| GRANT(7) | SQL Commands | GRANT(7) |
GRANT - 定義訪問許可權
GRANT { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }
[,...] | ALL [ PRIVILEGES ] }
ON [ TABLE ] tablename [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
ON DATABASE dbname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { EXECUTE | ALL [ PRIVILEGES ] }
ON FUNCTION funcname ([type, ...]) [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
ON LANGUAGE langname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
ON SCHEMA schemaname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT 命令將某物件(表,檢視,序列,函式過程語言,或者模式) 上的特定許可權給予一個使用者或者多個使用者或者一組使用者。 這些許可權將增加到那些已經賦予的許可權上,如果存在這些許可權的話。
鍵字 PUBLIC
表示該許可權要賦予所有使用者,
包括那些以後可能建立的使用者。PUBLIC
可以看做是一個隱含定義好的組,它總是包括所有使用者。
任何特定的使用者都將擁有直接賦予他/她的許可權,加上他/她所處的任何組,
以及再加上賦予 PUBLIC
的許可權的總和。
如果聲明瞭 WITH GRANT
OPTION,那麼許可權的受予者也可以賦予別人。
預設的時候這是不允許的。賦權選項只能給獨立的使用者,而不能給組或者
PUBLIC。
對物件的所有者(通常就是建立者)而言,沒有什麼許可權需要賦予,
因為所有者預設就持有所有許可權。(不過,所有者出於安全考慮可以選擇廢棄一些他自己的許可權。)
刪除一個物件的權力,或者是任意修改它的權力都不是可賦予的權利所能描述的;
它是建立者固有的,並且不能賦予或撤銷。
根據物件的不同,初始的預設許可權可能包括給
PUBLIC
賦予一些許可權。預設設定對於表和模式是沒有公開訪問許可權的;
TEMP
表為資料庫建立許可權;EXECUTE
許可權用於函式;
以及 USAGE
用於語言。物件所有者當然可以撤回這些許可權。
(出於最大安全性考慮,在建立該物件的同一個事務中發出
REVOKE;
那麼就不會開啟給別的使用者使用該物件的視窗。)
可能的許可權有:
對於模式,允許在該模式中建立新的物件。
要重新命名一個現有物件,你必需擁有該物件並且。
對包含該物件的模式擁有這個許可權。
對於模式,允許訪問包含在指定模式中的物件(假設該物件的所有權要求同樣也設定了)。
最終這些就允許了許可權接受者"查詢"模式中的物件。
其它命令要求的許可權都在相應的命令的參考頁上列出。
REVOKE [revoke(7)] 命令用於刪除訪問許可權。
我們要注意資料庫超級使用者可以訪問所有物件,
而不會受物件的許可權設定影響。這個特點類似
Unix 系統的 root
的許可權。和 root
一樣,除了必要的情況,總是以超級使用者身分進行操作是不明智的做法。
If a superuser chooses to issue a GRANT or REVOKE command, the command is performed as though it were issued by the owner of the affected object. In particular, privileges granted via such a command will appear to have been granted by the object owner.
目前,要在 PostgreSQL
裡只對某幾列賦予許可權,
你必須建立一個擁有那幾行的檢視然後給那個檢視賦予許可權。
使用 psql(1) 的 \z
命令獲取在現有物件上的與許可權有關的資訊。
=> \z mytable
Access privileges for database "lusitania"
Schema | Table | Access privileges
--------+---------+---------------------------------------
public | mytable | {=r/postgres,miriam=arwdRxt/postgres,"group todos=arw/postgres"}
(1 row)
\z
顯示的條目解釋如下:
=xxxx -- 賦予 PUBLIC 的許可權
uname=xxxx -- 賦予一個使用者的許可權
group gname=xxxx -- 賦予一個組的許可權
r -- SELECT ("讀")
w -- UPDATE ("寫")
a -- INSERT ("追加")
d -- DELETE
R -- RULE
x -- REFERENCES
t -- TRIGGER
X -- EXECUTE
U -- USAGE
C -- CREATE
T -- TEMPORARY
arwdRxt -- ALL PRIVILEGES (for tables)
* -- 給前面許可權的授權選項
/yyyy -- 授出這個許可權的使用者
GRANT SELECT ON mytable TO PUBLIC; GRANT SELECT, UPDATE, INSERT ON mytable TO GROUP todos;
如果一個給定的物件的
"Access privileges"
欄位是空的,
這意味著該物件有預設許可權(也就是說,它的許可權欄位是
NULL)。
預設許可權總是包括所有者的所有許可權,以及根據物件的不同,可能包含一些給
PUBLIC 的許可權。
物件上第一個 GRANT 或者
REVOKE
將例項化這個預設許可權(比如,產生
{=,miriam=arwdRxt})
然後根據每次特定的需求修改它。
把表 films 的插入許可權賦予所有使用者:
GRANT INSERT ON films TO PUBLIC;
賦予使用者manuel對檢視kinds的所有許可權:
GRANT ALL PRIVILEGES ON kinds TO manuel;
根據 SQL 標準,在 ALL PRIVILEGES 裡的 PRIVILEGES 關鍵字是必須的。SQL 不支援在一條命令裡對多個表設定許可權。
SQL 標準允許在一個表裡為獨立的欄位設定許可權:
GRANT privileges
ON table [ ( column [, ...] ) ] [, ...]
TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]
SQL 標準對其它型別的物件提供了一個 USAGE 許可權:字符集,校勘,轉換,域。
RULE 許可權,以及在資料庫,模式,語言和序列上的許可權是 PostgreSQL 擴充套件。
REVOKE [revoke(7)]
Postgresql 中文網站 何偉平 <laser@pgsqldb.org>
本頁面中文版由中文
man 手冊頁計劃提供。
中文 man
手冊頁計劃:https://github.com/man-pages-zh/manpages-zh
| 2003-11-02 | SQL - Language Statements |