GRANT { { SELECT | INSERT | UPDATE | DELETE | REFERENCES | TRIGGER }
[,...] | ALL [ PRIVILEGES ] }
ON [ TABLE ] tablename [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { USAGE | SELECT | UPDATE }
[,...] | ALL [ PRIVILEGES ] }
ON SEQUENCE sequencename [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | CONNECT | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
ON DATABASE dbname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { EXECUTE | ALL [ PRIVILEGES ] }
ON FUNCTION funcname ( [ [ argmode ] [ argname ] argtype [, ...] ] ) [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
ON LANGUAGE langname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
ON SCHEMA schemaname [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { CREATE | ALL [ PRIVILEGES ] }
ON TABLESPACE tablespacename [, ...]
TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT role [, ...] TO username [, ...] [ WITH ADMIN OPTION ]
GRANT 命令有两个基本变种:一个变种是给数据库对象(表、视图、序列、数据库、函数、过程语言、模式、表空间)赋予权限;一个变种是赋予一个角色中的成员关系。这些变种在很多方面都非常类似,但是它们之间的区别也有足够理由来分开描述。
到了 PostgreSQL 8.1,用户和组的概念已经统一成一类对象,叫角色。因此就没有必要使用关键字 GROUP 来标识一个授予者是用户还是组。GROUP 仍然可以在命令中使用,但只是一个多余的词而已。
这个变种的 GRANT 命令在数据库对象上给一个或多个角色授予特定的权限。这些权限追加到已经授予的权限上。
关键字 PUBLIC 表示该权限要赋予所有角色,包括那些以后可能创建的用户。PUBLIC 可以看做是一个隐含定义好的组,它总是包括所有角色。任何特定的角色都将拥有直接赋予他/它的权限,加上他/它所处的任何组,以及再加上赋予 PUBLIC 的权限的总和。
如果声明了 WITH GRANT OPTION ,那么权限的接收者也可以将此权限赋予他人,否则就不能授权他人。这个选项不能赋予 PUBLIC
对于对象的所有者(通常就是创建者)而言,没有什么权限需要赋予,因为所有者缺省就持有所有权限。不过,所有者出于安全考虑可以选择废弃一些他自己的权限。删除一个对象的权力,或者是任意修改它的权力都不是可赋予的权限;它是创建者固有的,并且不能赋予或撤销。所有者也隐含地拥有该对象的所有授权选项。
根据对象的不同,初始的缺省权限包括一些赋予 PUBLIC 的权限:对于表、模式、表空间没有公开访问权限;对于数据库有 CONNECT 权限和创建 TEMP 表的权限;对于函数有 EXECUTE 权限;对于语言有 USAGE 权限。对象所有者当然可以撤回这些权限。出于最大安全性考虑,在创建该对象的同一个事务中发出 REVOKE 就不会打开给别的用户使用该对象的窗口。
可能的权限有:
允许对声明的表、试图、序列 SELECT 任意字段。还允许做 COPY TO 的源。对于序列而言,这个权限还允许使用 currval 函数。
允许对声明的表中任意字段做 UPDATE 。SELECT ... FOR UPDATE 和 SELECT ... FOR SHARE 也要求这个权限(除了 SELECT 权限之外)。比如,这个权限允许使用 nextval 和 setval 函数。
允许从声明的表中 DELETE 行
要创建一个外键约束,你必须在参考表和被参考表上都拥有这个权限。
允许在声明表上创建触发器(参见 CREATE TRIGGER 语句)
对于数据库,允许在该数据库里创建新的模式。
对于模式,允许在该模式中创建新的对象。要重命名一个现有对象,你必需拥有该对象并且对包含该对象的模式拥有这个权限。
对于表空间,允许在其中创建表,以及允许创建数据库和模式的时候把该表空间指定为其缺省表空间。请注意,撤销这个权限不会改变现有数据库和模式的存放位置。
允许用户连接到指定的数据库。该权限将在连接启动时检查(除了检查 pg_hba.conf 中的任何限制之外)。
允许在使用该数据库的时候创建临时表
允许使用指定的函数并且可以使用任何利用这些函数实现的操作符。这是适用于函数的唯一权限。该语法同样适用于聚集函数。
对于过程语言,允许使用指定过程语言创建该语言的函数。这是适用于过程语言的唯一权限。
对于模式,允许访问包含在指定模式中的对象(假设该对象的所有权要求同样也设置了)。最终这些就允许了权限接受者"查询"模式中的对象。没有这个权限仍然可以看见这些对象的名字(比如通过查询系统视图)。同样,撤销该权限之后,现有的后端可能有在查找之前就执行了的语句,因此这不是一个很安全的限制对象访问的方法。
对于序列,该权限允许使用 currval 和 nextval 函数。
一次性给予所有可以赋予的权限。PRIVILEGES 关键字在 PostgreSQL 里是可选的,但是严格的 SQL 要求有这个关键字。
其它命令要求的权限都在相应的命令的参考页上列出。
这个变种的 GRANT 命令把一个角色的成员关系赋予一个或多个其它角色。角色里的成员关系很重要,因为它会将赋予该角色的权限传播给所有该角色的成员。
如果声明了 WITH ADMIN OPTION ,那么该成员随后就可以将角色的成员关系赋予其它角色,以及撤销其它角色的成员关系。如果没有 admin 选项,普通用户就不能这么做。不过,数据库超级用户可以给任何人赋与或者撤销任何角色的任何成员关系。拥有 CREATEROLE 权限的角色可以赋予或者撤销任何非超级用户角色的成员关系。
