把用户分组在一起来便于管理权限常常很方便:那样,权限可以被授予一整个组或从一整个组回收。在PostgreSQL中通过创建一个表示组的角色来实现,并且然后将在该组角色中的成员关系授予给单独的用户角色。
要建立一个组角色,首先创建该角色:
CREATE ROLE name
;
通常被用作一个组的角色不需要有LOGIN
属性,不过如果你希望你也可以设置它。
一旦组角色存在,你可以使用GRANT
和 REVOKE
commands:命令增加和移除成员:
GRANTgroup_role
TOrole1
, ... ; REVOKEgroup_role
FROMrole1
, ... ;
你也可以为其他组角色授予成员关系(因为组角色和非组角色之间其实没有任何区别)。数据库将不会让你设置环状的成员关系。另外,不允许把一个角色中的成员关系授予给PUBLIC
。
组角色的成员可以以两种方式使用角色的权限。
第一,一个组的每一个成员可以显式地做SET ROLE
来临时“成为”组角色。
在这种状态中,数据库会话可以访问组角色而不是原始登录角色的权限,并且任何被创建的数据库对象被认为属于组角色而不是登录角色。
第二,有INHERIT
属性的成员角色自动地具有它们所属角色的权限,包括任何组角色继承得到的权限。
作为一个例子,假设我们已经有:
CREATE ROLE joe LOGIN INHERIT; CREATE ROLE admin NOINHERIT; CREATE ROLE wheel NOINHERIT; GRANT admin TO joe; GRANT wheel TO admin;
在作为角色joe
连接后,一个数据库会话将立即拥有直接授予给joe
的权限,外加任何授予给admin
的权限,因为joe
“继承了” admin
的权限。然而,授予给wheel
的权限不可用,因为即使joe
是wheel
的一个间接成员,但是该成员关系是通过带NOINHERIT
属性的admin
得到的。在:
SET ROLE admin;
之后,该会话将只拥有授予给admin
的权限,但是没有授予给joe
的权限。在执行:
SET ROLE wheel;
之后,该会话将只拥有授予给wheel
的权限,但是没有授予给joe
或admin
的权限。初始的权限状态可以使用下面命令之一恢复:
SET ROLE joe; SET ROLE NONE; RESET ROLE;
SET ROLE
命令总是允许选择原始登录角色的直接或间接组角色。因此,在上面的例子中,在成为wheel
之前不必先成为admin
。
在 SQL 标准中,用户和角色之间的区别很清楚,并且用户不会自动继承权限而角色会继承。这种行为在PostgreSQL中也可以实现:为要用作 SQL 角色的角色给予INHERIT
属性,而为要用作 SQL 用户的角色给予NOINHERIT
属性。不过,为了向后兼容 8.1 以前的发布(在其中用户总是拥有它们所在组的权限),PostgreSQL默认给所有的角色INHERIT
属性。
角色属性LOGIN
、SUPERUSER
、CREATEDB
和CREATEROLE
可以被认为是一种特殊权限,但是它们从来不会像数据库对象上的普通权限那样被继承。要使用这些属性,你必须实际SET ROLE
到一个有这些属性之一的特定角色。继续上述例子,我们可以选择授予CREATEDB
和CREATEROLE
给admin
角色。然后一个以joe
角色连接的会话将不会立即有这些权限,只有在执行了SET ROLE admin
之后才会拥有。
要销毁一个组角色,使用DROP ROLE
:
DROP ROLE name
;
任何在该组角色中的成员关系会被自动撤销(但是成员角色不会受到影响)。