https://www.cnblogs.com/binliubiao/p/14415203.html

1. 角色

​ 决定发起连接的命令的初始访问权限。在PG中,角色用户相当于是一样的对象。区别在于创建角色时是否又Login权限。

1.1 创建角色

CREATE ROLE name;

postgres->postgres@[local]:5432=# \h create role

Command:     CREATE ROLE

Description: define a new database role

Syntax:

CREATE ROLE name [ [ WITH ] option [ ... ] ]

where option can be:

      SUPERUSER | NOSUPERUSER

    | CREATEDB | NOCREATEDB

    | CREATEROLE | NOCREATEROLE

    | INHERIT | NOINHERIT

    | LOGIN | NOLOGIN

    | REPLICATION | NOREPLICATION

    | BYPASSRLS | NOBYPASSRLS

    | CONNECTION LIMIT connlimit

    | [ ENCRYPTED ] PASSWORD 'password' | PASSWORD NULL

    | VALID UNTIL 'timestamp'

    | IN ROLE role_name [, ...]

    | IN GROUP role_name [, ...]

    | ROLE role_name [, ...]

    | ADMIN role_name [, ...]

    | USER role_name [, ...]

    | SYSID uid

-- 2.1 查询角色,检查pg_roles系统目录

SELECT rolname FROM pg_roles;

-- 2.2 psql程序的\du

1.2 角色属性

定义角色的权限并且与客户端认证系统交互

权限 说明 示例
login privilege 只有具有LOGIN属性的角色才能被用于一个数据库连接的初始角色名称。一个带有LOGIN属性的角色可以被认为和一个“数据库用户”相同。
CREATE USERCREATE ROLE等效,他们的区别:CREATE USER具有LOGIN权限,而CREATE ROLE没有LOGIN权限		 CREATE ROLE name LOGIN;
CREATE USER name;
superuser status 一个数据库超级用户会绕开所有权限检查,除了登入的权利。 --创建超级用户
CREATE ROLE name SUPERUSER
database creation 创建数据库权限 CREATE ROLE name CREATEDB
role creation 创建角色权限。带有CREATEROLE权限的角色可以修改和删除其他角色,还可以授予或回收角色中的成员关系 CREATE ROLE name CREATEROLE
initiating replication 流复制角色。一个被用于流复制的角色必须也具有LOGIN权限。 CREATE ROLE name REPLICATION LOGIN
password 只有当客户端认证方法要求用户在连接数据库时提供一个口令时,一个口令才有意义。passwordmd5认证方法使用口令。 --创建角色时指定一个口令:
CREATE ROLE name PASSWORD 'string'。

1.3 角色成员关系

把用户分组在一起来便于管理权限常常很方便:那样,权限可以被授予一整个组或从一整个组回收。在PostgreSQL中通过创建一个表示组的角色来实现,并且然后将在该组角色中的成员关系授予给单独的用户角色。

使用GRANT和REVOKE命令增加和移除成员

GRANT group_role TO role1, ... ;

REVOKE group_role FROM role1, ... ;

组角色的成员可以以两种方式使用角色的权限。

  1. 一个组的每一个成员可以显式地执行SET ROLE命令来临时“成为”组角色。在这种状态中,数据库会话可以访问组角色而不是原始登录角色的权限,并且任何被创建的数据库对象被认为属于组角色而不是登录角色。
  2. 有INHERIT属性的成员角色自动地具有它们所属角色的权限,包括任何组角色继承得到的权限
-- 创建组角色 joe

CREATE ROLE joe LOGIN INHERIT;

-- 创建组角色 admin

CREATE ROLE admin NOINHERIT;

CREATE ROLE wheel NOINHERIT;

-- 为角色joe授予组角色admin权限

GRANT admin TO joe;

-- 为角色admin授予组角色wheel权限

GRANT wheel TO admin;

对于角色joe来说,它具有登录权限及授予给admin组角色权限。然而,授予给wheel的权限不可用,因为即使joewheel的一个间接成员(admin),但是该成员关系是通过带NOINHERIT属性的admin得到。

角色属性LOGINSUPERUSERCREATEDBCREATEROLE是一种特殊权限,但是它们从来不会像数据库对象上的普通权限那样被继承。要使用这些属性,必须显性执行SET ROLE到一个具有该属性的角色。

销毁一个组角色:DROP ROLE name;

