首頁 > 開發者 > PostgreSQL
標籤:bsp role evo 區別 mit node created 無法登入 記錄
\du 查看當前postgresql的使用者,一般此時只能看到 postgres
create user ysr superuser password ‘123456‘;
\du 就可以看到兩個使用者了。
參考:http://www.cnblogs.com/stephen-liu74/archive/2012/05/18/2302639.html
http://blog.csdn.net/beiigang/article/details/8604578
--------------------------------------------------------------------------------
Pg許可權分為兩部分,一部分是“系統許可權”或者資料庫使用者的屬性,可以授予role或user(兩者區別在於login許可權);一部分為資料庫物件上的操作許可權。對超級使用者不做許可權檢查,其它走acl。對於資料庫物件,開始只有所有者和超級使用者可以做任何操作,其它走acl。在pg裡,對acl模型做了簡化,組和角色都是role,使用者和角色的區別是角色沒有login許可權。
可以用下面的命令建立和刪除角色,
CREATE ROLE name;
DROP ROLE name;
為了方便,也可以在 shell 命令上直接調用程式 createuser 和 dropuser,這些工具對相應命令提供了封裝:
createuser name
dropuser name
資料庫物件上的許可權有:SELECT,INSERT, UPDATE,DELETE,RULE, REFERENCES,TRIGGER,CREATE, TEMPORARY,EXECUTE,和 USAGE等,具體見下面定義
typedefuint32AclMode; /* a bitmask of privilege bits */
#define ACL_INSERT (1<<0) /* forrelations */
#defineACL_SELECT (1<<1)
#defineACL_UPDATE (1<<2)
#defineACL_DELETE (1<<3)
#defineACL_TRUNCATE (1<<4)
#defineACL_REFERENCES (1<<5)
#defineACL_TRIGGER (1<<6)
#defineACL_EXECUTE (1<<7) /* for functions */
#defineACL_USAGE (1<<8) /* for languages, namespaces, FDWs, and
* servers */
#defineACL_CREATE (1<<9) /* for namespaces and databases */
#defineACL_CREATE_TEMP (1<<10) /* for databases */
#defineACL_CONNECT (1<<11) /* for databases */
#defineN_ACL_RIGHTS 12 /* 1plus the last 1<<x */
#defineACL_NO_RIGHTS 0
/*Currently, SELECT ... FOR UPDATE/FOR SHARE requires UPDATE privileges */
#defineACL_SELECT_FOR_UPDATE ACL_UPDATE
我們可以用特殊的名字 PUBLIC 把對象的許可權賦予系統中的所有角色。 在許可權聲明的位置上寫 ALL,表示把適用於該對象的所有許可權都賦予目標角色。
beigang=# grantall on schema csm_ca to public;
GRANT
beigang=# revoke all on schema csm_ca frompublic;
REVOKE
beigang=#
每種對象的all許可權定義如下:
/*
* Bitmasks defining "allrights" for each supported object type
*/
#defineACL_ALL_RIGHTS_COLUMN (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_REFERENCES)
#defineACL_ALL_RIGHTS_RELATION (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_DELETE|ACL_TRUNCATE|ACL_REFERENCES|ACL_TRIGGER)
#defineACL_ALL_RIGHTS_SEQUENCE (ACL_USAGE|ACL_SELECT|ACL_UPDATE)
#defineACL_ALL_RIGHTS_DATABASE (ACL_CREATE|ACL_CREATE_TEMP|ACL_CONNECT)
#define ACL_ALL_RIGHTS_FDW (ACL_USAGE)
#defineACL_ALL_RIGHTS_FOREIGN_SERVER (ACL_USAGE)
#defineACL_ALL_RIGHTS_FUNCTION (ACL_EXECUTE)
#defineACL_ALL_RIGHTS_LANGUAGE (ACL_USAGE)
#defineACL_ALL_RIGHTS_LARGEOBJECT (ACL_SELECT|ACL_UPDATE)
#defineACL_ALL_RIGHTS_NAMESPACE (ACL_USAGE|ACL_CREATE)
#defineACL_ALL_RIGHTS_TABLESPACE (ACL_CREATE)
使用者的屬性可參見:
視圖 pg_roles提供訪問資料庫角色有關資訊的介面。 它只是一個 pg_authid 表的公開可讀部分的視圖,把口令欄位用空白填充了。
Table 42-39.pg_roles欄位
名字 |
類型 |
引用 |
描述 |
rolname |
name |
|
角色名稱 |
rolsuper |
bool |
|
有超級使用者權限的角色 |
rolcreaterole |
bool |
|
可以建立更多角色的角色 |
rolcreatedb |
bool |
|
可以建立資料庫的角色 |
rolcatupdate |
bool |
|
可以直接更新系統資料表的角色。(除非這個欄位為真,否則超級使用者也不能幹這個事情。) |
rolcanlogin |
bool |
|
可以登入的角色,也就是說,這個角色可以給予初始化會話認證的標識符。 |
rolpassword |
text |
|
不是口令(總是 ********) |
rolvaliduntil |
timestamptz |
|
口令失效日期(只用於口令認證);如果沒有失效期,為 NULL |
