PostgreSQL的用户，角色跟权限管理怎么解决

Posted 2023-04-11

参考技术A Pg权限分为两部分，一部分是“系统权限”或者数据库用户的属性，可以授予role或user（两者区别在于login权限）；一部分为数据库对象上的操作权限。对超级用户不做权限检查，其它走acl。对于数据库对象，开始只有所有者和超级用户可以做任何操作，其它走acl。在pg里，对acl模型做了简化，组和角色都是role，用户和角色的区别是角色没有login权限。

可以用下面的命令创建和删除角色，
CREATE ROLE name;
DROP ROLE name;
为了方便，也可以在 shell 命令上直接调用程序 createuser 和 dropuser，这些工具对相应命令提供了封装:
createuser name
dropuser name

数据库对象上的权限有：SELECT，INSERT， UPDATE，DELETE，RULE， REFERENCES，TRIGGER，CREATE， TEMPORARY，EXECUTE，和 USAGE等，具体见下面定义

typedefuint32AclMode; /* a bitmask of privilege bits */

#define ACL_INSERT (1<<0) /* forrelations */
#defineACL_SELECT (1<<1)
#defineACL_UPDATE (1<<2)
#defineACL_DELETE (1<<3)
#defineACL_TRUNCATE (1<<4)
#defineACL_REFERENCES (1<<5)
#defineACL_TRIGGER (1<<6)
#defineACL_EXECUTE (1<<7) /* for functions */
#defineACL_USAGE (1<<8) /* for languages, namespaces, FDWs, and
* servers */
#defineACL_CREATE (1<<9) /* for namespaces and databases */
#defineACL_CREATE_TEMP (1<<10) /* for databases */
#defineACL_CONNECT (1<<11) /* for databases */
#defineN_ACL_RIGHTS 12 /* 1plus the last 1<
#defineACL_NO_RIGHTS 0
/*Currently, SELECT ... FOR UPDATE/FOR SHARE requires UPDATE privileges */
#defineACL_SELECT_FOR_UPDATE ACL_UPDATE

我们可以用特殊的名字 PUBLIC 把对象的权限赋予系统中的所有角色。 在权限声明的位置上写 ALL，表示把适用于该对象的所有权限都赋予目标角色。
beigang=# grantall on schema csm_ca to public;
GRANT
beigang=# revoke all on schema csm_ca frompublic;
REVOKE
beigang=#

每种对象的all权限定义如下：
/*
* Bitmasks defining "allrights" for each supported object type
*/
#defineACL_ALL_RIGHTS_COLUMN (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_REFERENCES)
#defineACL_ALL_RIGHTS_RELATION (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_DELETE|ACL_TRUNCATE|ACL_REFERENCES|ACL_TRIGGER)
#defineACL_ALL_RIGHTS_SEQUENCE (ACL_USAGE|ACL_SELECT|ACL_UPDATE)
#defineACL_ALL_RIGHTS_DATABASE (ACL_CREATE|ACL_CREATE_TEMP|ACL_CONNECT)
#define ACL_ALL_RIGHTS_FDW (ACL_USAGE)
#defineACL_ALL_RIGHTS_FOREIGN_SERVER (ACL_USAGE)
#defineACL_ALL_RIGHTS_FUNCTION (ACL_EXECUTE)
#defineACL_ALL_RIGHTS_LANGUAGE (ACL_USAGE)
#defineACL_ALL_RIGHTS_LARGEOBJECT (ACL_SELECT|ACL_UPDATE)
#defineACL_ALL_RIGHTS_NAMESPACE (ACL_USAGE|ACL_CREATE)
#defineACL_ALL_RIGHTS_TABLESPACE (ACL_CREATE)

用户的属性可参见下图：
视图 pg_roles提供访问数据库角色有关信息的接口。 它只是一个 pg_authid 表的公开可读部分的视图，把口令字段用空白填充了。
Table 42-39.pg_roles字段
名字
类型
引用
描述
rolname
name

