6.用户及权限管理

用户及权限管理

用户和角色

什么是角色?

角色是一系列相关权限的集合。为了管理方便,通常把一系列相关的数据库权限赋给一个角色,如果哪个用户需要这些权限,就把角色赋给相应的用户。

在 PostgreSQL 中,为了简化管理,角色与用户是没有区别的,一个用户也是一个角色,我们可以把一个用户的权限赋给另一个用户。

用户和角色在整个数据库实例中是全局的,在同一个实例中的不同数据库中,看到的用户都是相同的。

超级用户

  • 超级用户是初始化该数据库时与操作系统用户名相同的用户。
  • 如果数据库是建在操作系统用户 postgres 下的(通常我们把数据库安装在此用户下),那么这个数据库超级用户的名称也叫 postgres
  • 在超级用户下可以创建更多的普通用户。

创建用户和角色

语法

sql 复制代码
CREATE ROLE name [ [ WITH ] option [ ... ] ]
CREATE USER name [ [ WITH ] option [ ... ] ]

option 取值介绍

  • SUPERUSER | NOSUPERUSER:表示创建出来的用户是否为超级用户。
  • CREATEDB | NOCREATEDB:指定创建出来的用户是否有执行 CREATE DATABASE 的权限。
  • CREATEROLE | NOCREATEROLE:指定创建出来的用户是否有创建其他角色的权限。
  • CREATEUSER | NOCREATEUSER:指定创建出来的用户是否有创建其他用户的权限。
  • LOGIN | NOLOGIN:创建出来的用户是否有 LOGIN 权限,可以临时禁止用户的 LOGIN 权限,此时用户无法连接到数据库。

权限的管理

用户的权限分为两类:

第一类:创建用户时指定的权限

  1. 超级用户的权限
  2. 创建数据库的权限
  3. 是否允许 LOGIN 的权限

第二类:由 GRANTREVOKE 命令管理的权限

  1. 在数据库中创建模式(SCHEMA)的权限
  2. 允许在指定的数据库中创建临时表的权限
  3. 连接某个数据库的权限
  4. 在模式中创建数据库对象的权限,如创建表、视图、函数等
  5. 在一些表中做 SELECTUPDATEINSERTDELETE 等操作的权限
  6. 在一张具体的表的列上进行 SELECTUPDATEINSERT 操作的权限
  7. 在表上创建触发器的权限
  8. 把表、索引等建到指定表空间的权限

注意

在使用时要分清上述两类权限:

  • 如果要给用户赋予创建数据库的权限,需要使用 ALTER ROLE 命令。
  • 要给用户赋予创建模式的权限时,则需要使用 GRANT 命令。

PostgreSQL 中的 DDL 权限

PostgreSQL 没有专门的 DDL 语句权限,能否创建表取决于在模式(SCHEMA)中是否有 CREATE 的权限。

函数和触发器的权限

为了加强安全性,PostgreSQL 只允许超级用户使用某些 PL 语言写函数。


权限的层次总结

PostgreSQL 中的权限是按以下几个层次进行管理的:

  1. 首先管理用户特殊属性上的权限,如超级用户权限、创建数据库的权限、创建用户的权限、LOGIN 权限等。
  2. 然后是在数据库中创建模式的权限。
  3. 接着是在模式中创建数据库对象的权限,如创建表、索引等。
  4. 之后是查询表、向表中插入数据、更新表、删除表中数据的权限。
  5. 最后是操作表中某些字段的权限。

如何创建一个只读用户

第一步:收回默认的创建表权限

sql 复制代码
REVOKE CREATE ON SCHEMA public FROM public;

这是因为在 PostgreSQL 中,默认任何用户都可以在名为 public 的 Schema 中创建表,而只读用户是不允许创建表的,所以先要把此权限收回。

第二步:创建一个名为 readonly 的用户

sql 复制代码
CREATE USER readonly WITH PASSWORD 'query';

第三步:将现有表的 SELECT 权限赋予用户 readonly

sql 复制代码
GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly;

注意:上面的 SQL 命令只是把现有表的权限赋予了用户 readonly,如果此时创建了新表,readonly 用户仍不能读取。

第四步:设置默认权限,使新创建的表自动授权

sql 复制代码
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO readonly;

注意:以上过程只是给名为 public 的 Schema 下的表赋予了只读权限,如果想让该用户访问其他 Schema 下的表,需要类似地设置相应 Schema 的权限。


相关推荐
C++ 老炮儿的技术栈11 分钟前
MFC 自定义纯色居中文字进度条控件
c语言·数据库·c++·windows·算法·c·visual studio
灯澜忆梦24 分钟前
【MySQL1】| DDL 数据定义语言
数据库·sql·mysql
2601_9637713742 分钟前
Speeding Up Creative Agency Portfolios: A Performance Guide
前端·数据库·php
运维大师1 小时前
【安全与故障排查】03-【复盘】数据库被入侵:从发现到溯源全过程
数据库·安全·adb
Quincy_Freak2 小时前
银河麒麟 SQLite 实操:Excel 导入与 SQL 语法编辑功能详解摘要
数据库·arm·数据库管理·大数据分析·银河麒麟·aarch64·sqlitego
七夜zippoe2 小时前
OpenClaw 数据加密:敏感信息保护的完整方案
数据库·mysql·php·openclaw·敏感保护
Dovis(誓平步青云)2 小时前
《C/C+++ Boost 轻量级搜索引擎实战:架构流程、技术栈与工程落地指南——HTML文件的清洗(上篇)》
开发语言·数据库·c++·搜索引擎·开源
蚁库4 小时前
Oracle 12c + ASM + UDEV 实战教程:从磁盘规划到日常管理,10节视频完整通关
数据库·oracle
云和恩墨13 小时前
数据库一体机简史:从ODA到zData X,命名之中的玄机
数据库·vr
数据库小学妹14 小时前
KES是什么?国产数据库技术架构、核心能力与选型实战解析
数据库·经验分享·架构·国产数据库·数据库选型·信创数据库