KingbaseES使用角色的概念管理数据库访问权限。为了方便权限管理,用户可以建立多个角色,对角色进行授权和权限回收,并把角色授予其他用户。

数据库初始化时,会创建一个超级用户的角色:system(默认,可修改)。

任何操作都是从该用户开始的。

创建角色

CREATE ROLE name [ [ WITH ] option [ ... ] ]

where option可以是:

  SUPERUSER | NOSUPERUSER      :超级权限,拥有所有权限,默认nosuperuser。

| CREATEDB | NOCREATEDB        :建库权限,默认nocreatedb。

| CREATEROLE | NOCREATEROLE    :建角色权限,拥有创建、修改、删除角色,默认nocreaterole。

| INHERIT | NOINHERIT          :继承权限,新角色是否继承其他角色的权限,默认inherit。

| LOGIN | NOLOGIN              :登录权限,默认nologin。

| REPLICATION | NOREPLICATION  :复制权限,用于物理或则逻辑复制(复制和删除slots),默认是noreplication。

| BYPASSRLS | NOBYPASSRLS      :安全策略RLS权限,角色是否可以绕过每一条行级安全性(RLS)策略,默认nobypassrls。

| CONNECTION LIMIT connlimit   :限制用户并发数,默认-1,不限制。正常连接会受限制,后台连接和prepared事务不受限制。

| [ ENCRYPTED ] PASSWORD 'password' | PASSWORD NULL :设置密码,密码仅用于有login属性的用户,不使用密码身份验证,则可以省略此选项。可以选择将空密码显式写为PASSWORD NULL。

                                                     加密方法由配置参数password_encryption确定,密码始终以加密方式存储在系统目录中。

| VALID UNTIL 'timestamp'      :密码有效期时间,不设置则用不失效。

| IN ROLE role_name [, ...]    :新角色将立即添加为新成员。

| IN GROUP role_name [, ...]   :同上

| ROLE role_name [, ...]       :ROLE子句列出一个或多个现有角色,这些角色自动添加为新角色的成员。 (这实际上使新角色成为“组”)。

| ADMIN role_name [, ...]      :与ROLE类似,但命名角色将添加到新角色WITH ADMIN OPTION,使他们有权将此角色的成员资格授予其他人。

| USER role_name [, ...]       :同上

| SYSID uid                    :被忽略,但是为向后兼容性而存在。


创建不需要密码登陆的用户u1

test=# CREATE ROLE u1 LOGIN;

CREATE ROLE

等效于create user u1;

创建需要密码登陆的用户u2

test=# CREATE USER u2 WITH PASSWORD '123456';

CREATE ROLE

创建有时间限制的用户u3

test=# CREATE ROLE u3 WITH LOGIN PASSWORD '123456' VALID UNTIL '2023-03-30';

CREATE ROLE

该用户会在密码过期后不可用。

创建具有超级权限的用户admin

test=# CREATE ROLE admin WITH SUPERUSER LOGIN PASSWORD 'admin';

CREATE ROLE

权限

KingbaseES权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。

一个角色可以继承父角色关于对象上的操作权限,但是无法继承父角色的系统权限(属性)。

在KingbaseES中角色属性login,superuser和createdb,createrole 权限无法被成员继承。

对象权限包括:

权限 缩写 授权目标类型
SELECT r (“read”) LARGE OBJECT, SEQUENCE, TABLE (and table-like objects), table column
INSERT a (“append”) TABLE, table column
UPDATE w (“write”) LARGE OBJECT, SEQUENCE, TABLE, table column
DELETE d TABLE
TRUNCATE D TABLE
REFERENCES x TABLE, table column
TRIGGER t TABLE
CREATE C DATABASE, SCHEMA, TABLESPACE
CONNECT c DATABASE
TEMPORARY T DATABASE
EXECUTE X FUNCTION, PROCEDURE
USAGE U DOMAIN, FOREIGN DATA WRAPPER, FOREIGN SERVER, LANGUAGE, SCHEMA, SEQUENCE, TYPE

对数据库对象的各类操作的权限,通过GRANT手动授予;

在information_schema.xxx_privileges表中可查看,比如information_schema.table_privileges(在oracle模式中也可以通过oracle的兼容视图查询权限dba_xxx_privs等)

授权

-- 授予权限

GRANT {权限} ON {授权目标} TO {被授权角色} [WITH GRANT OPTION]

-- 授予角色

GRATE {角色} TO {被授权角色} [WITH ADMIN OPTION]
  • WITH GRANT OPTION:表示被授权人能够将该权限授予其他人,不能对PUBLIC使用该选项。
  • WITH ADMIN OPTION:授权传递,被授权的角色,可以传递授权

