PostgreSQL教程(十二)：角色和权限管理介绍

PostgreSQL是通过角色来管理数据库访问权限的，我们可以将一个角色看成是一个数据库用户，或者一组数据库用户。角色可以拥有数据库对象，如表、索引，也可以把这些对象上的权限赋予其它角色，以控制哪些用户对哪些对象拥有哪些权限。
   
一、数据库角色：

    1. 创建角色：
      CREATE ROLE role_name;
 </div>
    2. 删除角色：
      DROP ROLE role_name;
    </div>
    3. 查询角色：

    检查系统表pg_role，如：
      SELECT usename FROM pg_role;
 </div>
    也可以在psql中执行\du命令列出所有角色。
   
二、角色属性：

    一个数据库角色可以有一系列属性，这些属性定义他的权限，以及与客户认证系统的交互。

    1. 登录权限：

    只有具有LOGIN属性的角色才可以用于数据库连接，因此我们可以将具有该属性的角色视为登录用户，创建方法有如下两种：
      CREATE ROLE name LOGIN PASSWORD '123456‘;
    CREATE USER name PASSWORD '123456';
    </div>
    2. 超级用户：
    数据库的超级用户拥有该数据库的所有权限，为了安全起见，我们最好使用非超级用户完成我们的正常工作。和创建普通用户不同，创建超级用户必须是以超级用户的身份执行以下命令：
      CREATE ROLE name SUPERUSER;
    </div>
    3. 创建数据库：
    角色要想创建数据库，必须明确赋予创建数据库的属性，见如下命令：
      CREATE ROLE name CREATEDB;
    </div>
    4. 创建角色：
    一个角色要想创建更多角色，必须明确给予创建角色的属性，见如下命令：
      CREATE ROLE name CREATEROLE;
 </div>
   
三、权限：

    数据库对象在被创建时都会被赋予一个所有者，通常而言，所有者就是执行对象创建语句的角色。对于大多数类型的对象，其初始状态是只有所有者(或超级用户)可以对该对象做任何事情。如果要允许其它用户可以使用该对象，必须赋予适当的权限。PostgreSQL中预定义了许多不同类型的内置权限，如：SELECT、INSERT、UPDATE、DELETE、RULE、REFERENCES、TRIGGER、CREATE、TEMPORARY、EXECUTE和USAGE。

    我们可以使用GRANT命令来赋予权限，如：
      GRANT UPDATE ON accounts TO joe;
 </div>
    对于上面的命令，其含义为将accounts表的update权限赋予joe角色。此外，我们也可以用特殊的名字PUBLIC把对象的权限赋予系统中的所有角色。在权限声明的位置上写ALL，表示把适用于该对象的所有权限都赋予目标角色。
    要撤销权限，使用合适的REVOKE命令：
      REVOKE ALL ON accounts FROM PUBLIC;
 </div>
    其含义为：对所有角色(PUBLIC)撤销在accounts对象上的所有权限(ALL)。

四、角色成员：

    在系统的用户管理中，通常会把多个用户赋予一个组，这样在设置权限时只需给该组设置即可，撤销权限时也是从该组撤消。在PostgreSQL中，首先需要创建一个代表组的角色，之后再将该角色的membership权限赋给独立的用户角色即可。
    1. 创建一个组角色，通常而言，该角色不应该具有LOGIN属性，如：
      CREATE ROLE name;  
 </div>
    2. 使用GRANT和REVOKE命令添加和撤消权限：
      GRANT group_role TO role1, ... ;
    REVOKE group_role FROM role1, ... ;
 </div>
　 一个角色成员可以通过两种方法使用组角色的权限，如：
    1. 每个组成员都可以用SET ROLE命令将自己临时"变成"该组成员，此后再创建的任何对象的所有者将属于该组，而不是原有的登录用户。
    2. 拥有INHERIT属性的角色成员自动继承它们所属角色的权限。
    见如下示例：
      CREATE ROLE joe LOGIN INHERIT;  --INHERIT是缺省属性。
    CREATE ROLE admin NOINHERIT;
    CREATE ROLE wheel NOINHERIT;
    GRANT admin TO joe;
    GRANT wheel TO admin;
 </div>
    现在我们以角色joe的身份与数据库建立连接，那么该数据库会话将同时拥有角色joe和角色admin的权限，这是因为joe"继承(INHERIT)"了admin的权限。然而与此不同的是，赋予wheel角色的权限在该会话中将不可用，因为joe角色只是wheel角色的一个间接成员，它是通过admin角色间接传递过来的，而admin角色却含有NOINHERIT属性，这样wheel角色的权限将无法被joe继承。
　 这样wheel角色的权限将无法被joe继承。此时，我们可以在该会话中执行下面的命令:
    SET ROLE admin;
 </div>
    在执行之后，该会话将只拥有admin角色的