rolconfig |
text[] |
|
運行時組態變數的會話預設 |
下面實驗驗證
先建立一個角色xxx,再建立一個超級使用者csm、普通使用者csm_ca,csm使用者建立一個資料庫testdb,在這個資料庫裡建立一個schema:csm_ca,然後賦予普通使用者csm_ca操作資料庫testdb裡schema:csm_ca裡的表的許可權。
1
Create role:
testdb=# create role xxx with superuser;
CREATE ROLE
2
Create user:
testdb=# create user csm with superuserpassword ‘csm‘;
CREATE ROLE
testdb=# create user csm_ca with password ‘csm_ca‘;
CREATE ROLE
testdb=#
3
驗證
testdb=# \du
角色列表
-[ RECORD 1]--------------------------------------
角色名稱 | csm
屬性 | 超級使用者
成員屬於 | {}
-[ RECORD 2]--------------------------------------
角色名稱 | csm_ca
屬性 |
成員屬於 | {}
-[ RECORD 3 ]--------------------------------------
角色名稱 | postgres
屬性 | 超級使用者, 建立角色, 建立 DB, Replication
成員屬於 | {}
-[ RECORD 4]--------------------------------------
角色名稱 | xxx
屬性 | 超級使用者, 無法登入
成員屬於 | {}
testdb=# SELECT * FROM pg_roles;
-[ RECORD 1 ]---------+---------
rolname | postgres
rolsuper | t
rolinherit | t
rolcreaterole | t
rolcreatedb | t
rolcreatedblink | t
rolcreatepublicdblink | t
roldroppublicdblink | t
rolcatupdate | t
rolcanlogin | t
rolreplication | t
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 10
-[ RECORD 2 ]---------+---------
rolname | csm
rolsuper | t
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcreatedblink | f
rolcreatepublicdblink | f
roldroppublicdblink | f
rolcatupdate | t
rolcanlogin | t
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 24598
-[ RECORD 3 ]---------+---------
rolname | csm_ca
rolsuper | f
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcreatedblink | f
rolcreatepublicdblink | f
roldroppublicdblink | f
rolcatupdate | f
rolcanlogin | t
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 24599
-[ RECORD 4 ]---------+---------
rolname | xxx
rolsuper | t
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcreatedblink | f
rolcreatepublicdblink | f
roldroppublicdblink | f
rolcatupdate | t
rolcanlogin | f
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 24600
postgres=# \c beigang
You are now connected to database "beigang" as user "csm".
5
Csm使用者在beigang裡建立schema: csm_ca
beigang=#
beigang=#
beigang=# create schema csm_ca;
CREATE SCHEMA
beigang=#
6
驗證模式csm_ca和使用者csm_ca
beigang=# \dn
架構模式列表
名稱 | 擁有者
--------+----------
csm_ca | csm
dbo | postgres
public | postgres
sys | postgres
(4 行記錄)
beigang=# \du
角色列表
角色名稱 | 屬性 | 成員屬於
----------+------------------------------------------+----------
csm | 超級使用者 | {}
csm_ca | | {}
postgres | 超級使用者, 建立角色, 建立 DB, Replication | {}
xxx | 超級使用者, 無法登入 | {}
beigang=#
7
超級使用者csm給普通使用者csm_ca授予操作schema csm_ca的許可權
beigang=# grant all on schema csm_ca to csm_ca;
GRANT
beigang=# grant all on all tables in schema csm_ca to csm_ca;
GRANT
beigang=#
8
pg中組就是role,操作見以下
beigang=# grant xxx to csm_ca;
GRANT ROLE
beigang=# revoke xxx from csm_ca;
REVOKE ROLE
beigang=#
參考:
Pg documentation
src/include/nodes/parsenodes.h
src/include/utils/acl.h
-----------------
轉載請著明出處,來自以下部落格或mail至[email protected]聯絡:
blog.csdn.NET/beiigang
beigang.iteye.com
給postgresql 建立新的使用者
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