角色名
rolsuper
bool

有超级用户权限的角色
rolcreaterole
bool

可以创建更多角色的角色
rolcreatedb
bool

可以创建数据库的角色
rolcatupdate
bool

可以直接更新系统表的角色。（除非这个字段为真，否则超级用户也不能干这个事情。）
rolcanlogin
bool

可以登录的角色，也就是说，这个角色可以给予初始化会话认证的标识符。
rolpassword
text

不是口令（总是 ********）
rolvaliduntil
timestamptz

口令失效日期（只用于口令认证）；如果没有失效期，为 NULL
rolconfig
text[]

运行时配置变量的会话缺省

PostgreSQL角色和权限理解

1.继承的权限只是继承该组的表的权限，用户对应的管理员权限则不会被继承。

2.inherit权限是说本角色是否继承别人的权限，而不是本权限能否被别的角色继承。

 

postgres=# create role test0 createdb createrole  login;
CREATE ROLE
postgres=# \\du
                                   List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+-----------
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 test0     | Create role, Create DB                                     | {}
 test_role |                                                            | {}

postgres=# \\du+
                                          List of roles
 Role name |                         Attributes                         | Member of | Description
-----------+------------------------------------------------------------+-----------+-------------
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}        |
 test0     | Create role, Create DB                                     | {}        |
 test_role |                                                            | {}        |

postgres=# create role test1 inherit;
CREATE ROLE
postgres=# grant test0 to test1;
GRANT ROLE
postgres=# \\du
                                   List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+-----------
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 test0     | Create role, Create DB                                     | {}
 test1     | Cannot login                                               | {test0}
 test_role |                                                            | {}

postgres=# set role test0;
SET
postgres=> create table test0(id int);
CREATE TABLE
postgres=> set role test1;
SET
postgres=> insert into test0 select 1;
INSERT 0 1
postgres=> set role test0;
SET
postgres=> set role postgres
postgres-> ;
SET
postgres=# create role test2 login;
CREATE ROLE
postgres=# set role test2;
SET
postgres=> insert into test0 select 1;
ERROR:  permission denied for relation test0
postgres=> \\d

 

 

 

转自：https://www.cnblogs.com/baisha/p/8082783.html

 

PostgreSQL是通过角色来管理数据库访问权限的，我们可以将一个角色看成是一个数据库用户，或者一组数据库用户。角色可以拥有数据库对象，如表、索引，也可以把这些对象上的权限赋予其它角色，以控制哪些用户对哪些对象拥有哪些权限。

    

一、数据库角色：

 

    1. 创建角色：

    CREATE ROLE role_name;

    

    2. 删除角色：

    DROP ROLE role_name;

    

    3. 查询角色：

    检查系统表pg_role，如：

    SELECT usename FROM pg_role;

    也可以在psql中执行\\du命令列出所有角色。

    

二、角色属性：

 

    一个数据库角色可以有一系列属性，这些属性定义他的权限，以及与客户认证系统的交互。

    1. 登录权限：

    只有具有LOGIN属性的角色才可以用于数据库连接，因此我们可以将具有该属性的角色视为登录用户，创建方法有如下两种：

    CREATE ROLE name LOGIN PASSWORD \'123456‘;

    CREATE USER name PASSWORD \'123456\';

    

    2. 超级用户：

    数据库的超级用户拥有该数据库的所有权限，为了安全起见，我们最好使用非超级用户完成我们的正常工作。和创建普通用户不同，创建超级用户必须是以超级用户的身份执行以下命令：

    CREATE ROLE name SUPERUSER;

    

    3. 创建数据库：

    角色要想创建数据库，必须明确赋予创建数据库的属性，见如下命令：

    CREATE ROLE name CREATEDB;

    

    4. 创建角色：

    一个角色要想创建更多角色，必须明确给予创建角色的属性，见如下命令：

    CREATE ROLE name CREATEROLE;

    

三、权限：

 

