SYNOPSIS

GRANT { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }

    [,...] | ALL [ PRIVILEGES ] }

    ON [ TABLE ] tablename [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }

    ON DATABASE dbname [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { EXECUTE | ALL [ PRIVILEGES ] }

    ON FUNCTION funcname ([type, ...]) [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { USAGE | ALL [ PRIVILEGES ] }

    ON LANGUAGE langname [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }

    ON SCHEMA schemaname [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

DESCRIPTION 描述

GRANT 命令将某对象(表,视图,序列,函数过程语言,或者模式) 上的特定权限给予一个用户或者多个用户或者一组用户。 这些权限将增加到那些已经赋予的权限上,如果存在这些权限的话。

键字 PUBLIC 表示该权限要赋予所有用户, 包括那些以后可能创建的用户。PUBLIC  可以看做是一个隐含定义好的组,它总是包括所有用户。 任何特定的用户都将拥有直接赋予他/她的权限,加上他/她所处的任何组, 以及再加上赋予 PUBLIC 的权限的总和。

如果声明了 WITH GRANT OPTION,那么权限的受予者也可以赋予别人。 缺省的时候这是不允许的。赋权选项只能给独立的用户,而不能给组或者 PUBLIC。

对对象的所有者(通常就是创建者)而言,没有什么权限需要赋予, 因为所有者缺省就持有所有权限。(不过,所有者出于安全考虑可以选择废弃一些他自己的权限。) 删除一个对象的权力,或者是任意修改它的权力都不是可赋予的权利所能描述的; 它是创建者固有的,并且不能赋予或撤销。

根据对象的不同,初始的缺省权限可能包括给 PUBLIC  赋予一些权限。缺省设置对于表和模式是没有公开访问权限的; TEMP 表为数据库创建权限;EXECUTE 权限用于函数; 以及 USAGE 用于语言。对象所有者当然可以撤回这些权限。 (出于最大安全性考虑,在创建该对象的同一个事务中发出 REVOKE; 那么就不会打开给别的用户使用该对象的窗口。)

可能的权限有:

SELECT
 允许对声明的表,试图,或者序列 SELECT [select(7)] 任意字段。还允许做 COPY
[copy(7)] TO 的源。 对于序列而言,这个权限还允许使用 currval 函数。
INSERT
 允许向声明的表 INSERT [insert(7)] 一个新行。 同时还允许做 COPY [copy(7)] FROM。

UPDATE
 允许对声明的表中任意字段做 UPDATE [update(7)] 。 SELECT ... FOR UPDATE 也要求这个权限 (除了 SELECT 权限之外)。比如, 这个权限允许使用nextval 和 setval。

DELETE
 允许从声明的表中 DELETE [delete(7)] 行。
RULE
 允许在该表/视图上创建规则。(参阅 CREATE RULE [create_rule(7)] 语句。)
REFERENCES
 要创建一个外键约束,你必须在参考表和被参考表上都拥有这个权限。
TRIGGER
 允许在声明表上创建触发器。(参阅 CREATE TRIGGER [create_trigger(7)] 语句。)
CREATE
 对于数据库,允许在该数据库里创建新的模式。

对于模式,允许在该模式中创建新的对象。 要重命名一个现有对象,你必需拥有该对象并且。 对包含该对象的模式拥有这个权限。

TEMPORARY
TEMP
 允许在使用该数据库的时候创建临时表。
EXECUTE
 允许使用指定的函数并且可以使用任何利用这些函数实现的操作符。 这是适用于函数的唯一的一种权限类型。 (该语法同样适用于聚集函数。)
USAGE
 对于过程语言, 允许使用指定过程语言创建该语言的函数。 这是适用于过程语言的唯一的一种权限类型。

对于模式,允许访问包含在指定模式中的对象(假设该对象的所有权要求同样也设置了)。 最终这些就允许了权限接受者"查询"模式中的对象。

ALL PRIVILEGES
 一次性给予所有适用于该对象的权限。 PRIVILEGES 关键字在 PostgreSQL 里是可选的, 但是严格的 SQL 要求有这个关键字。

其它命令要求的权限都在相应的命令的参考页上列出。

NOTES 注意

REVOKE [revoke(7)] 命令用于删除访问权限。

我们要注意数据库超级用户可以访问所有对象, 而不会受对象的权限设置影响。这个特点类似 Unix 系统的 root  的权限。和 root 一样,除了必要的情况,总是以超级用户身分进行操作是不明智的做法。

If a superuser chooses to issue a GRANT or REVOKE command, the
command is performed as though it were issued by the owner of the affected
object. In particular, privileges granted via such a command will appear to have
been granted by the object owner.