撤消权限

-- 取消权限

REVOKE [GRANT OPTION FOR] {权限} ON {授权目标} FROM {被授权人} [CASCADE | RESTRICT]

-- 取消角色

REVOKE [ADMIN OPTION FOR] {角色} FROM {被授权角色} [CASCADE | RESTRICT]
  • GRANT OPTION FOR:取消权限的授予权限,而不是权限本身;没有这一项就同时取消权限和授权权限
  • CASCADE:递归取消,适用于带有授权选项的用户将权限授予了其它用户,带上它则会将这些权限递归取消
  • RESTRICT:区别于CASCADE,不会递归取消,这是默认选项

测试验证

test=# create role admin password 'admin';

CREATE ROLE

test=# create user u1 password 'u1';

CREATE ROLE

test=# \du

                             角色列表

 角色名称 |                    属性                    | 成员属于

----------+--------------------------------------------+----------

 admin    | 无法登录                                   | {}

 sao      | 没有继承                                   | {}

 sso      | 没有继承                                   | {}

 system   | 超级用户, 建立角色, 建立 DB, 复制, 绕过RLS | {}

 u1       |                                            | {}

可以看到通过create role 创建的admin用户没有登录权限。

将特殊权限createdb createrole赋权给admin角色,并将admin角色赋予u1用户

test=# alter role admin createdb createrole;

ALTER ROLE

test=# grant admin to u1;

GRANT ROLE

test=# \du

                             角色列表

 角色名称 |                    属性                    | 成员属于

----------+--------------------------------------------+----------

 admin    | 建立角色, 建立 DB, 无法登录                | {}

 sao      | 没有继承                                   | {}

 sso      | 没有继承                                   | {}

 system   | 超级用户, 建立角色, 建立 DB, 复制, 绕过RLS | {}

 u1       |                                            | {admin}

test=# select rolname,rolcreaterole,rolcreatedb  from sys_roles where rolname in ('admin','u1');

 rolname | rolcreaterole | rolcreatedb

---------+---------------+-------------

 u1      | f             | f

 admin   | t             | t

(2 行记录)

可以看到,u1已经是admin的成员,特殊权限createdb createrole 并没有被继承。

test=# create table trole(id int,name varchar);

CREATE TABLE

test=# grant all on trole to admin;

GRANT

test=# \c - u1

您现在已经连接到数据库 "test",用户 "u1".

test=> insert into trole values (1,'a');

INSERT 0 1

test=> \c - u2

您现在已经连接到数据库 "test",用户 "u2".

test=> insert into trole values (1,'a');

错误:  对表 trole 权限不够

将表trole的权限赋给admin后,用户u1可以作为admin的成员可以继承admin对trole表的所有权限。

成员用户可以通过set role 语法来获取父角色的系统权限

test=> \c - u1

您现在已经连接到数据库 "test",用户 "u1".

test=> set role admin;

SET

test=> create role u1c with password 'u1c';

CREATE ROLE

test=> \c - u2

您现在已经连接到数据库 "test",用户 "u2".

test=> set role admin;

错误:  设置角色"admin"的权限不足

成员用户可以通过set role来临时获取父角色的所有权限,在安全上存在一定的风险,尽量不用具有特殊权限的角色作为父角色

KingbaseES 的角色和权限管理的更多相关文章

  1. 10.spring-boot基于角色的权限管理页面实现

    10.spring-boot基于角色的权限管理页面实现

  2. 【视频分享】Liger UI实战集智建筑project管理系统配商业代码(打印报表、角色式权限管理)

    QQ 2059055336 课程讲师:集思博智 课程分类:.net 适合人群:中级 课时数量:23课时 用到技术:Liger UI框架.AJAX.JSON数据格式的序列化与反序列化.角色的交叉权限管理 ...

  3. WordPress用户角色及其权限管理编辑插件:User Role Editor汉化版

    如果Wordpress默认的用户角色及权限不能满足您的需求,又觉得修改代码编辑用户权限太麻烦.那不妨试试User Role Editor,Wordpress用户角色及其权限管理编辑插件. User R ...

  4. [转帖]PostgreSQL的用户、角色和权限管理

    PostgreSQL的用户.角色和权限管理 2018年05月18日 14:02:29 jerry-89 阅读数 6143 https://blog.csdn.net/eagle89/article/d ...

