PostgreSQL是通過(guò)角色來(lái)管理數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限的�,我們可以將一個(gè)角色看成是一個(gè)數(shù)據(jù)庫(kù)用戶(hù),或者一組數(shù)據(jù)庫(kù)用戶(hù)���。角色可以擁有數(shù)據(jù)庫(kù)對(duì)象�,如表���、索引,也可以把這些對(duì)象上的權(quán)限賦予其它角色,以控制哪些用戶(hù)對(duì)哪些對(duì)象擁有哪些權(quán)限。
一、數(shù)據(jù)庫(kù)角色:
1. 創(chuàng)建角色:
復(fù)制代碼 代碼如下:
CREATE ROLE role_name;
2. 刪除角色:
復(fù)制代碼 代碼如下:
DROP ROLE role_name;
3. 查詢(xún)角色:
檢查系統(tǒng)表pg_role���,如:
復(fù)制代碼 代碼如下:
SELECT usename FROM pg_role;
也可以在psql中執(zhí)行\(zhòng)du命令列出所有角色��。
二、角色屬性:
一個(gè)數(shù)據(jù)庫(kù)角色可以有一系列屬性��,這些屬性定義他的權(quán)限���,以及與客戶(hù)認(rèn)證系統(tǒng)的交互�����。
1. 登錄權(quán)限:
只有具有LOGIN屬性的角色才可以用于數(shù)據(jù)庫(kù)連接,因此我們可以將具有該屬性的角色視為登錄用戶(hù)��,創(chuàng)建方法有如下兩種:
復(fù)制代碼 代碼如下:
CREATE ROLE name LOGIN PASSWORD '123456‘;
CREATE USER name PASSWORD '123456';
2. 超級(jí)用戶(hù):
數(shù)據(jù)庫(kù)的超級(jí)用戶(hù)擁有該數(shù)據(jù)庫(kù)的所有權(quán)限����,為了安全起見(jiàn),我們最好使用非超級(jí)用戶(hù)完成我們的正常工作。和創(chuàng)建普通用戶(hù)不同�,創(chuàng)建超級(jí)用戶(hù)必須是以超級(jí)用戶(hù)的身份執(zhí)行以下命令:
復(fù)制代碼 代碼如下:
CREATE ROLE name SUPERUSER;
3. 創(chuàng)建數(shù)據(jù)庫(kù):
角色要想創(chuàng)建數(shù)據(jù)庫(kù)����,必須明確賦予創(chuàng)建數(shù)據(jù)庫(kù)的屬性��,見(jiàn)如下命令:
復(fù)制代碼 代碼如下:
CREATE ROLE name CREATEDB;
4. 創(chuàng)建角色:
一個(gè)角色要想創(chuàng)建更多角色���,必須明確給予創(chuàng)建角色的屬性��,見(jiàn)如下命令:
復(fù)制代碼 代碼如下:
CREATE ROLE name CREATEROLE;
三、權(quán)限:
數(shù)據(jù)庫(kù)對(duì)象在被創(chuàng)建時(shí)都會(huì)被賦予一個(gè)所有者�����,通常而言,所有者就是執(zhí)行對(duì)象創(chuàng)建語(yǔ)句的角色�����。對(duì)于大多數(shù)類(lèi)型的對(duì)象�����,其初始狀態(tài)是只有所有者(或超級(jí)用戶(hù))可以對(duì)該對(duì)象做任何事情����。如果要允許其它用戶(hù)可以使用該對(duì)象�,必須賦予適當(dāng)?shù)臋?quán)限����。PostgreSQL中預(yù)定義了許多不同類(lèi)型的內(nèi)置權(quán)限��,如:SELECT���、INSERT���、UPDATE、DELETE�、RULE、REFERENCES��、TRIGGER���、CREATE����、TEMPORARY�����、EXECUTE和USAGE��。
我們可以使用GRANT命令來(lái)賦予權(quán)限,如:
復(fù)制代碼 代碼如下:
GRANT UPDATE ON accounts TO joe;
對(duì)于上面的命令����,其含義為將accounts表的update權(quán)限賦予joe角色。此外�,我們也可以用特殊的名字PUBLIC把對(duì)象的權(quán)限賦予系統(tǒng)中的所有角色。在權(quán)限聲明的位置上寫(xiě)ALL�,表示把適用于該對(duì)象的所有權(quán)限都賦予目標(biāo)角色。
要撤銷(xiāo)權(quán)限�,使用合適的REVOKE命令:
復(fù)制代碼 代碼如下:
REVOKE ALL ON accounts FROM PUBLIC;
其含義為:對(duì)所有角色(PUBLIC)撤銷(xiāo)在accounts對(duì)象上的所有權(quán)限(ALL)。
四��、角色成員:
在系統(tǒng)的用戶(hù)管理中���,通常會(huì)把多個(gè)用戶(hù)賦予一個(gè)組���,這樣在設(shè)置權(quán)限時(shí)只需給該組設(shè)置即可,撤銷(xiāo)權(quán)限時(shí)也是從該組撤消��。在PostgreSQL中����,首先需要?jiǎng)?chuàng)建一個(gè)代表組的角色,之后再將該角色的membership權(quán)限賦給獨(dú)立的用戶(hù)角色即可���。
