为了简化权限管理,把用户分组通常很方便:这样,权限就可以整体授予给一个组,或者从整个组中撤销。在PostgreSQL中,这通过创建一个表示该组的角色,然后把该组角色中的成员资格授予各个用户角色来实现。
要建立一个组角色,首先创建该角色:
CREATE ROLE name;
通常,作为组使用的角色不会有LOGIN属性,不过如果你愿意,也可以设置它。
一旦组角色存在,你就可以使用GRANT和REVOKE命令增加和移除成员:
GRANTgroup_roleTOrole1, ... ; REVOKEgroup_roleFROMrole1, ... ;
你也可以把成员资格授予其他组角色(因为组角色和非组角色之间其实并没有真正区别)。数据库不允许你建立循环的成员资格链。另外,不允许把某个角色中的成员资格授予PUBLIC。
组角色的成员可以通过两种方式使用该角色的权限。第一,获授成员资格且带有SET选项的成员角色可以通过SET ROLE临时“成为”该组角色。在这种状态下,数据库会话可以使用组角色的权限,而不是原始登录角色的权限,并且创建的任何数据库对象都被认为归组角色所有,而不是归登录角色所有。第二,获授成员资格且带有INHERIT选项的成员角色,会自动拥有其直接或间接所属角色的权限,不过一旦成员资格链上某一段缺少继承选项,这条链就会在那里终止。举例来说,假设我们执行了:
CREATE ROLE joe LOGIN; CREATE ROLE admin; CREATE ROLE wheel; CREATE ROLE island; GRANT admin TO joe WITH INHERIT TRUE; GRANT wheel TO admin WITH INHERIT FALSE; GRANT island TO joe WITH INHERIT TRUE, SET FALSE;
以角色joe建立连接后,数据库会话立即可以使用直接授予joe的权限,以及授予admin和island的任何权限,因为joe“继承”了这些权限。然而,授予wheel的权限不可用,因为尽管joe间接是wheel的成员,但这层成员资格是经由使用WITH INHERIT FALSE授予的admin得来的。执行:
SET ROLE admin;
之后,会话将只能使用授予admin的权限,而不能使用授予joe或island的权限。再执行:
SET ROLE wheel;
之后,会话将只能使用授予wheel的权限,而不能使用授予joe或admin的权限。原始权限状态可通过以下任一方式恢复:
SET ROLE joe; SET ROLE NONE; RESET ROLE;
SET ROLE命令总是允许切换到原始登录角色直接或间接所属的任何角色,只要存在一条成员资格授权链,并且链上的每一段都具有SET TRUE(默认值)。因此,在上例中,没有必要先成为admin再成为wheel。另一方面,根本不可能成为island;joe只能通过继承来使用那些权限。
在 SQL 标准中,用户与角色之间有明确区别,并且用户不会自动继承权限,而角色会。这种行为可以在PostgreSQL中通过让用作 SQL 角色的角色具有INHERIT属性,而让用作 SQL 用户的角色具有NOINHERIT属性来获得。不过,出于与 8.1 之前版本向后兼容的考虑,PostgreSQL默认给所有角色都赋予INHERIT属性;在那些早期版本中,用户总能使用授予其所属组的权限。
角色属性LOGIN、SUPERUSER、CREATEDB和CREATEROLE可以被视为特殊权限,但它们从不会像数据库对象上的普通权限那样被继承。要使用其中之一,必须实际执行SET ROLE切换到拥有该属性的特定角色。继续上面的例子,我们可以选择把CREATEDB和CREATEROLE赋予admin角色。这样,一个以joe角色连接的会话并不会立即拥有这些权限,只有在执行SET ROLE admin之后才会拥有。
要销毁一个组角色,使用DROP ROLE:
DROP ROLE name;
该组角色中的任何成员资格都会被自动撤销(但成员角色本身不会受到其他影响)。
如果您发现文档中有不正确的内容、与您使用特定功能的经验不符或需要进一步说明,请使用此表单来报告文档问题。