  5. devops-jenkins基于角色的权限管理RBAC

    一. devops-jenkins基于角色的权限管理RBAC 1 安装角色的rbac角色管理  1.1) 点击系统管理 1.2) 选择插件管理 1.3) 选择可选插件,输入role搜索 1.4) 选择 ...

  6. PostgreSQL学习笔记(九) 用户、角色、权限管理

    PostgreSQL是一个多用户数据库,可以为不同用户指定允许的权限. 角色PostgreSQL使用角色的概念管理数据库访问权限. 根据角色自身的设置不同,一个角色可以看做是一个数据库用户,或者一组数 ...

  7. PostgreSQL 用户、角色、权限管理

    PostgreSQL是一个多用户数据库,可以为不同用户指定允许的权限. 角色 PostgreSQL使用角色的概念管理数据库访问权限. 根据角色自身的设置不同,一个角色可以看做是一个数据库用户,或者一组 ...

  8. RBAC基于角色的权限管理模型

    一.权限管理模型的必要性: a. 安全性:防止误操作,防止数据泄露,保证信息的安全. b. 数据隔离:保持不同的角色具有不同的权限,只能看到自己权限范围内的数据 二.权限管理模型的发展: a. 传统的 ...

  9. Oracle用户及角色的权限管理[Oracle基础]

    1.查看全部用户:   select * from dba_users;   select * from all_users;   select * from user_users; 2.查看用户或角 ...

  10. RBAC 基于角色的权限管理的简单实现

    1.什么是权限管理,权限管理就是对后台功能的细分,和对不同工作人员划分不同的工作的管理 RBAC是如何实现的,通过对不同控制器和控制器不同方法的限制,实现的管理. 要实现RBAC需要三张表,一张用户表 ...

随机推荐

  1. 【Lua】Lua基础语法

    1 Lua 简介 ​ Lua 是一个小巧的脚本语言,用标准C语言编写而成,由巴西里约热内卢天主教大学的 Roberto Ierusalimschy.Waldemar Celes 和 Luiz Henr ...

  2. 敏感信息泄露之如何隐藏IIS服务器名称和版本号

    1.问题说明 请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号. 漏洞等级:中 2.解决方案 想办法隐藏掉这部分信息. 2.1 下载并安装微软官方IIS扩展插件 URL Rewrit ...

  3. junit使用stub进行单元测试

    stub是代码的一部分,我们要对某一方法做单元测试时,可能涉及到调用第三方web服务.假如当前该服务不存在或不可用咋办?好办,写一段stub代码替代它. stub 技术就是把某一部分代码与环境隔离起来 ...

  4. js根据输入字符长度自动调整textarea高度

    1.编写html <!DOCTYPE html> <html lang="en"> <head> <meta charset=" ...

  5. 文心一言 VS 讯飞星火 VS chatgpt (203)-- 算法导论15.3 2题

    二.对一个16个元素的数组,画出2.3.1节中MERGE-SORT过程运行的递归调用树.解释备忘技术为什么对MERGE-SORT这种分治算法无效.需要写代码的时候,请用go语言. 文心一言,代码不完整 ...

  6. 【LeetCode二叉树#04】判断对称二叉树、相同的树、另一棵子树、树的子结构(二叉树相等判断)

    对称二叉树 力扣题目链接(opens new window) 给定一个二叉树,检查它是否是镜像对称的. 思路 本题中,不能单纯去比较左右子节点的是否对称(都有值且不为空) 因为如果按上面那样做的话,到 ...

  7. 【Azure Developer】如何通过Azure REST API 获取到虚拟机(VM)所使用的公共IP地址信息

    问题描述 如何通过Azure REST API 获取到虚拟机(VM)所使用的公共IP地址信息 问题解答 由于直接获取到的虚拟机信息(Virtual Machines - Get)中,并不会包含虚拟机的 ...

  8. 【Azure 应用服务】App Service多个部署槽(Slot)之间,设置Traffic百分比后,如何来判断请求是由那一个槽(Slot)来进行处理呢?

    问题描述 当我们部署应用到App Service后,为了实现对生成的最小影响,通常是把新版本部署在一个预生产的槽中,然后进行验证.另一方面,为了进行A/B验证,需要把生成槽的流量,切入一部分到预生产槽 ...

  9. SQL之 数据库表字段约束与索引

    第三范式 MySQL四种字段约束 主键约束 非空约束 唯一约束 创建索引 添加和删除索引

  10. spring源码手写aop

    AOP:       aop切面编程,其实就是spring增强器的一个扩展,就是通过beanPostProcessor的after后置方式实现的,其中在after中把需要的bean通过放射+动态代理完 ...