PG权限privilege

xuefuhe2026-01-20 12:58

PostgreSQL 权限不继承:数据库 owner ≠ schema owner ≠ table owner

这一点跟SQL Server非常不一样。

SUPERUSER跟SQL Server的sysadmin一样,最高权限。

instance level:

--https://www.postgresql.org/docs/18/role-attributes.html

CREATE ROLE name SUPERUSER;

CREATE ROLE name CREATEDB;

CREATE ROLE name CREATEROLE;

CREATE ROLE name REPLICATION LOGIN;

CREATE ROLE name LOGIN;

CREATE ROLE name PASSWORD 'string';

CREATE ROLE name NOINHERIT; ---默认是INHERIT

CREATE ROLE name BYPASSRLS;

CREATE ROLE name CONNECTION LIMIT 'integer'; -- "-1"(the default) means no limit.

sql 复制代码 
-- View all roles and their instance-level privileges
SELECT 
    rolname,
    rolsuper,
    rolinherit,
    rolcreaterole,
    rolcreatedb,
    rolcanlogin,
    rolreplication,
    rolconnlimit,
    rolbypassrls
FROM pg_roles;

--Predefined Roles

--https://www.postgresql.org/docs/18/predefined-roles.html

pg_monitor

pg_read_all_settings

pg_read_all_stats

pg_stat_scan_tables

pg_signal_backend

pg_checkpoint

pg_use_reserved_connections

pg_read_server_files

pg_write_server_files

pg_execute_server_program

pg_database_owner

pg_read_all_data

pg_write_all_data

pg_create_subscription

pg_maintain

pg_signal_autovacuum_worker

--database level

CONNECT

CREATE

TEMPORARY

ALL

--ALL指的是拥有上面3个权限
GRANT { { CREATE | CONNECT | TEMPORARY | TEMP } , ... | ALL PRIVILEGES }

ON DATABASE database_name , ...

TO role_specification , ... WITH GRANT OPTION

GRANTED BY role_specification

--https://www.postgresql.org/docs/18/functions-info.html

has_database_privilege ( user name or oid, database text or oid, privilege text ) → boolean

Does user have privilege for database?

Allowable privilege types are CREATE, CONNECT, TEMPORARY, and TEMP (which is equivalent to TEMPORARY).

sql 复制代码 
--默认设置下,任何一个用户都可以连接到新建的数据库,因为默认connect权限是给到public的。
--可以用以下命令收回权限:
revoke connect on database mydb from public;
sql 复制代码 
SELECT 
    datname,
    r.rolname as grantee,
    has_database_privilege(r.rolname, datname, 'CONNECT')  as connect_priv,
    has_database_privilege(r.rolname, datname, 'CREATE')  as create_priv,
    has_database_privilege(r.rolname, datname, 'TEMPORARY') as temp_priv
FROM pg_database d
CROSS JOIN pg_roles r
WHERE --d.datname = 'mydb'    AND 
r.rolname NOT LIKE 'pg_%'
ORDER BY r.rolname;

PostgreSQL 权限不继承:数据库 owner ≠ schema owner ≠ table owner

这一点跟SQL Server非常不一样。

举个简单的例子:

例1:

用户ccc创建了数据库db3,

用户ddd在上面建了个schema db3,然后创建了表t1.

结果用户ccc没权限查询db3.t1这张表。

You are now connected to database "db3" as user "ccc". ^

db3=> select * from db3.t1;

ERROR: permission denied for schema db3

LINE 1: select * from db3.t1;

^

db3=>

例2:

---用ddd用户连接,ddd是schema的owner,没权限读db3.t2,但可以删掉表db3.t2,真的太不一样了!!

db3=> select * from db3.t2;

ERROR: permission denied for table t2

db3=> \dt db3.*

List of tables

Schema | Name | Type | Owner

--------+------+-------+-------

db3 | t1 | table | ddd

db3 | t2 | table | eee

(2 rows)

db3=> drop table db3.t2;

DROP TABLE

db3=>

相关推荐
麦聪聊数据13 小时前
数据服务化时代:企业数据能力输出的核心路径
数据库
shushangyun_13 小时前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
DARLING Zero two♡13 小时前
【MySQL数据库】数据类型与表约束
数据库·mysql
曹牧14 小时前
Oracle EXPLAIN PLAN
数据库·oracle
BD_Marathon14 小时前
SQL学习指南——视图
数据库·sql
活宝小娜14 小时前
mysql详细安装教程
数据库·mysql·adb
贤时间14 小时前
codex 助力oracle ebs 开发
数据库·oracle
秉承初心14 小时前
PostgreSQL 数据性能瓶颈突破实战
数据库·postgresql·oracle
Database_Cool_14 小时前
即席查询(Ad-Hoc)数据库选型:AnalyticDB MySQL 秒级 Ad-Hoc 分析方案
数据库·mysql
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06HTTP 与 HTTPS 的区别:从原理到实战详解072026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?08上线仅72小时被强制下架:Claude Fable 5 的短命09Codex 下载安装指南:Windows 和 macOS 官方版下载10AI科技热点日报 | 2026年6月1日