原博地址 https://yq.aliyun.com/articles/41512?spm=a2c4e.11153940.0.0.20b7640fcDiFQA

关于PostgreSQL的逻辑架构和权限体系,可以参考  
https://yq.aliyun.com/articles/41210  
本文将给大家介绍一下如何批量管理表,视图,物化视图的权限。  
以及如何管理默认权限,批量赋予schema的权限。

对整个SCHEMA的对象进行权限管理

PostgreSQL 从9.0开始就提供了比较方便的对整个schema的指定对象赋权给目标用的语法。  
http://www.postgresql.org/docs/9.5/static/sql-grant.html  
例子

GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }

    [, ...] | ALL [ PRIVILEGES ] }    ON { [ TABLE ] table_name [, ...]

         | ALL TABLES IN SCHEMA schema_name [, ...] }    TO role_specification [, ...] [ WITH GRANT OPTION ]REVOKE [ GRANT OPTION FOR ]

    { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }

    [, ...] | ALL [ PRIVILEGES ] }    ON { [ TABLE ] table_name [, ...]

         | ALL TABLES IN SCHEMA schema_name [, ...] }    FROM { [ GROUP ] role_name | PUBLIC } [, ...]

    [ CASCADE | RESTRICT ]

将schema digoal下的所有表的select,update权限赋予给test用户。  
注意  
如果digoal.*中包含了非当前用户的表,并且当前用户非超级用户,并且当前用户没有这些表的select,update的with grant option权限。将报错。  
换句话说,如果要确保这个赋权操作万无一失,可以选择使用超级用户来执行。

grant select,update on all tables in schema digoal to test;

将schema digoal下的所有表的select,update权限从test用户回收。

revoke select,update on all tables in schema digoal from test;

在对整个schema下的所有对象的权限管理完后, 别忘记了在对象之上,还需要对schema、database、instance进行相应的赋权。

如何设置用户创建的对象的默认权限

另一个问题,如何设置用户新建的对象的默认权限?  
在PostgreSQL 9.0以后新加的语法:  
http://www.postgresql.org/docs/9.5/static/sql-alterdefaultprivileges.html  
例如

ALTER DEFAULT PRIVILEGES

    [ FOR { ROLE | USER } target_role [, ...] ]

    [ IN SCHEMA schema_name [, ...] ]

    abbreviated_grant_or_revokewhere abbreviated_grant_or_revoke is one of:GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }

    [, ...] | ALL [ PRIVILEGES ] }    ON TABLES

    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

例子:  
将digoal用户未来在public下面创建的表的select,update权限默认赋予给test用户.

postgres=> alter default privileges for role digoal in schema public grant select,update on tables to test;

ALTER DEFAULT PRIVILEGES

将test用户未来在public,digoal下面创建的表的select,update权限默认赋予给digoal用户.

postgres=# alter default privileges for role test in schema public,digoal grant select,update on tables to digoal;

ALTER DEFAULT PRIVILEGES

查看已经赋予的默认权限

postgres=> \ddp+

               Default access privileges

  Owner   | Schema | Type  |     Access privileges     

----------+--------+-------+---------------------------

 digoal   | public | table | test=rw/digoal

 test     | digoal | table | digoal=rw/test

 test     | public | table | digoal=rw/test

SELECT pg_catalog.pg_get_userbyid(d.defaclrole) AS "Owner",

  n.nspname AS "Schema",  CASE d.defaclobjtype WHEN 'r' THEN 'table' WHEN 'S' THEN 'sequence' WHEN 'f' THEN 'function' WHEN 'T' THEN 'type' END AS "Type",

  pg_catalog.array_to_string(d.defaclacl, E'\n') AS "Access privileges"FROM pg_catalog.pg_default_acl d     LEFT JOIN pg_catalog.pg_namespace n ON n.oid = d.defaclnamespaceORDER BY 1, 2, 3;

  Owner   | Schema | Type  |     Access privileges     

----------+--------+-------+---------------------------

 digoal   | public | table | test=rw/digoal

 postgres |        | table | postgres=arwdDxt/postgres+

          |        |       | digoal=arwdDxt/postgres

 test     | digoal | table | digoal=rw/test

 test     | public | table | digoal=rw/test

(4 rows)

