| GRANT(7) | SQL Commands | GRANT(7) |
GRANT - 定义访问权限
GRANT { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }
[,...] | ALL [ PRIVILEGES ] }
ON [ TABLE ] tablename [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
ON DATABASE dbname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { EXECUTE | ALL [ PRIVILEGES ] }
ON FUNCTION funcname ([type, ...]) [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
ON LANGUAGE langname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
ON SCHEMA schemaname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT 命令将某对象(表,视图,序列,函数过程语言,或者模式) 上的特定权限给予一个用户或者多个用户或者一组用户。 这些权限将增加到那些已经赋予的权限上,如果存在这些权限的话。
键字 PUBLIC
表示该权限要赋予所有用户,
包括那些以后可能创建的用户。PUBLIC
可以看做是一个隐含定义好的组,它总是包括所有用户。
任何特定的用户都将拥有直接赋予他/她的权限,加上他/她所处的任何组,
以及再加上赋予 PUBLIC
的权限的总和。
如果声明了 WITH GRANT
OPTION,那么权限的受予者也可以赋予别人。
缺省的时候这是不允许的。赋权选项只能给独立的用户,而不能给组或者
PUBLIC。
对对象的所有者(通常就是创建者)而言,没有什么权限需要赋予,
因为所有者缺省就持有所有权限。(不过,所有者出于安全考虑可以选择废弃一些他自己的权限。)
删除一个对象的权力,或者是任意修改它的权力都不是可赋予的权利所能描述的;
它是创建者固有的,并且不能赋予或撤销。
根据对象的不同,初始的缺省权限可能包括给
PUBLIC
赋予一些权限。缺省设置对于表和模式是没有公开访问权限的;
TEMP
表为数据库创建权限;EXECUTE
权限用于函数; 以及
USAGE
用于语言。对象所有者当然可以撤回这些权限。
(出于最大安全性考虑,在创建该对象的同一个事务中发出
REVOKE;
那么就不会打开给别的用户使用该对象的窗口。)
可能的权限有:
对于模式,允许在该模式中创建新的对象。
要重命名一个现有对象,你必需拥有该对象并且。
对包含该对象的模式拥有这个权限。
对于模式,允许访问包含在指定模式中的对象(假设该对象的所有权要求同样也设置了)。
最终这些就允许了权限接受者"查询"模式中的对象。
其它命令要求的权限都在相应的命令的参考页上列出。
REVOKE [revoke(7)] 命令用于删除访问权限。
我们要注意数据库超级用户可以访问所有对象,
而不会受对象的权限设置影响。这个特点类似
Unix 系统的 root 的权限。和
root
一样,除了必要的情况,总是以超级用户身分进行操作是不明智的做法。
If a superuser chooses to issue a GRANT or REVOKE command, the command is performed as though it were issued by the owner of the affected object. In particular, privileges granted via such a command will appear to have been granted by the object owner.
目前,要在 PostgreSQL
里只对某几列赋予权限,
你必须创建一个拥有那几行的视图然后给那个视图赋予权限。
使用 psql(1) 的 \z
命令获取在现有对象上的与权限有关的信息。
=> \z mytable\z 显示的条目解释如下:
Access privileges for database "lusitania"
Schema | Table | Access privileges --------+---------+---------------------------------------
public | mytable | {=r/postgres,miriam=arwdRxt/postgres,"group todos=arw/postgres"} (1 row)
=xxxx -- 赋予 PUBLIC 的权限
uname=xxxx -- 赋予一个用户的权限
group gname=xxxx -- 赋予一个组的权限
r -- SELECT ("读")
w -- UPDATE ("写")
a -- INSERT ("追加")
d -- DELETE
R -- RULE
x -- REFERENCES
t -- TRIGGER
X -- EXECUTE
U -- USAGE
C -- CREATE
T -- TEMPORARY
arwdRxt -- ALL PRIVILEGES (for tables)
* -- 给前面权限的授权选项
/yyyy -- 授出这个权限的用户
GRANT SELECT ON mytable TO PUBLIC; GRANT SELECT, UPDATE, INSERT ON mytable TO GROUP todos;
如果一个给定的对象的
"Access privileges"
字段是空的,
这意味着该对象有缺省权限(也就是说,它的权限字段是
NULL)。
缺省权限总是包括所有者的所有权限,以及根据对象的不同,可能包含一些给
PUBLIC 的权限。
对象上第一个 GRANT 或者
REVOKE
将实例化这个缺省权限(比如,产生
{=,miriam=arwdRxt})
然后根据每次特定的需求修改它。
把表 films 的插入权限赋予所有用户:
GRANT INSERT ON films TO PUBLIC;
赋予用户manuel对视图kinds的所有权限:
GRANT ALL PRIVILEGES ON kinds TO manuel;
根据 SQL 标准,在 ALL PRIVILEGES 里的 PRIVILEGES 关键字是必须的。SQL 不支持在一条命令里对多个表设置权限。
SQL 标准允许在一个表里为独立的字段设置权限:
GRANT privileges
ON table [ ( column [, ...] ) ] [, ...]
TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]
SQL 标准对其它类型的对象提供了一个 USAGE 权限:字符集,校勘,转换,域。
RULE 权限,以及在数据库,模式,语言和序列上的权限是 PostgreSQL 扩展。
REVOKE [revoke(7)]
Postgresql 中文网站 何伟平 <laser@pgsqldb.org>
本页面中文版由中文
man 手册页计划提供。
中文 man
手册页计划:https://github.com/man-pages-zh/manpages-zh
| 2003-11-02 | SQL - Language Statements |