原博地址 https://yq.aliyun.com/articles/41512?spm=a2c4e.11153940.0.0.20b7640fcDiFQA

关于PostgreSQL的逻辑架构和权限体系,可以参考  
https://yq.aliyun.com/articles/41210  
本文将给大家介绍一下如何批量管理表,视图,物化视图的权限。  
以及如何管理默认权限,批量赋予schema的权限。

对整个SCHEMA的对象进行权限管理

PostgreSQL 从9.0开始就提供了比较方便的对整个schema的指定对象赋权给目标用的语法。  
http://www.postgresql.org/docs/9.5/static/sql-grant.html  
例子

GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }

    [, ...] | ALL [ PRIVILEGES ] }    ON { [ TABLE ] table_name [, ...]

         | ALL TABLES IN SCHEMA schema_name [, ...] }    TO role_specification [, ...] [ WITH GRANT OPTION ]REVOKE [ GRANT OPTION FOR ]

    { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }

    [, ...] | ALL [ PRIVILEGES ] }    ON { [ TABLE ] table_name [, ...]

         | ALL TABLES IN SCHEMA schema_name [, ...] }    FROM { [ GROUP ] role_name | PUBLIC } [, ...]

    [ CASCADE | RESTRICT ]

将schema digoal下的所有表的select,update权限赋予给test用户。  
注意  
如果digoal.*中包含了非当前用户的表,并且当前用户非超级用户,并且当前用户没有这些表的select,update的with grant option权限。将报错。  
换句话说,如果要确保这个赋权操作万无一失,可以选择使用超级用户来执行。

grant select,update on all tables in schema digoal to test;

将schema digoal下的所有表的select,update权限从test用户回收。

revoke select,update on all tables in schema digoal from test;

在对整个schema下的所有对象的权限管理完后, 别忘记了在对象之上,还需要对schema、database、instance进行相应的赋权。

如何设置用户创建的对象的默认权限

另一个问题,如何设置用户新建的对象的默认权限?  
在PostgreSQL 9.0以后新加的语法:  
http://www.postgresql.org/docs/9.5/static/sql-alterdefaultprivileges.html  
例如

ALTER DEFAULT PRIVILEGES

    [ FOR { ROLE | USER } target_role [, ...] ]

    [ IN SCHEMA schema_name [, ...] ]

    abbreviated_grant_or_revokewhere abbreviated_grant_or_revoke is one of:GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }

    [, ...] | ALL [ PRIVILEGES ] }    ON TABLES

    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

例子:  
将digoal用户未来在public下面创建的表的select,update权限默认赋予给test用户.

postgres=> alter default privileges for role digoal in schema public grant select,update on tables to test;

ALTER DEFAULT PRIVILEGES

将test用户未来在public,digoal下面创建的表的select,update权限默认赋予给digoal用户.

postgres=# alter default privileges for role test in schema public,digoal grant select,update on tables to digoal;

ALTER DEFAULT PRIVILEGES

查看已经赋予的默认权限

postgres=> \ddp+

               Default access privileges

  Owner   | Schema | Type  |     Access privileges     

----------+--------+-------+---------------------------

 digoal   | public | table | test=rw/digoal

 test     | digoal | table | digoal=rw/test

 test     | public | table | digoal=rw/test

SELECT pg_catalog.pg_get_userbyid(d.defaclrole) AS "Owner",

  n.nspname AS "Schema",  CASE d.defaclobjtype WHEN 'r' THEN 'table' WHEN 'S' THEN 'sequence' WHEN 'f' THEN 'function' WHEN 'T' THEN 'type' END AS "Type",

  pg_catalog.array_to_string(d.defaclacl, E'\n') AS "Access privileges"FROM pg_catalog.pg_default_acl d     LEFT JOIN pg_catalog.pg_namespace n ON n.oid = d.defaclnamespaceORDER BY 1, 2, 3;

  Owner   | Schema | Type  |     Access privileges     

----------+--------+-------+---------------------------

 digoal   | public | table | test=rw/digoal

 postgres |        | table | postgres=arwdDxt/postgres+

          |        |       | digoal=arwdDxt/postgres

 test     | digoal | table | digoal=rw/test

 test     | public | table | digoal=rw/test

(4 rows)