1. 創(chuàng)建一個(gè)組角色�����,通常而言��,該角色不應(yīng)該具有LOGIN屬性����,如:
復(fù)制代碼 代碼如下:
CREATE ROLE name;
2. 使用GRANT和REVOKE命令添加和撤消權(quán)限:
復(fù)制代碼 代碼如下:
GRANT group_role TO role1, ... ;
REVOKE group_role FROM role1, ... ;
一個(gè)角色成員可以通過(guò)兩種方法使用組角色的權(quán)限�,如:
1. 每個(gè)組成員都可以用SET ROLE命令將自己臨時(shí)"變成"該組成員,此后再創(chuàng)建的任何對(duì)象的所有者將屬于該組��,而不是原有的登錄用戶(hù)�����。
2. 擁有INHERIT屬性的角色成員自動(dòng)繼承它們所屬角色的權(quán)限���。
見(jiàn)如下示例:
復(fù)制代碼 代碼如下:
CREATE ROLE joe LOGIN INHERIT; --INHERIT是缺省屬性��。
CREATE ROLE admin NOINHERIT;
CREATE ROLE wheel NOINHERIT;
GRANT admin TO joe;
GRANT wheel TO admin;
現(xiàn)在我們以角色joe的身份與數(shù)據(jù)庫(kù)建立連接�,那么該數(shù)據(jù)庫(kù)會(huì)話將同時(shí)擁有角色joe和角色admin的權(quán)限�����,這是因?yàn)閖oe"繼承(INHERIT)"了admin的權(quán)限。然而與此不同的是�,賦予wheel角色的權(quán)限在該會(huì)話中將不可用,因?yàn)閖oe角色只是wheel角色的一個(gè)間接成員����,它是通過(guò)admin角色間接傳遞過(guò)來(lái)的,而admin角色卻含有NOINHERIT屬性���,這樣wheel角色的權(quán)限將無(wú)法被joe繼承�。
這樣wheel角色的權(quán)限將無(wú)法被joe繼承�。此時(shí),我們可以在該會(huì)話中執(zhí)行下面的命令:
復(fù)制代碼 代碼如下:
SET ROLE admin;
在執(zhí)行之后�,該會(huì)話將只擁有admin角色的權(quán)限,而不再包括賦予joe角色的權(quán)限�。同樣,在執(zhí)行下面的命令之后�,該會(huì)話只能使用賦予wheel的權(quán)限。
復(fù)制代碼 代碼如下:
SET ROLE wheel;
在執(zhí)行一段時(shí)間之后�,如果仍然希望將該會(huì)話恢復(fù)為原有權(quán)限,可以使用下列恢復(fù)方式之一:
復(fù)制代碼 代碼如下:
SET ROLE joe;
SET ROLE NONE;
RESET ROLE;
注意: SET ROLE命令總是允許選取當(dāng)前登錄角色的直接或間接組角色��。因此,在變?yōu)閣heel之前沒(méi)必要先變成admin���。
角色屬性LOGIN����、SUPERUSER和CREATEROLE被視為特殊權(quán)限���,它們不會(huì)像其它數(shù)據(jù)庫(kù)對(duì)象的普通權(quán)限那樣被繼承。如果需要�,必須在調(diào)用SET ROLE時(shí)顯示指定擁有該屬性的角色。比如��,我們也可以給admin角色賦予CREATEDB和CREATEROLE權(quán)限����,然后再以joe的角色連接數(shù)據(jù)庫(kù),此時(shí)該會(huì)話不會(huì)立即擁有這些特殊權(quán)限��,只有當(dāng)執(zhí)行SET ROLE admin命令之后當(dāng)前會(huì)話才具有這些權(quán)限����。
要?jiǎng)h除一個(gè)組角色,執(zhí)行DROP ROLE group_role命令即可���。然而在刪除該組角色之后�,它與其成員角色之間的關(guān)系將被立即撤銷(xiāo)(成員角色本身不會(huì)受影響)。不過(guò)需要注意的是���,在刪除之前���,任何屬于該組角色的對(duì)象都必須先被刪除或者將對(duì)象的所有者賦予其它角色,與此同時(shí)���,任何賦予該組角色的權(quán)限也都必須被撤消��。
您可能感興趣的文章:- AngularJs基于角色的前端訪問(wèn)控制的實(shí)現(xiàn)
- 使用vue3重構(gòu)拼圖游戲的實(shí)現(xiàn)示例
- 了不起的11個(gè)JavaScript代碼重構(gòu)最佳實(shí)踐小結(jié)
- 重構(gòu)Python代碼的六個(gè)實(shí)例
- 編寫(xiě)高質(zhì)量易語(yǔ)言代碼注意點(diǎn)
- 淺析Android代碼質(zhì)量管理
- 12條寫(xiě)出高質(zhì)量JS代碼的方法
- 淺談軟件工程師的自我修養(yǎng)
