`

PostgreSQL的用户、角色和权限管理

阅读更多

Pg权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予roleuser两者区别在于login权限);一部分为数据库对象上的操作权限。对超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走aclpg里,对acl模型做了简化,组和角色都是role,用户和角色的区别是角色没有login权限

 

可以用下面的命令创建和删除角色,

CREATE ROLE name;

DROP ROLE name;

为了方便,也可以在 shell 命令上直接调用程序 createuser dropuser,这些工具对相应命令提供了封装:

createuser name

dropuser name

 

 

数据库对象上的权限有:SELECTINSERT UPDATEDELETERULE REFERENCESTRIGGERCREATE TEMPORARYEXECUTE,和 USAGE等,具体见下面定义

 

typedefuint32AclMode;         /* a bitmask of privilege bits */

 

#define ACL_INSERT      (1<<0)  /* for relations */

#define ACL_SELECT      (1<<1)

#define ACL_UPDATE      (1<<2)

#define ACL_DELETE      (1<<3)

#define ACL_TRUNCATE    (1<<4)

#define ACL_REFERENCES  (1<<5)

#define ACL_TRIGGER     (1<<6)

#define ACL_EXECUTE     (1<<7)  /* for functions */

#define ACL_USAGE       (1<<8)  /* for languages, namespaces, FDWs, and

                                 * servers */

#define ACL_CREATE      (1<<9)  /* for namespaces and databases */

#define ACL_CREATE_TEMP (1<<10) /* for databases */

#define ACL_CONNECT     (1<<11) /* for databases */

#define N_ACL_RIGHTS    12      /* 1 plus the last 1<<x */

#define ACL_NO_RIGHTS   0

/* Currently, SELECT ... FOR UPDATE/FOR SHARE requires UPDATE privileges */

#define ACL_SELECT_FOR_UPDATE   ACL_UPDATE

 

我们可以用特殊的名字 PUBLIC 把对象的权限赋予系统中的所有角色。 在权限声明的位置上写 ALL,表示把适用于该对象的所有权限都赋予目标角色。

beigang=#  grant all on schema csm_ca to public;

GRANT

beigang=# revoke all on schema csm_ca from public;

REVOKE

beigang=#

 

每种对象的all权限定义如下:

/*

 * Bitmasks defining "all rights" for each supported object type

 */

#define ACL_ALL_RIGHTS_COLUMN       (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_REFERENCES)

#define ACL_ALL_RIGHTS_RELATION    (ACL_INSERT|ACL_SELECT|ACL_UPDATE|ACL_DELETE|ACL_TRUNCATE|ACL_REFERENCES|ACL_TRIGGER)

#define ACL_ALL_RIGHTS_SEQUENCE     (ACL_USAGE|ACL_SELECT|ACL_UPDATE)

#define ACL_ALL_RIGHTS_DATABASE     (ACL_CREATE|ACL_CREATE_TEMP|ACL_CONNECT)

#define ACL_ALL_RIGHTS_FDW          (ACL_USAGE)

#define ACL_ALL_RIGHTS_FOREIGN_SERVER (ACL_USAGE)

#define ACL_ALL_RIGHTS_FUNCTION     (ACL_EXECUTE)

#define ACL_ALL_RIGHTS_LANGUAGE     (ACL_USAGE)

#define ACL_ALL_RIGHTS_LARGEOBJECT  (ACL_SELECT|ACL_UPDATE)

#define ACL_ALL_RIGHTS_NAMESPACE    (ACL_USAGE|ACL_CREATE)

#define ACL_ALL_RIGHTS_TABLESPACE   (ACL_CREATE)

 

 

用户的属性可参见下图:

pg_roles供访问数据库角色有关信息的接口。 它只是一个 pg_authid 表的公开可读部分的视图,把口令字段用空白填充了。

Table 42-39.pg_roles字段

名字

类型

引用

描述

rolname

name

 

角色名

rolsuper

bool

 