如何定制批量管理权限

将"指定用户" owne 的表、视图、物化视图的"指定权限"赋予给"指定用户",并排除"指定对象"    
这个需求需要写一个函数来完成,如下

create or replace function g_or_v

(

  g_or_v text,   -- 输入 grant or revoke 表示赋予或回收

  own name,      -- 指定用户 owner 

  target name,   -- 赋予给哪个目标用户 grant privilege to who?

  objtyp text,   --  对象类别: 表, 物化视图, 视图 object type 'r', 'v' or 'm', means table,view,materialized view

  exp text[],    --  排除哪些对象, 用数组表示, excluded objects

  priv text      --  权限列表, privileges, ,splits, like 'select,insert,update') returns void as 

$$

declare

  nsp name;

  rel name;

  sql text;

  tmp_nsp name := '';begin

  for nsp,rel in select t2.nspname,t1.relname from pg_class t1,pg_namespace t2 where t1.relkind=objtyp and t1.relnamespace=t2.oid and t1.relowner=(select oid from pg_roles where rolname=own)

  loop    if (tmp_nsp = '' or tmp_nsp <> nsp) and lower(g_or_v)='grant' then

      -- auto grant schema to target user

      sql := 'GRANT usage on schema "'||nsp||'" to '||target;

      execute sql;

      raise notice '%', sql;    end if;

    tmp_nsp := nsp;    if (exp is not null and nsp||'.'||rel = any (exp)) then

      raise notice '% excluded % .', g_or_v, nsp||'.'||rel;    else

      if lower(g_or_v) = 'grant' then

        sql := g_or_v||' '||priv||' on "'||nsp||'"."'||rel||'" to '||target ;      elsif lower(g_or_v) = 'revoke' then

        sql := g_or_v||' '||priv||' on "'||nsp||'"."'||rel||'" from '||target ;      else

        raise notice 'you must enter grant or revoke';      end if;

      raise notice '%', sql;

      execute sql;    end if;  end loop;end;

$$

 language plpgsql;

例子  
将digoal用户的所有表(除了'public.test'和'public.abc')的select, update权限赋予给test用户.

postgres=# select g_or_v('grant', 'digoal', 'test', 'r', array['public.test', 'public.abc'], 'select, update');NOTICE:  GRANT usage on schema "public" to testNOTICE:  grant select, update on "public"."tb1l" to testNOTICE:  grant select, update on "public"."new" to test

 g_or_v 

--------

 

(1 row)

postgres=# \dp+ public.tb1l 

                            Access privileges

 Schema | Name | Type  | Access privileges | Column privileges | Policies 

--------+------+-------+-------------------+-------------------+----------

 public | tb1l | table | test=rw/digoal    |                   | (1 row)

postgres=# \dp+ public.new

                              Access privileges

 Schema | Name | Type  |   Access privileges   | Column privileges | Policies 

--------+------+-------+-----------------------+-------------------+----------

        |      |       | test=rw/digoal        |                   | (1 row)

从 test 用户回收digoal用户的所有表(除了'public.test'和'public.abc')的update权限.

postgres=# select g_or_v('revoke', 'digoal', 'test', 'r', array['public.test', 'public.abc'], 'update');NOTICE:  revoke update on "public"."tb1l" from testNOTICE:  revoke update on "public"."new" from test

 g_or_v 

--------

 

(1 row)

postgres=# \dp+ public.tb1l 

                            Access privileges

 Schema | Name | Type  | Access privileges | Column privileges | Policies 

--------+------+-------+-------------------+-------------------+----------

 public | tb1l | table | test=r/digoal     |                   | (1 row)

postgres=# \dp+ public.new

                              Access privileges

 Schema | Name | Type  |   Access privileges   | Column privileges | Policies 

--------+------+-------+-----------------------+-------------------+----------

        |      |       | test=r/digoal         |                   | (1 row)

POSTGRESQL 批量权限 管理方法的更多相关文章

  1. Oracle 用户权限管理方法

    Oracle 用户权限管理方法 sys;//系统管理员,拥有最高权限 system;//本地管理员,次高权限 scott;//普通用户,密码默认为tiger,默认未解锁 sys;//系统管理员,拥有最 ...