目前,要在 PostgreSQL 里只对某几列赋予权限, 你必须创建一个拥有那几行的视图然后给那个视图赋予权限。

使用 psql(1) 的 \z 命令获取在现有对象上的与权限有关的信息。

=> \z mytable

        Access privileges for database "lusitania"

 Schema |  Table  |           Access privileges

--------+---------+---------------------------------------

 public | mytable | {=r/postgres,miriam=arwdRxt/postgres,"group todos=arw/postgres"}

(1 row)

\z 显示的条目解释如下:

              =xxxx -- 赋予 PUBLIC 的权限

         uname=xxxx -- 赋予一个用户的权限

   group gname=xxxx -- 赋予一个组的权限

                  r -- SELECT ("读")

                  w -- UPDATE ("写")

                  a -- INSERT ("追加")

                  d -- DELETE

                  R -- RULE

                  x -- REFERENCES

                  t -- TRIGGER

                  X -- EXECUTE

                  U -- USAGE

                  C -- CREATE

                  T -- TEMPORARY

            arwdRxt -- ALL PRIVILEGES (for tables)

                  * -- 给前面权限的授权选项

              /yyyy -- 授出这个权限的用户

用户 miriam 在建完表之后再做下面的语句, 就可以得到上面例子的结果

GRANT SELECT ON mytable TO PUBLIC;

GRANT SELECT, UPDATE, INSERT ON mytable TO GROUP todos;

如果一个给定的对象的 "Access privileges" 字段是空的, 这意味着该对象有缺省权限(也就是说,它的权限字段是 NULL)。 缺省权限总是包括所有者的所有权限,以及根据对象的不同,可能包含一些给 PUBLIC  的权限。 对象上第一个 GRANT 或者 REVOKE  将实例化这个缺省权限(比如,产生 {=,miriam=arwdRxt}) 然后根据每次特定的需求修改它。

EXAMPLES 例子

把表 films 的插入权限赋予所有用户:

GRANT INSERT ON films TO PUBLIC;

赋予用户manuel对视图kinds的所有权限:

GRANT ALL PRIVILEGES ON kinds TO manuel;

COMPATIBILITY 兼容性

根据 SQL 标准,在 ALL PRIVILEGES 里的 PRIVILEGES  关键字是必须的。SQL 不支持在一条命令里对多个表设置权限。

SQL 标准允许在一个表里为独立的字段设置权限:

GRANT privileges

    ON table [ ( column [, ...] ) ] [, ...]

    TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]

SQL 标准对其它类型的对象提供了一个 USAGE 权限:字符集,校勘,转换,域。

RULE 权限,以及在数据库,模式,语言和序列上的权限是 PostgreSQL 扩展。

GRANT - 定义访问权限的更多相关文章

  1. oracle ebs应用产品安全性-定义访问权限集

    定义 定义访问权限集是一项分配至责任层的可选的安全功能,是对Oracle 11i应用产品弹性域安全性定义的功能扩展,对总帐管理模块的一些内容进行安全性定义和权限分配的集合,以控制不同的责任对一些内容的 ...

  2. mysql访问权限GRANT ALL PRIVILEGES ON,访问权限表

    开启远程连接:2, 修改 Mysql-Server 用户配置mysql> USE mysql; -- 切换到 mysql DBDatabase changedmysql> SELECT U ...

  3. 转://Oracle中定义者权限和调用者权限案例分析

    定义者权限:定义者权限指使用它所有者的权限,而不是当前用户来执行过程.因此,你可以限制用户执行的数据库操作,允许他们仅通过运行定义者权限的过程和函数访问数据.创建过程.函数和程序包的默认权限是定义者权 ...

  4. Sql Server数据库对象访问权限控制

    以下内容主要针对database层面的数据访问权限(比如select, insert, update, delete, execute…) 1.直接给user权限GRANT EXECUTE TO [u ...