有超级用户权限的角色

rolcreaterole

bool

 

可以创建更多角色的角色

rolcreatedb

bool

 

可以创建数据库的角色

rolcatupdate

bool

 

可以直接更新系统表的角色。(除非这个字段为真,否则超级用户也不能干这个事情。)

rolcanlogin

bool

 

可以登录的角色,也就是说,这个角色可以给予初始化会话认证的标识符。

rolpassword

text

 

不是口令(总是 ********

rolvaliduntil

timestamptz

 

口令失效日期(只用于口令认证);如果没有失效期,为 NULL

rolconfig

text[]

 

运行时配置变量的会话缺省

 

 

 

下面实验验证

先创建一个角色xxx,再创建一个超级用户csm、普通用户csm_cacsm用户创建一个数据库testdb,在这个数据库里创建一个schemacsm_ca,然后赋予普通用户csm_ca操作数据库testdbschemacsm_ca里的表的权限。

1

Create role

 

testdb=# create role xxx with superuser;

CREATE ROLE

 

2

Create user

 

testdb=# create user csm with superuser password 'csm';

CREATE ROLE

testdb=# create user csm_ca with password 'csm_ca';

CREATE ROLE

testdb=#

 

3

验证

 

 

testdb=# \du

角色列表

-[ RECORD 1 ]--------------------------------------

角色名称 | csm

属性     | 超级用户

成员属于 | {}

-[ RECORD 2 ]--------------------------------------

角色名称 | csm_ca

属性     |

成员属于 | {}

-[ RECORD 3 ]--------------------------------------

角色名称 | postgres

属性     | 超级用户, 建立角色, 建立 DB, Replication

成员属于 | {}

-[ RECORD 4 ]--------------------------------------

角色名称 | xxx

属性     | 超级用户, 无法登录

成员属于 | {}

 

 

testdb=# SELECT * FROM pg_roles;

-[ RECORD 1 ]---------+---------

rolname               | postgres

rolsuper              | t

rolinherit            | t

rolcreaterole         | t

rolcreatedb           | t

rolcreatedblink       | t

rolcreatepublicdblink | t

roldroppublicdblink   | t

rolcatupdate          | t

rolcanlogin           | t

rolreplication        | t

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 10

-[ RECORD 2 ]---------+---------

rolname               | csm

rolsuper              | t

rolinherit            | t

rolcreaterole         | f

rolcreatedb           | f

rolcreatedblink       | f

rolcreatepublicdblink | f

roldroppublicdblink   | f

rolcatupdate          | t

rolcanlogin           | t

rolreplication        | f

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 24598

-[ RECORD 3 ]---------+---------

rolname               | csm_ca

rolsuper              | f

rolinherit            | t

rolcreaterole         | f

rolcreatedb           | f

rolcreatedblink       | f

rolcreatepublicdblink | f

roldroppublicdblink   | f

rolcatupdate          | f

rolcanlogin           | t

rolreplication        | f

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 24599

-[ RECORD 4 ]---------+---------

rolname               | xxx

rolsuper              | t

rolinherit            | t

rolcreaterole         | f

rolcreatedb           | f

rolcreatedblink       | f

rolcreatepublicdblink | f

roldroppublicdblink   | f

rolcatupdate          | t

rolcanlogin           | f

rolreplication        | f

rolconnlimit          | -1

rolpassword           | ********

rolvaliduntil         |

rolconfig             |

oid                   | 24600



 


postgres=# \c beigang

You are now connected to database "beigang" as user "csm".

