介绍
查看
SELECT rolname FROM pg_roles;
postgres是系统初始化时默认创建的角色,为超级管理员。
\du
List of roles
Role name | Attributes | Member of
-----------+------------------------------------------------------------+-----------
postgres | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
角色属性
图形化指定熟悉:
--均用于创建用户,区别是CREATE USER创建的用户默认有登录特权
CREATE ROLE xxx LOGIN;
CREATE USER xxx;
--超级用户,无权限检查
CREATE ROLE xxx SUPERUSER;
--可创建数据库
CREATE ROLE xxx CREATEDB;
--可创建角色
CREATE ROLE xxx CREATEROLE;
--可用于流复制,同时赋予登录权限
CREATE ROLE xxx REPLICATION LOGIN;
--密码
CREATE ROLE xxx PASSWORD 'yyy';
#登录
psql -h ip地址 -p 5432 -U xxx 数据库名
--更改属性
ALTER ROLE xxx NOCREATEROLE;
--授权,单权限:SELECT INSERT UPDATE DELETE TRUNCATE
GRANT 单权限或ALL ON 表 TO xxx;
-- 批量授权,某集合内的所有表的查询权限赋给xxx
GRANT SELECT ON ALL TABLES IN SCHEMA 对象集合名称 TO xxx;
--被授权的角色可以将某权限赋给其他角色
GRANT SELECT, INSERT, UPDATE, DELETE ON 表名 TO xxx
WITH GRANT OPTION;
--撤销,以上赋权的逆向操作将GRANT换成REVOKE
REVOKE 单权限或ALL ON 表 TO xxx;
组和成员
-- 创建组角色
CREATE ROLE ggg;
--用户uuu添加、移除为组ggg的成员,
GRANT ggg TO uuu;
REVOKE ggg FROM uuu;
CREATE ROLE aaa;
GRANT aaa TO yyy;
--不能又设置循环成员关系:GRANT yyy TO aaa;
-- 删除组角色,关系解除,但用户角色不影响
DROP ROLE ggg;
以tony账户登录,执行:SELECT * FROM employees,提示无权限。
然后以postgresql账户登录,执行:GRANT SELECT ON employees TO managers,对managers组角色进行赋权,因为tongy用户角色是其成员,所以以tony执行:SELECT * FROM employees,依旧提示无权限。
--方式一:临时切换成managers,执行SELECT,成功回显,但会临时丢失tony的权限
SET ROLE managers;
SELECT * FROM employees;
-- 恢复,任意执行其中一个
SET ROLE tony;
SET ROLE NONE;
RESET ROLE;
--方式二:设置inherit
-- 针对数据库对象的普通权限可以继承,role的LOGIN、SUPERUSER、CREATEDB、CREATEDB不能被继承。
-- 若要使用必须使用SET ROLE