  2. Oracle SQL 基本操作之 用户权限管理方法

     Oracle SQL 基本操作之 用户权限管理方法 最近把有关用户操作和权限管理的东西整理了一下,虽然不少博客都有过类似的整理,但是自己发现他们的内容或多或少都有些错误.于是,本人亲自对每条语句进行 ...

  3. day04-Linux系统中用户控制及文件权限管理方法

    一. useradd指令新建一个用户包含以下文件 1. 用户信息文件:less   /etc/passwd                                                ...

  4. 【转】 Oracle 用户权限管理方法

    sys;//系统管理员,拥有最高权限 system;//本地管理员,次高权限 scott;//普通用户,密码默认为tiger,默认未解锁 sys;//系统管理员,拥有最高权限 system;//本地管 ...

  5. 《shiro》视频目录---1、权限管理-shiro

    \day01_shiro\0323\10realm支持散列.avi;\day01_shiro\0323\1权限管理原理.avi;\day01_shiro\0323\2权限管理解决方案.avi;\day ...

  6. Shiro: 权限管理

    一.权限管理 1.什么是权限管理   权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问且只能访问自己被授权的资源.   权限管理包括用户身份认证和 ...

  7. 003-基于URL的权限管理[不使用shiro]

    一.基于url权限管理流程[实现步骤] 基于url拦截是企业中常用的权限管理方法,实现思路是:将系统操作的每个url配置在权限表中,将权限对应到角色,将角色分配给用户,用户访问系统功能通过Filter ...

  8. oracle数据库权限管理

    权限管理: oracle 9里面默认的三个username和password: sys change_on_install //权限最高的管理员 system manager //普通的管理员 sco ...

  9. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除)

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(18)-过滤器的使用和批量删除数据(伪删除和直接删除) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   ...

随机推荐

  1. NavisWorks连接外部数据库,为模型附加属性

    可以直接从Navisworks 文件连接到外部数据库,并在场景中的对象与数据库表中的字段之间创建链接以引入额外特性. 1.连接mdb数据库 新建数据连接 单击“新建”按钮,新建数据连接,输入一个名称, ...

  2. leetcode -1 count the path

  3. Ubuntu下查找nginx日志

    使用awk检测nginx日志, 按小时计数 awk '{split($4,array,"[");if(array[2]>="29/May/2016:00:00:26 ...

  4. React 事件对象、键盘事件、表单事件、ref获取dom节点、react实现类似Vue双向数据绑定

    1.案例实现代码 import React, { Component } from 'react'; /** * 事件对象.键盘事件.表单事件.ref获取dom节点.react实现类似Vue双向数据绑 ...

  5. DJANGO MODEL FORMSETS IN DETAIL AND THEIR ADVANCED USAGE

    Similar to the regular formsets, Django also provides model formset that makes it easy to work with ...

  6. Prometheus Querying Function rate() vs irate()

    rate() rate(v range-vector) calculates the per-second average rate of increase of the time series in ...

  7. python logger理解

    import logging#进行基本的日志配置 logging.basicConfig(filename = 'access.log',format = '%(asctime)s - %(name) ...

  8. React基础篇学习

    到今天为止, 使用react已经一年了, 现在整理一下入门时的一些重要知识, 帮助想要学习react的同学们理解某些内容. React 元素 React 元素,它是 React 中最小基本单位,我们可 ...

  9. gdb笔记 ---《Linux.C编程一站式学习》

    gdb笔记 ---<Linux.C编程一站式学习> 单步执行和跟踪函数调用 函数调试实例 #include <stdio.h> int add_range(int low, i ...

  10. hibernate update-->参数绑定

    Hibernate 更新数据库 参数绑定总结: 一.query.setParameter(属性名,真实值,类型); String hql="update User u set u.userN ...