KingbaseES 数据库中不同user的视图访问授权

前言

本文的目的是实现u1用户访问ud用户下的视图权限。

测试

登录system用户并创建schema，user，并授权schema的有关权限给ud用户
TEST=# select current_user;
 current_user
--------------
 system
(1 row)
TEST=# create schema ud;
CREATE SCHEMA
TEST=#
TEST=# create user ud;
CREATE ROLE
TEST=# grant usage on schema ud to ud;
GRANT
TEST=#
TEST=# grant select ON ALL TABLES IN SCHEMA ud to ud;
GRANT
TEST=# grant create on schema ud to ud;
GRANT
登录ud用户并执行命令
TEST=# \c - ud
You are now connected to database "TEST" as user "ud".
TEST=> create table ti (id int);
CREATE TABLE
TEST=> insert into ti values(1);
INSERT 0 1
TEST=>
TEST=> select * from ti;
 id
----
  1
(1 row)
TEST=> create  view view_tu as select * from ti;
CREATE VIEW
TEST=>
TEST=> select * from view_tu;
 id
----
  1
(1 row)
登录system用户，创建role01并把视图的查询权限赋给role01
TEST=> \c - system
You are now connected to database "TEST" as user "system".
TEST=#
TEST=#
TEST=# create role role01;
CREATE ROLE
TEST=# grant select on ud.view_tu to role01;
GRANT
把role01角色赋给u1用户
TEST=# grant role01 to u1;
GRANT ROLE
TEST=#
TEST=# \du
                                    List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+------------
 ab        |                                                            | {ceshi001}
 ceshi001  | Cannot login                                               | {}
 manager   | Cannot login                                               | {}
 role01    | Cannot login                                               | {}
 sao       | No inheritance                                             | {}
 sso       | No inheritance                                             | {}
 system    | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 u1        |                                                            | {role01}
 ud        |                                                            | {role01}
登录u1用户，查询schema ud下的视图，报错权限不足
TEST=# \c - u1;
You are now connected to database "TEST" as user "u1".
TEST=>
TEST=> select * from ud.view_tu;
ERROR:  permission denied for schema ud
LINE 1: select * from ud.view_tu;
                      ^
登录system用户并把schema ud 的权限赋给u1
TEST=> \c - system
You are now connected to database "TEST" as user "system".
TEST=#
TEST=#
TEST=# grant all privileges on schema ud to u1;
GRANT
TEST=#
登录u1用户，授权后可以查询schema ud的视图
TEST=# \c - u1
You are now connected to database "TEST" as user "u1".
TEST=>
TEST=> select * from ud.view_tu;
 id
----
  1
(1 row)

总结

如下，我们看到角色role01有视图view_tu的查询权限
                             Access privileges
 Schema |  Name   | Type | Access privileges | Column privileges | Policies
--------+---------+------+-------------------+-------------------+----------
 ud     | view_tu | view | ud=arwdDxt/ud    +|                   |
        |         |      | role01=r/ud       |                   |
(1 row)
如下，我们看到u1用户拥有角色role01的权限
TEST=> \du
                                    List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+------------
 ab        |                                                            | {ceshi001}
 ceshi001  | Cannot login                                               | {}
 manager   | Cannot login                                               | {}
 role01    | Cannot login                                               | {}
 sao       | No inheritance                                             | {}
 sso       | No inheritance                                             | {}
 system    | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 u1        |                                                            | {role01}
 ud        |                                                            | {role01}
因为前面执行过一个授权语句：grant all privileges on schema ud to u1;
根据以下sql查询权限得知u1拥有了在schema ud的USAGE和CREATE权限
select a.nspname,b.rolname,string_agg(a.pri_t,',') from
(select nspname,(aclexplode(COALESCE(nspacl, acldefault('n'::"char",nspowner)))).grantee as grantee,
(aclexplode(COALESCE(nspacl, acldefault('n'::"char",nspowner)))).privilege_type as pri_t
from pg_namespace where nspname not like 'pg%' and nspname <> 'information_schema') a,pg_authid b
where (a.grantee=b.oid or a.grantee=0) and b.rolname='u1' group by a.nspname,b.rolname;
   nspname   | rolname |  string_agg
-------------+---------+--------------
 public      | u1      | USAGE,CREATE
 sys         | u1      | USAGE
 sys_catalog | u1      | USAGE
 sysaudit    | u1      | USAGE,CREATE
 sysmac      | u1      | USAGE
 ud          | u1      | USAGE,CREATE
(6 rows)
经过以上的授权步骤我们可以看出，如果要实现u1用户对ud用户下视图的查询权限需要经过一些列复杂的授权过程。
尤其需要注意u1对schema ud的有关权限，否则即使拥有角色role01的查询权限也无法查看其他schema下视图。

