问题。   --1 问题描述         在生产数据库中通常不允许开发人员使用生产帐号连接数据库,那么有时候开发人员又需要查询数据库 权限,用于日常问题排查,通常的做法是创建一个查询帐号,并把数据库中指定表...
PostgreSQL授权用户没法使用权限问题[42501] ERROR: permission denied for table cpeentry
iloveubetty的博客
04-10 1242
帮助读者解决PostgreSQL在使用过程中遇到的类似问题。
SQL 创建表时,default不起作用的解决
guangod的博客
04-23 3663
T-SQL中default值的使用 T-SQL语句来创建表时使用default的关键字来自动使用默认值,这个关键字和其它的如:identity,primary key ,not null ,unique等不是相同,这里简单描述一下, create table demo ( id int primary key , name char (10) , content int, city ...
解决“psycopg2.errors.InsufficientPrivilege: permission denied for table”问题
sanqima的专栏
03-01 7582
    今天在写入PostgreSQL的dapp_namemap表格时,报"psycopg2.errors.InsufficientPrivilege: permission denied for table"错误,如图(1)所示。     问题原因:当前用户hello对表格没有读写权限,如表格(1)所示。     解决方法:使用超级用户,进入表格所在的数据库,然后对当前用户授予读写权限。     详细如下。 名称 类型 权限 postgres 超级用户 全部权限 hello 普通
PG中只读账号的授权操作
bingluo8787的博客
08-25 1702
日常工作中,我们通常开给研发2个账号(一个只读账号,读写账号)读写账号自不必说, ,每次用这个账号建表后,自然就用了CRUD的权限。但是,只读账号稍微费事点,如果我们处理不好的话,每次新加表都要再执行一次对只读账号的重新授权操作。好在PG为我们考虑好了这个场景,也是有方法解决的。看下面例子:使用postgres超级账号登录PG,创建2个业务账号create user rw ...
pg一些常用语句记录
最新发布
Aurevoirs的博客
08-06 787
日常工作中遇到的postgresql和greenplum的一些使用场景,记录下相关语句
linux下pg数据库备份,Linux下的pg_dump周期性备份
weixin_34869021的博客
05-09 603
OS: CentOSDB: PostgreSQL9.3 , OS user: postgres一、编写pg_dump备份脚本:# get the day of week 1-7 starting mon=1DOW=`date +"%u"`# define variablesDB_INSTALL_DIR='/opt/PostgreSQL/9.3'# DB_TYPE='PostgreSQL'# DB_...
PG 逻辑复制DDL同步
三思的博客
10-27 1851
文章目录一、逻辑复制+DDL同步部署1.1 必要环境准备1.2 源端逻辑复制发布1.2 目标端逻辑复制订阅1.3 pgl_ddl_deploy 插件部署使用二、功能验证 PG数据库逻辑复制比较大的一个弊端就是它自身无法满足同步对象DDL操作的同步,如果单纯依赖原生的逻辑复制架构,逻辑复制表对象表结构变更操作的整套维护操作是及其复杂、而且容易遗漏的。目前比较常见的解决方案是利用触发器抓取主库相关表对象的DDL变更,然后连接逻辑复制订阅端进行同步应用,本文主要讲解一个可直接部署使用的逻辑复制DDL同步插件,简化
Mac 配置Sublime
mazaiting的博客
02-22 504
1). Sublime Text3 2). 打开用户配置文件 open ~/.bash_profile 3). 设置别名 alias sublime="'/Applications/Sublime Text.app/Contents/SharedSupport/bin/subl'" 4). 使命令生效 source ~/.bash_profile ...
postgresql后期给开发建表的权限问题
weixin_30536513的博客
08-07 472
1、切换到指定数据库 \c axyh_360p_hunan_mobile_security_manage View Code 2、回收权限 1 revoke connect on database axyh_360p_hunan_mobile_security_manage from public; 回收权限 3、设置授权后的权限 grant对以及在...
PostgreSQL 基础知识:对象所有权和默认权限
PostgreSQL China
05-17 1289
最常见的解决方案是:将所有对象的所有权设置为一致的角色,然后将该角色的成员资格授予需要修改对象的用户。在我们的示例设置中,合理的选择是角色devgrp,因为所有开发人员都是该角色的成员。了解角色的创建方式、权限的分配方式以及随着时间的推移如何为一致的访问准备数据库将帮助您有效地使用 PostgreSQL 并让您的团队顺畅地工作。为了提供一个使用我们小型开发团队的示例,我们可以将此表的所有者更改为所有开发人员都是其成员的组,在我们的例子中是角色devgrp。创建的任何对象都将由创建时有效的角色拥有。
数仓安全:用Alter default privilege解决共享schema权限
华为云官方博客
11-13 2373
一种典型客户场景是一些用户是数据的生产方,需要在schema中创建表并写入数据;而另一些用户是数据的消费方,读取schema中的数据做分析。使用Alter default privilege语法可以实现这种共享schema的权限管理问题。通过简单示例演示了Alter default privilege语法处理这种典型场景的细节和有效性。
PostgreSQL权限的分配和控制
互联网知识分享
09-29 1247
中,权限用于控制用户对数据库对象的访问和操作。ALTER DEFAULT PRIVILEGES:用于设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。语句可以设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。中,默认情况下,数据库对象的所有权和访问权限都是由创建该对象的用户所拥有。提供了一组权限控制语句,用于分配和撤销用户对数据库对象的权限。中进行权限的分配和控制。REVOKE:用于撤销用户用户组对数据库对象的某种权限。GRANT:用于授予用户用户组对数据库对象的某种权限。
postgresql中角色和权限的问题
Silence Ray的博客
10-21 3914
PostgreSQL是通过角色来管理数据库访问权限的,我们可以将一个角色看成是一个数据库用户,或者一组数据库用户。角色可以拥有数据库对象,如表、索引,也可以把这些对象上的权限赋予其它角色,以控制哪些用户对哪些对象拥有哪些权限。      一、数据库角色:     1. 创建角色:     CREATE ROLE role_name;          2. 删除角色:    
PostgreSQL 创建数据库、创建用户、赋予权限、创建表、主键总结
xiaowei20091124的专栏
09-02 7749
PostgreSQL 创建数据库、创建用户、赋予权限、创建表、自动增长主键总结
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值