\du 查看當前postgresql的用戶,一般此時只能看到 postgres
create user ysr superuser password '123456';
\du 就可以看到兩個用戶了。
參考:http://www.cnblogs.com/stephen-liu74/archive/2012/05/18/2302639.html
http://blog.csdn.net/beiigang/article/details/8604578
--------------------------------------------------------------------------------
Pg權限分為兩部分,一部分是“系統權限”或者數據庫用戶的屬性,可以授予role或user(兩者區別在於login權限);一部分為數據庫對象上的操作權限。對超級用戶不做權限檢查,其它走acl。對於數據庫對象,開始只有所有者和超級用戶可以做任何操作,其它走acl。在pg里,對acl模型做了簡化,組和角色都是role,用戶和角色的區別是角色沒有login權限。
可以用下面的命令創建和刪除角色,
CREATE ROLE name;
DROP ROLE name;
為了方便,也可以在 shell 命令上直接調用程序 createuser 和 dropuser,這些工具對相應命令提供了封裝:
createuser name
dropuser name
數據庫對象上的權限有:SELECT,INSERT, UPDATE,DELETE,RULE, REFERENCES,TRIGGER,CREATE, TEMPORARY,EXECUTE,和 USAGE等,具體見下面定義
typedefuint32AclMode; /* a bitmask of privilege bits */
#define ACL_INSERT (1<<0) /* forrelations */
#defineACL_SELECT (1<<1)
#defineACL_UPDATE (1<<2)
#defineACL_DELETE (1<<3)
#defineACL_TRUNCATE (1<<4)
#defineACL_REFERENCES (1<<5)
#defineACL_TRIGGER (1<<6)
#defineACL_EXECUTE (1<<7) /* for functions */
#defineACL_USAGE (1<<8) /* for languages, namespaces, FDWs, and
* servers */
#defineACL_CREATE (1<<9) /* for namespaces and databases */
#defineACL_CREATE_TEMP (1<<10) /* for databases */
#defineACL_CONNECT (1<<11) /* for databases */
#defineN_ACL_RIGHTS 12 /* 1plus the last 1<<x */
#defineACL_NO_RIGHTS 0
/*Currently, SELECT ... FOR UPDATE/FOR SHARE requires UPDATE privileges */
#defineACL_SELECT_FOR_UPDATE ACL_UPDATE
我們可以用特殊的名字 PUBLIC 把對象的權限賦予系統中的所有角色。 在權限聲明的位置上寫 ALL,表示把適用於該對象的所有權限都賦予目標角色。
beigang=# grantall on schema csm_ca to public;
GRANT
beigang=# revoke all on schema csm_ca frompublic;
REVOKE
beigang=#
每種對象的all權限定義如下:
/*
* Bitmasks defining "allrights" for each supported object type
*/
#defineACL_ALL_RIGHTS_COLUMN (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_REFERENCES)
#defineACL_ALL_RIGHTS_RELATION (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_DELETE|ACL_TRUNCATE|ACL_REFERENCES|ACL_TRIGGER)
#defineACL_ALL_RIGHTS_SEQUENCE (ACL_USAGE|ACL_SELECT|ACL_UPDATE)
#defineACL_ALL_RIGHTS_DATABASE (ACL_CREATE|ACL_CREATE_TEMP|ACL_CONNECT)
#define ACL_ALL_RIGHTS_FDW (ACL_USAGE)
#defineACL_ALL_RIGHTS_FOREIGN_SERVER (ACL_USAGE)
#defineACL_ALL_RIGHTS_FUNCTION (ACL_EXECUTE)
#defineACL_ALL_RIGHTS_LANGUAGE (ACL_USAGE)
#defineACL_ALL_RIGHTS_LARGEOBJECT (ACL_SELECT|ACL_UPDATE)
#defineACL_ALL_RIGHTS_NAMESPACE (ACL_USAGE|ACL_CREATE)
#defineACL_ALL_RIGHTS_TABLESPACE (ACL_CREATE)
用戶的屬性可參見下圖:
視圖 pg_roles提供訪問數據庫角色有關信息的接口。 它只是一個 pg_authid 表的公開可讀部分的視圖,把口令字段用空白填充了。
| 名字 |
類型 |
引用 |
描述 |
| rolname |
name |
|
角色名 |
| rolsuper |
bool |
|
有超級用戶權限的角色 |
| rolcreaterole |
bool |
|
可以創建更多角色的角色 |
| rolcreatedb |
bool |
|
可以創建數據庫的角色 |
| rolcatupdate |
bool |
|
可以直接更新系統表的角色。(除非這個字段為真,否則超級用戶也不能干這個事情。) |
| rolcanlogin |
bool |
|
可以登錄的角色,也就是說,這個角色可以給予初始化會話認證的標識符。 |
| rolpassword |
text |
|
不是口令(總是 ********) |
| rolvaliduntil |
timestamptz |
|
口令失效日期(只用於口令認證);如果沒有失效期,為 NULL |
| rolconfig |
text[] |