    数据库对象在被创建时都会被赋予一个所有者，通常而言，所有者就是执行对象创建语句的角色。对于大多数类型的对象，其初始状态是只有所有者(或超级用户)可以对该对象做任何事情。如果要允许其它用户可以使用该对象，必须赋予适当的权限。PostgreSQL中预定义了许多不同类型的内置权限，如：SELECT、INSERT、UPDATE、DELETE、RULE、REFERENCES、TRIGGER、CREATE、TEMPORARY、EXECUTE和USAGE。

    我们可以使用GRANT命令来赋予权限，如：

    GRANT UPDATE ON accounts TO joe;

    对于上面的命令，其含义为将accounts表的update权限赋予joe角色。此外，我们也可以用特殊的名字PUBLIC把对象的权限赋予系统中的所有角色。在权限声明的位置上写ALL，表示把适用于该对象的所有权限都赋予目标角色。

    要撤销权限，使用合适的REVOKE命令：

    REVOKE ALL ON accounts FROM PUBLIC;

    其含义为：对所有角色(PUBLIC)撤销在accounts对象上的所有权限(ALL)。

 

四、角色成员：

 

    在系统的用户管理中，通常会把多个用户赋予一个组，这样在设置权限时只需给该组设置即可，撤销权限时也是从该组撤消。在PostgreSQL中，首先需要创建一个代表组的角色，之后再将该角色的membership权限赋给独立的用户角色即可。

    1. 创建一个组角色，通常而言，该角色不应该具有LOGIN属性，如：

    CREATE ROLE name;    

    2. 使用GRANT和REVOKE命令添加和撤消权限：

    GRANT group_role TO role1, ... ;

    REVOKE group_role FROM role1, ... ;

　 一个角色成员可以通过两种方法使用组角色的权限，如：

    1. 每个组成员都可以用SET ROLE命令将自己临时"变成"该组成员，此后再创建的任何对象的所有者将属于该组，而不是原有的登录用户。

    2. 拥有INHERIT属性的角色成员自动继承它们所属角色的权限。

    见如下示例：

    CREATE ROLE joe LOGIN INHERIT;  --INHERIT是缺省属性。

    CREATE ROLE admin NOINHERIT;

    CREATE ROLE wheel NOINHERIT;

    GRANT admin TO joe;

    GRANT wheel TO admin;

    现在我们以角色joe的身份与数据库建立连接，那么该数据库会话将同时拥有角色joe和角色admin的权限，这是因为joe"继承(INHERIT)"了admin的权限。然而与此不同的是，赋予wheel角色的权限在该会话中将不可用，因为joe角色只是wheel角色的一个间接成员，它是通过admin角色间接传递过来的，而admin角色却含有NOINHERIT属性，这样wheel角色的权限将无法被joe继承。

　 这样wheel角色的权限将无法被joe继承。此时，我们可以在该会话中执行下面的命令:

    SET ROLE admin;

    在执行之后，该会话将只拥有admin角色的权限，而不再包括赋予joe角色的权限。同样，在执行下面的命令之后，该会话只能使用赋予wheel的权限。

    SET ROLE wheel;

    在执行一段时间之后，如果仍然希望将该会话恢复为原有权限，可以使用下列恢复方式之一：

    SET ROLE joe;

    SET ROLE NONE;

    RESET ROLE;

    注意: SET ROLE命令总是允许选取当前登录角色的直接或间接组角色。因此，在变为wheel之前没必要先变成admin。 

    角色属性LOGIN、SUPERUSER和CREATEROLE被视为特殊权限，它们不会像其它数据库对象的普通权限那样被继承。如果需要，必须在调用SET ROLE时显示指定拥有该属性的角色。比如，我们也可以给admin角色赋予CREATEDB和CREATEROLE权限，然后再以joe的角色连接数据库，此时该会话不会立即拥有这些特殊权限，只有当执行SET ROLE admin命令之后当前会话才具有这些权限。 

    要删除一个组角色，执行DROP ROLE group_role命令即可。然而在删除该组角色之后，它与其成员角色之间的关系将被立即撤销(成员角色本身不会受影响)。不过需要注意的是，在删除之前，任何属于该组角色的对象都必须先被删除或者将对象的所有者赋予其它角色，与此同时，任何赋予该组角色的权限也都必须被撤消。