任何在该组角色中的成员关系会被自动撤销。

1.4 删除角色

由于角色可以拥有数据库对象并且能持有访问其他对象的特权。要删除角色必须先将该用户拥有的对象删除或转移给其他拥有者,并将已授予该角色的权限已经被回收。

-- 转移对象拥有者

ALTER TABLE bobs_table OWNER TO alice;

移除曾经拥有过对象的角色的方法

REASSIGN OWNED BY doomed_role TO successor_role;

DROP OWNED BY doomed_role;

-- 在集簇中的每一个数据库中重复上述命令

DROP ROLE doomed_role;

1.5 默认角色

PostgreSQL提供了一组默认角色,它们提供对特定的、通常需要的、需要特权的功能和信息的访问。

角色 允许的访问
pg_read_all_settings 读取所有配置变量,甚至是那些通常只对超级用户可见的变量。
pg_read_all_stats 读取所有的pg_stat_*视图并且使用与扩展相关的各种统计信息,甚至是那些通常只对超级用户可见的信息。
pg_stat_scan_tables 执行可能会在表上取得ACCESS SHARE锁的监控函数(可能会持锁很长时间)。
pg_signal_backend 向其他后端发送信号(例如:取消查询、中止)。
pg_read_server_files 允许使用COPY以及其他文件访问函数从服务器上该数据库可访问的任意位置读取文件。
pg_write_server_files 允许使用COPY以及其他文件访问函数在服务器上该数据库可访问的任意位置中写入文件。
pg_execute_server_program 允许用运行该数据库的用户执行数据库服务器上的程序来配合COPY和其他允许执行服务器端程序的函数。
pg_monitor 读取/执行各种监控视图和函数。这个角色是pg_read_all_settingspg_read_all_stats以及pg_stat_scan_tables的成员。

pg_read_server_filespg_write_server_files以及pg_execute_server_program角色的目的是允许管理员有一些可信但不是超级用户的角色来访问文件以及以运行数据库的用户在数据库服务器上运行程序。由于这些角色能够防伪服务器文件系统上的任何文件,因此在直接访问文件时它们会绕过任何数据库级别的权限检查并且它们可以被用来得到超级用户级别的访问,因此在把这些角色授予给用户时应当非常小心。

pg_monitorpg_read_all_settingspg_read_all_statspg_stat_scan_tables角色的目的是允许管理员能为监控数据库服务器的目的很容易地配置角色。它们授予一组常用的特权,这些特权允许角色读取各种有用的配置设置、统计信息以及通常仅限于超级用户的其他系统信息。

管理员可以用GRANT命令把对这些角色的访问授予给用户GRANT pg_signal_backend TO admin_user;

1.6 管理用户密码

-- 登录(psql)

psql -U admin postgres

-- alter命令修改用户密码:

alter user user_name with password 'new password';

-- # 注意密码是单引号`'`包围的内容,最后的`;`号

-- 修改密码过期时间:

alter user user_name with valid until '2021-01-01 08:00:00';

\du+ user_name

-- 改为永不过期:

alter user user_name with valid until 'infinity';

-- 检查确认

select * from pg_user;

select * from pg_shadow;

[转帖]PG-用户|角色管理的更多相关文章

  1. 七天学会ASP.NET MVC (五)——Layout页面使用和用户角色管理

    系列文章 七天学会ASP.NET MVC (一)——深入理解ASP.NET MVC 七天学会ASP.NET MVC (二)——ASP.NET MVC 数据传递 七天学会ASP.NET MVC (三)— ...

  2. 七天学会ASP.NET MVC (五)——Layout页面使用和用户角色管理 【转】

    http://www.cnblogs.com/powertoolsteam/p/MVC_five.html 系列文章 七天学会ASP.NET MVC (一)——深入理解ASP.NET MVC 七天学会 ...

  3. soanr - 企业用户角色管理

    首先sonar支持群组 即 支持企业角色权限管理,其次sonar支持单项目用户权限管理 即 外包,客户,外编人员用户权限管理. (视图内可看到源码) 按照 管路员.产品/项目管理.产品/项目开发.外包 ...

  4. 七天学会ASP.NET MVC (四)——Layout页面使用和用户角色管理 (代码下载)

    中文翻译链接: http://www.cnblogs.com/powertoolsteam/p/MVC_four.html 360云盘: https://yunpan.cn/cYuEeLtXUvrgC ...

