GRANT - 定义访问权限

SYNOPSIS

GRANT { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }

    [,...] | ALL [ PRIVILEGES ] }

    ON [ TABLE ] tablename [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }

    ON DATABASE dbname [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { EXECUTE | ALL [ PRIVILEGES ] }

    ON FUNCTION funcname ([type, ...]) [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { USAGE | ALL [ PRIVILEGES ] }

    ON LANGUAGE langname [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }

    ON SCHEMA schemaname [, ...]

    TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

DESCRIPTION 描述

GRANT 命令将某对象（表，视图，序列，函数过程语言，或者模式）上的特定权限给予一个用户或者多个用户或者一组用户。这些权限将增加到那些已经赋予的权限上，如果存在这些权限的话。

键字 PUBLIC 表示该权限要赋予所有用户, 包括那些以后可能创建的用户。PUBLIC 可以看做是一个隐含定义好的组，它总是包括所有用户。任何特定的用户都将拥有直接赋予他/她的权限，加上他/她所处的任何组，以及再加上赋予 PUBLIC 的权限的总和。

如果声明了 WITH GRANT OPTION，那么权限的受予者也可以赋予别人。缺省的时候这是不允许的。赋权选项只能给独立的用户，而不能给组或者 PUBLIC。

对对象的所有者（通常就是创建者）而言，没有什么权限需要赋予，因为所有者缺省就持有所有权限。（不过，所有者出于安全考虑可以选择废弃一些他自己的权限。）删除一个对象的权力，或者是任意修改它的权力都不是可赋予的权利所能描述的；它是创建者固有的，并且不能赋予或撤销。

根据对象的不同，初始的缺省权限可能包括给 PUBLIC 赋予一些权限。缺省设置对于表和模式是没有公开访问权限的； TEMP 表为数据库创建权限；EXECUTE 权限用于函数；以及 USAGE 用于语言。对象所有者当然可以撤回这些权限。（出于最大安全性考虑，在创建该对象的同一个事务中发出 REVOKE；那么就不会打开给别的用户使用该对象的窗口。）

可能的权限有：

SELECT

允许对声明的表，试图，或者序列 SELECT [select(7)] 任意字段。还允许做 COPY
[copy(7)] TO 的源。对于序列而言，这个权限还允许使用 currval 函数。

INSERT

允许向声明的表 INSERT [insert(7)] 一个新行。同时还允许做 COPY [copy(7)] FROM。

UPDATE

允许对声明的表中任意字段做 UPDATE [update(7)] 。 SELECT ... FOR UPDATE 也要求这个权限（除了 SELECT 权限之外）。比如，这个权限允许使用nextval 和 setval。

DELETE

允许从声明的表中 DELETE [delete(7)] 行。

RULE

允许在该表/视图上创建规则。（参阅 CREATE RULE [create_rule(7)] 语句。）

REFERENCES

要创建一个外键约束，你必须在参考表和被参考表上都拥有这个权限。

TRIGGER

允许在声明表上创建触发器。（参阅 CREATE TRIGGER [create_trigger(7)] 语句。）

CREATE

对于数据库，允许在该数据库里创建新的模式。

对于模式，允许在该模式中创建新的对象。要重命名一个现有对象，你必需拥有该对象并且。对包含该对象的模式拥有这个权限。

TEMPORARY

TEMP

允许在使用该数据库的时候创建临时表。

EXECUTE

允许使用指定的函数并且可以使用任何利用这些函数实现的操作符。这是适用于函数的唯一的一种权限类型。（该语法同样适用于聚集函数。）

USAGE

对于过程语言，允许使用指定过程语言创建该语言的函数。这是适用于过程语言的唯一的一种权限类型。

对于模式，允许访问包含在指定模式中的对象（假设该对象的所有权要求同样也设置了）。最终这些就允许了权限接受者"查询"模式中的对象。

ALL PRIVILEGES

一次性给予所有适用于该对象的权限。 PRIVILEGES 关键字在 PostgreSQL 里是可选的，但是严格的 SQL 要求有这个关键字。

其它命令要求的权限都在相应的命令的参考页上列出。

NOTES 注意

REVOKE [revoke(7)] 命令用于删除访问权限。

我们要注意数据库超级用户可以访问所有对象，而不会受对象的权限设置影响。这个特点类似 Unix 系统的 root 的权限。和 root 一样，除了必要的情况，总是以超级用户身分进行操作是不明智的做法。

If a superuser chooses to issue a GRANT or REVOKE command, the
command is performed as though it were issued by the owner of the affected
object. In particular, privileges granted via such a command will appear to have
been granted by the object owner.

目前，要在 PostgreSQL 里只对某几列赋予权限，你必须创建一个拥有那几行的视图然后给那个视图赋予权限。

使用 psql(1) 的 \z 命令获取在现有对象上的与权限有关的信息。

=> \z mytable

        Access privileges for database "lusitania"

 Schema |  Table  |           Access privileges

--------+---------+---------------------------------------

 public | mytable | {=r/postgres,miriam=arwdRxt/postgres,"group todos=arw/postgres"}

(1 row)

\z 显示的条目解释如下：

              =xxxx -- 赋予 PUBLIC 的权限

         uname=xxxx -- 赋予一个用户的权限

   group gname=xxxx -- 赋予一个组的权限

                  r -- SELECT ("读")

                  w -- UPDATE ("写")

                  a -- INSERT ("追加")

                  d -- DELETE

                  R -- RULE

                  x -- REFERENCES

                  t -- TRIGGER

                  X -- EXECUTE

                  U -- USAGE

                  C -- CREATE

                  T -- TEMPORARY

            arwdRxt -- ALL PRIVILEGES (for tables)

                  * -- 给前面权限的授权选项

              /yyyy -- 授出这个权限的用户

用户 miriam 在建完表之后再做下面的语句，就可以得到上面例子的结果

GRANT SELECT ON mytable TO PUBLIC;

GRANT SELECT, UPDATE, INSERT ON mytable TO GROUP todos;

如果一个给定的对象的 "Access privileges" 字段是空的，这意味着该对象有缺省权限（也就是说，它的权限字段是 NULL）。缺省权限总是包括所有者的所有权限，以及根据对象的不同，可能包含一些给 PUBLIC 的权限。对象上第一个 GRANT 或者 REVOKE 将实例化这个缺省权限（比如，产生 {=,miriam=arwdRxt}）然后根据每次特定的需求修改它。

EXAMPLES 例子

把表 films 的插入权限赋予所有用户：

GRANT INSERT ON films TO PUBLIC;

赋予用户manuel对视图kinds的所有权限：

GRANT ALL PRIVILEGES ON kinds TO manuel;

COMPATIBILITY 兼容性

根据 SQL 标准，在 ALL PRIVILEGES 里的 PRIVILEGES 关键字是必须的。SQL 不支持在一条命令里对多个表设置权限。

SQL 标准允许在一个表里为独立的字段设置权限：

GRANT privileges

    ON table [ ( column [, ...] ) ] [, ...]

    TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]

SQL 标准对其它类型的对象提供了一个 USAGE 权限：字符集，校勘，转换，域。

RULE 权限，以及在数据库，模式，语言和序列上的权限是 PostgreSQL 扩展。