5

Csm用户在beigang里创建schema: csm_ca

beigang=#

beigang=#

beigang=# create schema csm_ca;

CREATE SCHEMA

beigang=#


 

6

验证模式csm_ca和用户csm_ca

beigang=# \dn

   架构模式列表

  名称  |  拥有者

--------+----------

 csm_ca | csm

 dbo    | postgres

 public | postgres

 sys    | postgres

(4 行记录)

 

 

beigang=# \du

                            角色列表

 角色名称 |                   属性                   | 成员属于

----------+------------------------------------------+----------

 csm      | 超级用户                                 | {}

 csm_ca   |                                          | {}

 postgres | 超级用户, 建立角色, 建立 DB, Replication | {}

 xxx      | 超级用户, 无法登录                       | {}

 

 

beigang=#

 

7

超级用户csm给普通用户csm_ca授予操作schema csm_ca的权限

 

beigang=#  grant all on schema csm_ca to csm_ca;

GRANT

beigang=# grant all on all tables in schema csm_ca to csm_ca;

GRANT

beigang=#

 

8

pg中组就是role,操作见以下

beigang=# grant xxx to csm_ca;

GRANT ROLE

beigang=# revoke xxx from csm_ca;

REVOKE ROLE

beigang=#

 

参考:

Pg documentation

src/include/nodes/parsenodes.h

src/include/utils/acl.h

 

 ----------------

转载请著明出处,来自以下博客或mail至beigaang@gmail.com联系:
blog.csdn.net/beiigang
beigang.iteye.com

  • 大小: 96.2 KB
  • 大小: 93.5 KB
分享到:
评论
1 楼 chenxliang 2016-11-04  
2016年10月26、27日,上海浦东,Postgres中国用户大会2016(PG大象会)已经圆满落幕了,大会现场大咖分享视频已经正式上线(含嘉宾演讲PPT),你可直接微信搜索公众号“IT大咖说”(公众号ID:itdakashuo)观看视频。
PG中国社区的发展,需要你的成长与实践,好好努力吧,也可转发朋友圈进行分享,让更多的朋友来了解和学习postgres,为postgreSQL在中国的成长贡献一份力量!谢谢!

相关推荐

    (源码)基于Spring Boot和Vue的后台权限管理系统.zip

    # 基于Spring Boot和Vue的后台权限管理系统 ## 项目简介 本项目是一个基于Spring Boot和Vue的后台权限管理系统,旨在提供一个高效、安全且易于扩展的后台管理系统。系统集成了Spring Security、JWT、Redis和MySQL...

    postgrest和postgresql权限认证,jwt插件

    - 角色和权限管理:JWT可以包含用户的角色信息,PostgreSQL可以根据角色分配不同的权限,实现细粒度的访问控制。 - 安全性:由于JWT是加密的,即使被拦截,攻击者也无法解读其中的信息,增加了安全性。 - 非持久化...

    基于Python的Flask WEB框架实现后台权限管理系统

    本项目基于Python的轻量级Web框架Flask,旨在实现一个完整的后台权限管理功能,包括用户管理、角色管理、资源管理和机构管理。Flask因其简洁、灵活的特性,被广泛用于快速开发小型到中型的Web应用。 首先,让我们...

    Greenplum数据库权限管理1

    在Greenplum数据库管理系统中,权限管理是确保数据安全性和访问控制的重要机制。它允许管理员精确地控制不同用户和角色对数据库对象的访问权限,从而防止未经授权的数据访问或修改。 1.1 概述 Greenplum的权限系统...

    PostgreSQL教程(十二):角色和权限管理介绍

    在PostgreSQL中,角色和权限管理是保证数据安全的重要环节,本篇教程将详细介绍角色和权限管理的知识点。 首先,角色可以被视为数据库用户或一组用户的集合,这是PostgreSQL权限管理的基本单元。一个角色可以是...

    postgresql8.2.3用户手册API

    API手册会说明如何在代码中创建、修改用户角色,以及如何设定和检查权限。 九、并发控制 在多线程或多进程环境中,PostgreSQL通过锁和多版本并发控制(MVCC)确保数据一致性。API会介绍如何在编程中正确使用锁和...