  5. Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理

    这是本人第一次写,写的不好的地方还忘包含.写这个的主要原因是想通过这个来学习下EF的CodeFirst模式,本来也想用AngularJs来玩玩的,但是自己只会普通的绑定,对指令这些不是很熟悉,所以就基 ...

  6. Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理6

    接下来先做角色这一板块的(增删改查),首先要新建一个Role控制器,在添加一个RoleList的视图.表格打算采用的是bootstrap的表格. using System; using System. ...

  7. Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理10

    今天把用户的菜单显示和页面的按钮显示都做好了,下面先来个效果图 接下来说下我实现的方法: 首先我在每个方法前面都加了这个属性, /// <summary> /// 表示当前Action请求 ...

  8. Oracle用户、权限、角色管理(转)

    http://blog.csdn.net/junmail/article/details/4381287 Oracle 权限设置一.权限分类:系统权限:系统规定用户使用数据库的权限.(系统权限是对用户 ...

  9. Oracle用户、权限、角色管理

    Oracle 权限设置一.权限分类:系统权限:系统规定用户使用数据库的权限.(系统权限是对用户而言). 实体权限:某种权限用户对其它用户的表或视图的存取权限.(是针对表或视图而言的).   二.系统权 ...

  10. [.Net MVC] 用户角色权限管理_使用CLK.AspNet.Identity

    项目:后台管理平台 意义:一个完整的管理平台需要提供用户注册.登录等功能,以及认证和授权功能. 一.为何使用CLK.AspNet.Identity 首先简要说明所采取的权限控制方式.这里采用了基于角色 ...

随机推荐

  1. AES加密技术:原理与应用

    一.引言 随着信息技术的飞速发展,数据安全已成为越来越受到重视的领域.加密技术作为保障数据安全的重要手段,在信息安全领域发挥着举足轻重的作用.AES(Advanced Encryption Stand ...

  2. WMTS地图服务每一层级分辨率

    目录 1. 概述 2. 详论 2.1. Web墨卡托 2.2. 大地经纬度 3. 参考 1. 概述 WMTS地图服务每一层级的分辨率是多少?关于这个问题以前推算过,但总是忘记了.网上查询又是一堆废话, ...

  3. 基于LiteOS Studio零成本学习LiteOS物联网操作系统

    摘要:大家在学习物联网操作系统开发的时候,都不得不准备一套开发板和仿真器,也是一笔不小的投资.LiteOS社区现在对外开放了对Qemu模拟器的适配工程,在不使用开发板的情况下,也可以搭建LiteOS开 ...

  4. 华为云IoT设备接入服务全体验

    摘要:华为云IoT设备接入服务,海量设备,一键接入,你值得拥有! 本文分享自华为云社区<[云驻共创]Huawei Mate 40产线直击之 华为云IoT设备接入服务全体验>,原文作者:启明 ...

  5. 想发自己的NFT,你要先搞清楚这6个问题

    摘要:NFT是Web3世界中标记数据资产独特性的标识,是数据权益的载体. 本文分享自华为云社区<加密数字艺术NFT背后你关心的六个问题>,作者: 薛腾飞 . Connect Wallet ...

  6. TICS端到端实践:企业积分查询作业开发

    摘要:本次TICS端到端体验,将以一个"小微企业信用评分"的场景为例. 本文分享自华为云社区<基于华为隐私计算产品TICS实现端到端的企业积分查询作业[玩转华为云]>, ...

  7. CentOS7安装maven,mvn clean -DskipTests package

    1.JAVA_HOME 首先确保正确安装并配置了JAVA_HOME 我这里安装了jdk1.8 2.下载maven 3.6.3 wget https://mirrors.tuna.tsinghua.ed ...

  8. html jquery from 表单提交 application/x-www-form-urlencoded 改成 json

    html jquery from 表单提交 $(form).ajaxSubmit  application/x-www-form-urlencoded  改成 json 要使用 jQuery 根据 n ...

  9. Axure 形状交互

  10. Grafana--Min step与Resolution

    问题: 今天在统计机房请求量的时候,发现时间选择12 hours时还是正常的,但是选择24 hours时就有一些线条出不来,数据也有缺失,如下: 12 hours 24 hours 问了同事,说是数据 ...