如何定制批量管理权限

将"指定用户" owne 的表、视图、物化视图的"指定权限"赋予给"指定用户",并排除"指定对象"    
这个需求需要写一个函数来完成,如下

create or replace function g_or_v

(

  g_or_v text,   -- 输入 grant or revoke 表示赋予或回收

  own name,      -- 指定用户 owner 

  target name,   -- 赋予给哪个目标用户 grant privilege to who?

  objtyp text,   --  对象类别: 表, 物化视图, 视图 object type 'r', 'v' or 'm', means table,view,materialized view

  exp text[],    --  排除哪些对象, 用数组表示, excluded objects

  priv text      --  权限列表, privileges, ,splits, like 'select,insert,update') returns void as 

$$

declare

  nsp name;

  rel name;

  sql text;

  tmp_nsp name := '';begin

  for nsp,rel in select t2.nspname,t1.relname from pg_class t1,pg_namespace t2 where t1.relkind=objtyp and t1.relnamespace=t2.oid and t1.relowner=(select oid from pg_roles where rolname=own)

  loop    if (tmp_nsp = '' or tmp_nsp <> nsp) and lower(g_or_v)='grant' then

      -- auto grant schema to target user

      sql := 'GRANT usage on schema "'||nsp||'" to '||target;

      execute sql;

      raise notice '%', sql;    end if;

    tmp_nsp := nsp;    if (exp is not null and nsp||'.'||rel = any (exp)) then

      raise notice '% excluded % .', g_or_v, nsp||'.'||rel;    else

      if lower(g_or_v) = 'grant' then

        sql := g_or_v||' '||priv||' on "'||nsp||'"."'||rel||'" to '||target ;      elsif lower(g_or_v) = 'revoke' then

        sql := g_or_v||' '||priv||' on "'||nsp||'"."'||rel||'" from '||target ;      else

        raise notice 'you must enter grant or revoke';      end if;

      raise notice '%', sql;

      execute sql;    end if;  end loop;end;

$$

 language plpgsql;

例子  
将digoal用户的所有表(除了'public.test'和'public.abc')的select, update权限赋予给test用户.

postgres=# select g_or_v('grant', 'digoal', 'test', 'r', array['public.test', 'public.abc'], 'select, update');NOTICE:  GRANT usage on schema "public" to testNOTICE:  grant select, update on "public"."tb1l" to testNOTICE:  grant select, update on "public"."new" to test

 g_or_v 

--------

 

(1 row)

postgres=# \dp+ public.tb1l 

                            Access privileges

 Schema | Name | Type  | Access privileges | Column privileges | Policies 

--------+------+-------+-------------------+-------------------+----------

 public | tb1l | table | test=rw/digoal    |                   | (1 row)

postgres=# \dp+ public.new

                              Access privileges

 Schema | Name | Type  |   Access privileges   | Column privileges | Policies 

--------+------+-------+-----------------------+-------------------+----------

        |      |       | test=rw/digoal        |                   | (1 row)

从 test 用户回收digoal用户的所有表(除了'public.test'和'public.abc')的update权限.

postgres=# select g_or_v('revoke', 'digoal', 'test', 'r', array['public.test', 'public.abc'], 'update');NOTICE:  revoke update on "public"."tb1l" from testNOTICE:  revoke update on "public"."new" from test

 g_or_v 

--------

 

(1 row)

postgres=# \dp+ public.tb1l 

                            Access privileges

 Schema | Name | Type  | Access privileges | Column privileges | Policies 

--------+------+-------+-------------------+-------------------+----------

 public | tb1l | table | test=r/digoal     |                   | (1 row)

postgres=# \dp+ public.new

                              Access privileges

 Schema | Name | Type  |   Access privileges   | Column privileges | Policies 

--------+------+-------+-----------------------+-------------------+----------

        |      |       | test=r/digoal         |                   | (1 row)

POSTGRESQL 批量权限 管理方法的更多相关文章

  1. Oracle 用户权限管理方法

    Oracle 用户权限管理方法 sys;//系统管理员,拥有最高权限 system;//本地管理员,次高权限 scott;//普通用户,密码默认为tiger,默认未解锁 sys;//系统管理员,拥有最 ...