|
運行時配置變量的會話缺省 |
下面實驗驗證
先創建一個角色xxx,再創建一個超級用戶csm、普通用戶csm_ca,csm用戶創建一個數據庫testdb,在這個數據庫里創建一個schema:csm_ca,然后賦予普通用戶csm_ca操作數據庫testdb里schema:csm_ca里的表的權限。
1
Create role:
testdb=# create role xxx with superuser;
CREATE ROLE
2
Create user:
testdb=# create user csm with superuserpassword 'csm';
CREATE ROLE
testdb=# create user csm_ca with password 'csm_ca';
CREATE ROLE
testdb=#
3
驗證
testdb=# \du
角色列表
-[ RECORD 1]--------------------------------------
角色名稱 | csm
屬性 | 超級用戶
成員屬於 | {}
-[ RECORD 2]--------------------------------------
角色名稱 | csm_ca
屬性 |
成員屬於 | {}
-[ RECORD 3 ]--------------------------------------
角色名稱 | postgres
屬性 | 超級用戶, 建立角色, 建立 DB, Replication
成員屬於 | {}
-[ RECORD 4]--------------------------------------
角色名稱 | xxx
屬性 | 超級用戶, 無法登錄
成員屬於 | {}
testdb=# SELECT * FROM pg_roles;
-[ RECORD 1 ]---------+---------
rolname | postgres
rolsuper | t
rolinherit | t
rolcreaterole | t
rolcreatedb | t
rolcreatedblink | t
rolcreatepublicdblink | t
roldroppublicdblink | t
rolcatupdate | t
rolcanlogin | t
rolreplication | t
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 10
-[ RECORD 2 ]---------+---------
rolname | csm
rolsuper | t
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcreatedblink | f
rolcreatepublicdblink | f
roldroppublicdblink | f
rolcatupdate | t
rolcanlogin | t
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 24598
-[ RECORD 3 ]---------+---------
rolname | csm_ca
rolsuper | f
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcreatedblink | f
rolcreatepublicdblink | f
roldroppublicdblink | f
rolcatupdate | f
rolcanlogin | t
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 24599
-[ RECORD 4 ]---------+---------
rolname | xxx
rolsuper | t
rolinherit | t
rolcreaterole | f
rolcreatedb | f
rolcreatedblink | f
rolcreatepublicdblink | f
roldroppublicdblink | f
rolcatupdate | t
rolcanlogin | f
rolreplication | f
rolconnlimit | -1
rolpassword | ********
rolvaliduntil |
rolconfig |
oid | 24600
postgres=# \c beigang
You are now connected to database "beigang" as user "csm".
5
Csm用戶在beigang里創建schema: csm_ca
beigang=#
beigang=#
beigang=# create schema csm_ca;
CREATE SCHEMA
beigang=#
6
驗證模式csm_ca和用戶csm_ca
beigang=# \dn
架構模式列表
名稱 | 擁有者
--------+----------
csm_ca | csm
dbo | postgres
public | postgres
sys | postgres
(4 行記錄)
beigang=# \du
角色列表
角色名稱 | 屬性 | 成員屬於
----------+------------------------------------------+----------
csm | 超級用戶 | {}
csm_ca | | {}
postgres | 超級用戶, 建立角色, 建立 DB, Replication | {}
xxx | 超級用戶, 無法登錄 | {}
beigang=#
7
超級用戶csm給普通用戶csm_ca授予操作schema csm_ca的權限
beigang=# grant all on schema csm_ca to csm_ca;
GRANT
beigang=# grant all on all tables in schema csm_ca to csm_ca;
GRANT
beigang=#
8
pg中組就是role,操作見以下
beigang=# grant xxx to csm_ca;
GRANT ROLE
beigang=# revoke xxx from csm_ca;
REVOKE ROLE
beigang=#
參考:
Pg documentation
src/include/nodes/parsenodes.h
src/include/utils/acl.h
-----------------
轉載請著明出處,來自以下博客或mail至beigaang@gmail.com聯系:
blog.csdn.NET/beiigang
beigang.iteye.com