与权限不同,角色的成员关系不能被赋予 PUBLIC 。需要注意的是,这种形式的命令不允许使用无意义的 GROUP 关键字。
REVOKE 命令用于删除访问权限。
如果非对象所有者企图在对象上 GRANT 权限,而该用户没有该对象上指定的权限,那么命令将立即失败。只要有某些可用的权限,该命令就会继续,但是它只授予那些该用户有授权选项的权限。如果没有可用的授权选项,那么 GRANT ALL PRIVILEGES 形式将发出一个警告信息,其它命令形式将发出在命令中提到的、但是没有授权选项的那些权限相关的警告信息。这些语句原则上也适用于对象所有者,但是因为所有者总是被认为拥有所有授权选项,所以这种情况永远不会发生在所有者身上。
要注意数据库超级用户可以访问所有对象,而不会受对象的权限设置影响。这个特点类似 Unix 系统的 root 的权限。和 root 一样,除了必要的情况,总是以超级用户身份进行操作是不明智的做法。
如果一个超级用户选择发出一个 GRANT 或 REVOKE 命令,那么这条命令将是以被影响对象的所有者的形式执行的。特别是,通过这种方法赋与的权限将显得好像是由对象所有者赋与的。对于角色成员关系,成员关系的赋与就会像是通过包含角色自己赋与的一样。
GRANT 和 REVOKE 也可以不由被影响对象的所有者来执行,而是由拥有该对象的角色的一个成员来执行,或者是一个在该对象上持有 WITH GRANT OPTION 权限的角色的成员。在这种情况下,该权限将被纪录为是由实际拥有该对象或者持有 WITH GRANT OPTION 权限的对象赋与的。比如,如果表 t1 被角色 g1 拥有,并且 u1 是 g1 的一个成员,然后 u1 可以把 t1 的权限赋予 u2 ,但是这些权限将表现为是由 g1 直接赋予的。任何 g1 角色的成员都可以在之后撤销这些权限。
如果执行 GRANT 的角色所持有的所需权限是通过角色成员关系间接获得的,那么究竟是那个角色将被纪录为赋予权限的角色就是未知的。在这种情况下,最好的方法是使用 SET ROLE 成为你想执行 GRANT 命令的指定角色。
在表上赋予的权限不会自动传播到该表使用的序列上,包括 SERIAL 字段上的序列。必须单独设置序列的权限。
目前,PostgreSQL 不支持给一个表的独立字段进行权限赋予和撤销的操作,一个绕开的办法是创建一个拥有那几行的视图然后给那个视图赋予权限。
使用 psql 的 \z 命令获取在现有对象上的与权限有关的信息。
=> \z mytable
Access privileges for database "lusitania"
Schema | Name | Type | Access privileges
--------+---------+-------+-----------------------------------------------------------
public | mytable | table | {miriam=arwdxt/miriam,=r/miriam,"group todos=arw/miriam"}
(1 row)
\z 显示的条目解释如下:
=xxxx -- 赋予 PUBLIC 的权限
uname=xxxx -- 赋予一个用户的权限
group gname=xxxx -- 赋予一个组的权限
r -- SELECT ("读")
w -- UPDATE ("写")
a -- INSERT ("追加")
d -- DELETE
x -- REFERENCES
t -- TRIGGER
X -- EXECUTE
U -- USAGE
C -- CREATE
c -- CONNECT
T -- TEMPORARY
arwdxt -- ALL PRIVILEGES (用于表)
* -- 给前面权限的授权选项
/yyyy -- 授出这个权限的用户
用户 miriam 在建完 mytable 表之后再做下面的语句,就可以得到上面例子的结果
GRANT SELECT ON mytable TO PUBLIC; GRANT SELECT, UPDATE, INSERT ON mytable TO GROUP todos;
如果一个给定的对象的"Access privileges字段是空的,这意味着该对象有缺省权限(也就是说,它的权限字段是 NULL)。缺省权限总是包括所有者的所有权限,以及根据对象的不同,可能包含一些给 PUBLIC 的权限。对象上第一个 GRANT 或 REVOKE 将实例化这个缺省权限(比如,产生 {miriam=arwdxt/miriam}) 然后根据每次特定的需求修改它。
请注意所有者的隐含授权选项没有在显示出来的访问权限里标记出来。只有在授权选项明确地授予某人之后,才会显示一个 *
把表 films 的插入权限赋予所有用户:
GRANT INSERT ON films TO PUBLIC;
赋予用户 manuel 对视图 kinds 的所有权限:
GRANT ALL PRIVILEGES ON kinds TO manuel;
请注意,如果上面的命令由超级用户或者 kinds 的所有者执行,那么它实际上会赋予所有权限,如果由其他人执行,那么它会赋予这个"其他人"拥有授权选项的所有权限。
把角色 admins 的成员关系赋与用户 joe :
GRANT admins TO joe;
根据 SQL 标准,在 ALL PRIVILEGES 里的 PRIVILEGES 关键字是必须的。SQL 标准不支持在一条命令里对多个表设置权限。
PostgreSQL 允许一个对象所有者撤销它自己的普通权限:比如,一个表所有者可以让自己对这个表是只读的,方法是撤销自己的 INSERT, UPDATE, DELETE 权限。根据 SQL 标准,这是不可能的。原因是 PostgreSQL 把所有者的权限当作由所有者给自己赋予的;因此也可以撤销他们。在 SQL 标准里,所有者的权限是假设为"_SYSTEM"实体赋予的。因为所有者不是"_SYSTEM",所以他不能撤销这些权限。
SQL 标准允许在一个表里为独立的字段设置权限:
GRANT privileges
ON table [ ( column [, ...] ) ] [, ...]
TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]
SQL 标准对其它类型的对象提供了一个 USAGE 权限:字符集、校勘、转换、域。
在数据库、表空间、模式、语言、序列上的权限是 PostgreSQL 扩展。