    MySQL和PostgreSQL的比较

    两者在数据库连接和用户管理上具有相似性,客户机通过指定数据库名、用户ID和密码来连接数据库,同时利用角色管理机制控制数据库访问权限。不过,PostgreSQL提供了更为丰富的身份验证方法,包括信任、口令、Kerberos...

    postgreSQL

    PostgreSQL 是一个开源的对象关系型数据库管理系统(ORDBMS),以其强大的功能、稳定性和高度的可扩展...在实际应用中,根据项目需求和安全性考虑,合理设置权限和管理用户角色,能确保数据的安全性和系统的高效运行。

    PostgreSQL用户手册10.1版本.rar

    - 用户管理、角色和权限系统的详细介绍,确保数据安全性和访问控制。 - 授权和加密策略,包括SSL连接、认证方法以及密码策略。 5. **备份与恢复** - 使用`pg_dump`和`pg_restore`工具进行数据库备份和恢复,以及...

    简单的用户文章和权限的管理

    在IT领域,用户文章管理和权限控制是任何内容管理系统或社交平台的核心组成部分。在这个"简单的用户文章和权限的管理"项目中,我们关注的是如何有效地实现这些功能,为用户提供安全、便捷的服务。以下是对这个系统的...

    PostgreSQL 角色与用户管理介绍

    在PostgreSQL中,角色可以属于其他角色,形成一种层级结构,这种结构有助于简化权限管理。使用INROLE,INGROUP等参数可以设置角色的层级关系。 例如,如果想让某个角色属于管理员角色,可以使用: ```sql postgres...

    postgresql

    7. **安全与权限**:PostgreSQL提供了精细的权限控制机制,允许管理员设置用户访问权限、角色、表和函数的权限,以保证数据的安全。 8. **备份与恢复**:定期备份是数据库管理的重要环节。PostgreSQL支持多种备份...

    由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip

    3. 角色与权限管理:通过Gorm操作数据库,进行角色和权限的增删改查。 4. 权限分配:使用Casbin定义策略,例如`user_role`和`role_permission`,并将这些策略应用到用户。 5. 中间件实现:在Gin中编写中间件,检查...

    (源码)基于SpringBoot和Vue的权限管理系统.zip

    # 基于Spring Boot和Vue的权限管理系统 ## 项目简介 本项目是一个基于Spring Boot和Vue的权限管理系统,旨在提供一个高效、灵活且易于扩展的权限管理解决方案。系统采用前后端分离的架构,后端使用Spring Boot框架...

    PostgreSQL12.2中文手册.chm.7z

    5. **安全性与权限**:PostgreSQL有强大的用户管理和权限控制机制,手册会指导如何设置用户、角色,以及如何分配权限和访问控制。 6. **复制与高可用性**:PostgreSQL支持多种复制模式,如物理复制、逻辑复制,以及...

    一个简单实用的系统管理模块(权限管理模块)例子

    在IT行业中,权限管理和系统管理模块是构建任何大型或复杂应用程序不可或缺的部分。权限管理确保了用户只能访问他们被授权的功能和数据,而系统管理模块则提供了对整个系统的配置、监控和维护工具。以下是对这个“一...

    (源码)基于Python和Postgresql的图书管理系统.zip

    用户权限管理,确保不同用户角色的操作权限。 2. 图书管理 卖家可以创建商店、添加图书、管理库存。 买家可以搜索图书、查看图书详细信息。 3. 订单管理 买家可以创建订单、支付订单。 卖家可以处理订单、...

    pgAdmin III postgresql 管理工具

    - **权限管理**:可以设置和修改数据库用户的访问权限,管理角色和权限分配。 - **图表和报告**:可以生成各种数据库图表和统计报告,帮助分析和理解数据。 - **服务器组**:允许组织和管理多个服务器实例,方便大...

    PostgreSQL_8.2.3.rar_postgresql_windows 8

    3. **安全性与权限**:在8.2.3版本中,理解角色、用户管理和权限控制是关键。文档可能会详细解释如何创建和管理用户账户,以及如何设置对象级别的访问权限。 4. **数据类型与操作**:PostgreSQL支持多种数据类型,...

Global site tag (gtag.js) - Google Analytics