KingbaseES 数据库中不同user的视图访问授权的更多相关文章

查看SQL Server数据库中各个表和视图的索引所占的空间大小
;with cte as ( (select t.name as TableName,i.name as IndexName, sum(row_count)as row_count, SUM (s.u ...
sqlserver2008 数据库中查询存储过程的的创建修改和执行时间，以及比较常见的系统视图和存储过程
因为各种原因数据库中存在大量无用的存储过程,想查询存储过程的最后执行情况,处理长期不使用的存储过程下面这条语句可以查询存储过程创建修改和执行的最后时间: SELECT a.name AS 存储过程 ...
KingbaseES数据库目录结构
KingbaseES数据库目录结构 [kingbase@postgres V8]$ tree -LP 2 data/ . ├── data │ ├── base # 存储用户创建的数据库文件及隶属于用 ...
SQlServer 从系统表 sysobjects 中获取数据库中所有表或存储过程等对象
[sysobjects] 一.概述系统对象表. 保存当前数据库的对象,如约束.默认值.日志.规则.存储过程等,该表中包含该数据库中的表存储过程视图等所有对象在sqlserver2005,sql ...
如何将数据库中已有表导入到powerDesigner生成pdm文件
1.create new PDM: 2.select database menu; 3.click Reverse Engineer database :4.then choose your scr ...
查询SQLServer2005中某个数据库中的表结构、索引、视图、存储过程、触发器以及自定义函数
查询SQLServer2005中某个数据库中的表结构.索引.视图.存储过程.触发器以及自定义函数 2013-03-11 09:05:06| 分类: SQL SERVER|举报|字号订阅 ( ...
数据库中树形列表(以easyui的tree为例)
构造一棵easyui前台框架的一个树形列表为例后台框架是spring MVC+JPA. 先看一下数据库是怎么建的,怎么存放的数据下面是实体类 /** * 部门类用户所属部门(这里的部门是一个相对抽 ...
批量解密SQLSERVER数据库中的各种对象的工具dbForge SQL Decryptor
批量解密SQLSERVER数据库中的各种对象的工具dbForge SQL Decryptor2.1.11 之前写过一篇文章,使用redgate公司的SQL PROMPT工具,但是不太方便 SQLPRO ...
XAF:如何让用户在运行时个性化界面并将个性化信息保存到数据库中 win/web/entityframework/xpo
本主题介绍如何启用管理模型差异(XAFML),并将设置存储在数据库中. 名词解释: 1.模型:XAF中把所有应用程序的结构都用模型来定义,比如列表,有哪些列,名称是什么,对应的字段名是什么,业务对 ...
Oracle数据库中SYS、SYSTEM、DBSNMP、SYSMAN四用户的区别
[转] SYS.SYSTEM.DBSNMP. Oracle 数据库中 SYS.SYSTEM.DBSNMP.SYSMAN 四用户的区别用户: SYS 用户: SYS,默认密码为 CHANGE_ON ...

随机推荐

SQL中为什么不要使用1=1？
最近看几个老项目的SQL条件中使用了1=1,想想自己也曾经这样写过,略有感触,特别拿出来说道说道. 编写SQL语句就像炒菜,每一种调料的使用都会影响菜品的最终味道,每一个SQL条件的加入也会影响查询的 ...
【OpenGL ES】立方体手动旋转
1 前言本文主要介绍使用 OpenGL ES 绘制立方体,并实现手动触摸事件控制立方体旋转. 为方便控制触摸旋转,假设旋转轴始终在 xoy 平面上,设 z 轴的方向向量 u = (0, 0, ...
Stream 总结
1 前言 Stream 是 Java 8 中为方便操作集合及其元素而定制的接口,它将要处理的元素集合看作一种流,对流中的元素进行过滤.排序.映射.聚合等操作.使用 Stream API,就好像使用 S ...
使用marquee标签实现文字滚动
代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8 ...
如何用Apipost校验响应结果
数据校验的意义我们可以通过 json-schema 预先定义接口的数据返回格式,当接口完成后,我们可以通过匹配实际响应结果和预先定义的接口格式 ,来发现接口问题.如下图: 数据校验的设置我们 ...
Docker实践之05-限制Docker容器运行资源
Docker容器在默认情况下会使用宿主机的所有CPU和内存资源,为了明确限制每一个Docker容器的运行资源,需按如下操作进行设置. 首先,执行:sudo docker info,如果提示:" ...
KPTP 汇报模板
1.什么是KPTP 它是由4个单词:Keep.Problem.Try.Plan的首字母组成的. K:keep,今天做了哪些工作: P:problem,遇到了哪些问题: T:try,计划尝试如何解决这些 ...
Gin框架使用jwt-go配合中间件认证
参考文档 // 文档 https://github.com/golang-jwt/jwt https://pkg.go.dev/github.com/golang-jwt/jwt@v3.2.2+inc ...
21 Educational Codeforces Round 136 (Rated for Div. 2)Knowledge Cards（树状数组、set、+思维、数字华容道）
最开始猜了个结论错了,猜的是必须要有$m+n-1$个方格空着,这样才能保证任意一张牌能从起点到终点. 其实并不是,参考数字华容道,实际上是只要除了终点和起点,以及自身这个方格.我们只需要留出一个空 ...
面试准备不充分，被Java守护线程干懵了，面试官主打一个东西没用但你得会
写在开头面试官:小伙子请聊一聊Java中的精灵线程? 我:什么?精灵线程?啥时候精灵线程? 面试官:精灵线程没听过?那守护线程呢? 我:守护线程知道,就是为普通线程服务的线程嘛. 面试官:没了?守护 ...

KingbaseES 数据库中不同user的视图访问授权

前言

测试

总结

KingbaseES 数据库中不同user的视图访问授权的更多相关文章

随机推荐

热门专题