  5. 设置Windows服务的访问权限

    作者:beyond 默认情况下,只有管理员组成员.LocalSystem和Power Users组成员帐户才有权启动.停止服务.为了让普通用户也可以控制该服务,我们可以手动设置其访问权限.可能有些初学 ...

  6. ClickHouse学习系列之六【访问权限和账户管理】

    背景 在之前写的文章[用户权限管理]里已经介绍了应该如何设置用户密码以及权限控制.但是只是针对修改配置文件的方式来进行用户权限管理,其实ClickHouse也支持基于RBAC(Role-Based A ...

  7. MongoDB 安全和访问权限控制

    MongoDB的访问控制能够有效保证数据库的安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录 一,访问控制的参数 1,绑定IP地址 mongod 参数:-- ...

  8. 窥探Swift之类的继承与类的访问权限

    上一篇博客<窥探Swift之别具一格的Struct和Class>的博客可谓是给Swift中的类开了个头.关于类的内容还有很多,今天就来搞一下类中的继承以及类的访问权限.说到类的继承,接触过 ...

  9. Linux 文件访问权限

    定义:<sys/stat.h> 每个文件有9个访问权限,可将其分为3类: 标记 含义 S_IRUSR 用户读 S_IWUSR 用户写 S_IXUSR 用户执行 S_IRGRP 组读 S_I ...

随机推荐

  1. 接口开发之PHP创建XML文件

    用PHP的DOM控件来创建输出 输出的格式为XML 接口开发的相关文件及说明 <?php header("Content-type: text/xml");//头文件非常重要 ...

  2. Visual Studio 2010下WorldWind编译问题集合

    首先:获取WORLDWIND最新代码——建议不要直接下载源代码包进行编译,一是因为它并不是最新版本的代码,WW的代码最近经常更新:二是缺很多依赖的类库.建议用TortoiseSVN客户端从source ...

  3. Unity3D研究院之手游开发中所有特殊的文件夹

    这里列举出手游开发中用到了所有特殊文件夹. 1.Editor Editor文件夹可以在根目录下,也可以在子目录里,只要名子叫Editor就可以.比如目录:/xxx/xxx/Editor  和 /Edi ...

  4. 洛谷P2480 [SDOI2010]古代猪文(卢卡斯定理+中国剩余定理)

    传送门 好吧我数学差的好像不是一点半点…… 题目求的是$G^{\sum_{d|n}C^d_n}mod\ 999911659$ 我们可以利用费马小定理$a^{k}\equiv a^{k\ mod\ (p ...

  5. [Xcode 实际操作]八、网络与多线程-(1)使用Reachability类库检测网络的连接状态

    目录:[Swift]Xcode实际操作 本文将演示如何使用Reachability网络状态检测库,检测设备的网络连接状态. 需要下载一个开源的类库:[ashleymills/Reachability. ...

  6. IT兄弟连 JavaWeb教程 JSP访问JavaBean

    在JSP网页中,既可以通过程序代码来访问JavaBean,也可以通过特定的JSP标签来访问JavaBean.采用后一种方法,可以减少JSP网页中的程序代码,使他更接近与HTML页面.下面介绍访问Jav ...

  7. PHP不重新编译,单独添加模块扩展的方法

    php自身提供了很多扩展,比如curl,gmp, mbstring等.我们在编译安装php时未必安装了所有扩展.那么在安装完php后,如果想单独安装某个php自身的扩展怎么办呢? 我们以curl扩展模 ...

  8. MyBatist庖丁解牛(三)

    从MyBatis代码实现的角度来看,MyBatis的主要的核心部件有以下几个: SqlSession:作为MyBatis工作的主要顶层API,表示和数据库交互的会话,完成必要数据库增删改查功能: Ex ...

  9. fetch请求数据,后台将cookie一起返回时

    请求时,添加以上标记的属性,就可以拿到后台给的cookie,并返回给后台.比如登录后才能有的操作,这样就需要返回给后台cookie从而判断是否登录

  10. bzoj1101:[POI2007]ZAP-Queries

    [POI2007]ZAP-Queries 题意简述:对于给定的整数a,b和d,有多少正整数对x,y,满足x<=a,y<=b,并且gcd(x,y)=d. Solution 很显然这是一个莫比 ...