如果在包含架构上授予 USAGE 权限，Postgresql 将忽略缺少 EXECUTE 权限

Posted 2023-03-08

【中文标题】如果在包含架构上授予 USAGE 权限，Postgresql 将忽略缺少 EXECUTE 权限

【英文标题】：Postgresql ignores lack of EXECUTE permission if USAGE permission is granted on containing schema

【发布时间】：2012-12-04 18:24:49

【问题描述】：

来自http://www.postgresql.org/docs/9.1/static/sql-grant.html：

用法

...

对于模式，允许访问包含在指定模式中的对象（假设也满足对象自身的权限要求）。本质上，这允许被授权者在模式中“查找”对象。如果没有此权限，仍然可以查看对象名称，例如通过查询系统表。 ...

...

但是，通过psql 运行以下脚本似乎表明，虽然缺少 SELECT 权限会导致错误，但缺少 EXECUTE 权限不会，这与文档相矛盾，因为不满足“自己的权限要求” .

CREATE DATABASE testdb WITH OWNER postgres ENCODING 'UTF8';
\connect testdb
CREATE ROLE testrole;
CREATE SCHEMA testschema;
GRANT USAGE ON SCHEMA testschema TO testrole;
SET search_path TO testschema;

CREATE FUNCTION testfunc ()
RETURNS VOID
AS $$
BEGIN
  RAISE NOTICE 'IN TESTFUNC';
  RAISE NOTICE 'Current user: %', current_user;
END;
$$
LANGUAGE plpgsql;

CREATE TABLE testtable
(
  testrow INT
);

INSERT INTO testtable (testrow) VALUES (1), (2), (3);

SET ROLE testrole;

SELECT testfunc();
SELECT * FROM testtable;

RESET ROLE;

输出：

$ psql -f usage.sql
CREATE DATABASE
You are now connected to database "testdb" as user "postgres".
CREATE ROLE
CREATE SCHEMA
GRANT
SET
CREATE FUNCTION
CREATE TABLE
INSERT 0 3
SET
psql:usage.sql:27: NOTICE:  IN TESTFUNC
psql:usage.sql:27: NOTICE:  Current user: testrole
 testfunc 
----------

(1 row)

psql:usage.sql:28: ERROR:  permission denied for relation testtable
RESET

我是否遗漏了某些内容或未正确使用权限？

【参考方案1】：

架构在这里并不重要，您看到的是函数的默认执行权限。 考虑一下CREATE FUNCTION documentation的这段摘录：

要记住的另一点是，默认情况下，执行权限是 授予 PUBLIC 以用于新创建的功能（有关更多信息，请参阅 GRANT 信息）。您经常希望限制证券的使用 定义器功能仅适用于某些用户。为此，您必须撤销 默认 PUBLIC 权限，然后授予执行权限 选择性地。

【讨论】：

确实，添加 REVOKE ALL ON FUNCTION testfunc () FROM PUBLIC;解决了我遇到的“问题”。非常感谢。