  2. Oracle SQL 基本操作之 用户权限管理方法

     Oracle SQL 基本操作之 用户权限管理方法 最近把有关用户操作和权限管理的东西整理了一下,虽然不少博客都有过类似的整理,但是自己发现他们的内容或多或少都有些错误.于是,本人亲自对每条语句进行 ...

  3. day04-Linux系统中用户控制及文件权限管理方法

    一. useradd指令新建一个用户包含以下文件 1. 用户信息文件:less   /etc/passwd                                                ...

  4. 【转】 Oracle 用户权限管理方法

    sys;//系统管理员,拥有最高权限 system;//本地管理员,次高权限 scott;//普通用户,密码默认为tiger,默认未解锁 sys;//系统管理员,拥有最高权限 system;//本地管 ...

  5. 《shiro》视频目录---1、权限管理-shiro

    \day01_shiro\0323\10realm支持散列.avi;\day01_shiro\0323\1权限管理原理.avi;\day01_shiro\0323\2权限管理解决方案.avi;\day ...

  6. Shiro: 权限管理

    一.权限管理 1.什么是权限管理   权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问且只能访问自己被授权的资源.   权限管理包括用户身份认证和 ...

  7. 003-基于URL的权限管理[不使用shiro]

    一.基于url权限管理流程[实现步骤] 基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter ...

  8. oracle数据库权限管理

    权限管理: oracle 9里面默认的三个username和password: sys change_on_install //权限最高的管理员 system manager //普通的管理员 sco ...

  9. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除)

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   ...

随机推荐

  1. 关于eclipse安装插件的问题

    使用eclipse(luna)不行,其为安装了ee有关插件的 使用eclipse(Juno)可以,其为原生版本

  2. 谈谈 Android 的优点和不足之处?

    优点:1.开放性,开源,免费,可定制2.挣脱运营商束缚3.丰富的硬件选择4.不受任何限制的开发商5.无缝结合的 Google 应用缺点:1.安全问题.隐私问题2.同质化严重3.运营商对 Android ...

  3. PHP 按照时区获取当前时间

    /**  * 时间格式化  * @param string $dateformat 时间格式  * @param int $timestamp 时间戳  * @param int $timeoffse ...

  4. USACO3.3 Home on the Range【思维】

    做完之后看到题解里面很多bfs,dfs,甚至还有dp? 写了一个不知道怎么称呼它的方法,暂且叫他乱搞吧. 用数组a[][]预处理出以当前行作为最底层,这一列从上往下的最长的1的长度. 如果这个格子为0 ...

  5. 洛谷 P1306 斐波那契公约数 题解

    题面 结论:gcd(F[n],F[m])=F[gcd(n,m)]; F[n]=a和F[n+1]=b F[n+2]=a+b,F[n+3]=a+2b,…F[m]=F[m?n?1]a+F[m?n]b F[n ...

  6. CF 631B 题解

    题面 注意到每次只染色一行或者一列,那么我们最后输出第i行第j列的数字是多少的时候只需要看一下最后一次i行和第j行被染了什么颜色,所以我们需要对每一行和一列记录最后一次染色的颜色. 但是我们也需要比较 ...

  7. C语言 --- 函数指针(初级)

    1.函数指针:指向函数的指针变量.                 函数在内存中也是有地址的,函数名代表函数的内存地址.    例子:函数:int sum(int a,int b);      int ...

  8. Python进阶编程 面向对象

    一.面向对象 1.1面向对象的基本格式 class 类名: def 方法名(self): print(123) return 123 def 方法名(self): print(123) return ...

  9. [Next] 二.next.js之组件

    next.js 中的组件 next.js 里面的组件(页面)就是 react 里面的组件. 功能组件 在项目之中一个功能组件的创建 , 他可以和父组件放到一个文件里,也可以单独创建一个文件存放组件. ...

  10. C++ 调用C语言、extern "C"、__cplusplus关键字

    ——C++编译器完全兼容C语言的编译方式.(但是得有源代码) ——C++编译器会优先使用C++的编译方式进行编译 ——extern "C" 关键字能够强制C++编译器进行C方式的编 ...