postgresql - 如何以正确的方式对 Postgres 中的函数使用默认模式权限?
问题描述
我很难理解默认模式权限在 Postgres 中是如何工作的。对我来说,它们应该通过自动发布权限来减轻管理负担,但我发现它们有点不可用。我从文档中发现了一些根本不明显的东西。
我希望几个用户能够在架构中创建和修改对象。我创建了一个将成为所有者的角色,并将该角色授予多个(一般)用户:
create schema my_schema;
create role my_schema_owner;
alter schema my_schema owner to my_schema_owner;
create user my_user password 'xxx';
grant my_schema_owner to my_user;
create role my_role;
alter default privileges in schema my_schema grant execute on functions to my_role;
create function my_schema.my_func1() returns int as
$$ begin return 3; end; $$ language plpgsql;
请注意,我是在自己的(管理)帐户下执行此操作的。
接下来,我检查我得到了什么。我使用这个视图:
create or replace view pg_functions_grants as
select proname, n.nspname, coalesce(nullif(s[1], ''), 'public') as grantee,
s[2] as privileges, s[3] as grantor
from pg_proc p
join pg_namespace n on n.oid = p.pronamespace
join pg_roles r on r.oid = p.proowner
join pg_type rt on p.prorettype = rt.oid,
unnest(coalesce(p.proacl::text[], format('{%s=arwdDxt/%s}', r.rolname, r.rolname)::text[])) acl,
regexp_split_to_array(acl, '=|/') s
并请求创建对象的权限:
select * from pg_functions_grants where proname = 'my_func1' order by 1;
my_func1 my_schema public X <me>
my_func1 my_schema <me> X <me>
my_func1 my_schema my_role X <me>
a) 我们看到它在 func1 上授予 PUBLIC 执行权限。没关系,文档说它是默认的。b)它授予我执行权限。没关系,但似乎多余,因为我已经是所有者。c)它按照我的要求授予 my_role 执行权限。完美的。
现在我假装自己是被授予所有权的用户:
set role my_user;
create function my_schema.my_func2() returns int as
$$ begin return 3; end; $$ language plpgsql;
select * from pg_functions_grants where proname = 'my_func2' order by 1;
my_func2 my_schema my_user arwdDxt my_user
d) 为什么不授予 PUBLIC 执行权?
e) 为什么它没有应用默认权限?
我试图弄清楚发生了什么:
create or replace view pg_namespaces_default_grants as
select n.nspname, r.rolname, d.defaclobjtype, coalesce(nullif(s[1], ''), 'public') as grantee,
s[2] as privileges, s[3] as grantor
from pg_default_acl d
join pg_namespace n on d.defaclnamespace = n.oid
join pg_roles r on r.oid = n.nspowner,
unnest(coalesce(d.defaclacl::text[], format('{%s=arwdDxt/%s}', r.rolname, r.rolname)::text[])) acl,
regexp_split_to_array(acl, '=|/') s;
select * from pg_namespaces_default_grants where nspname = 'my_schema';
my_schema my_schema_owner f my_role X <me>
嗯...我看到这里提到的设保人...可能这很重要吗?让我们在我的用户下设置默认值:
set role my_user;
alter default privileges in schema my_schema grant execute on functions to my_role;
create function my_schema.my_func3() returns int as
$$ begin return 3; end; $$ language plpgsql;
select * from pg_functions_grants where proname = 'my_func3' order by 1;
my_func3 my_schema public X my_user
my_func3 my_schema my_user X my_user
my_func3 my_schema my_role X my_user
现在它按预期工作。
好的,它可能是通过授予的角色继承默认权限吗?
set role my_schema_owner;
alter default privileges in schema my_schema grant execute on functions to my_role;
set role my_user;
alter default privileges in schema my_schema revoke execute on functions from my_role;
让我们验证一下:
select * from pg_namespaces_default_grants where nspname = 'my_schema';
my_schema my_schema_owner f my_role X my_schema_owner
my_schema my_schema_owner f my_role X <me>
正确的。现在:
set role my_user;
create function my_schema.my_func7() returns int as
$$ begin return 3; end; $$ language plpgsql;
select * from pg_functions_grants where proname = 'my_func7' order by 1;
my_func7 my_schema my_user arwdDxt my_user
该死的,它没有!
总结:默认权限仅在设置默认权限的用户(显式)下创建对象时有效,并且在被授予设置默认权限的角色的用户下不起作用。
现在提问:
上面的事实是否在我找不到的文档中的某个地方提到?
为什么这么不方便?可能是我滥用它吗?有没有办法在模式中设置默认权限,该权限适用于每个具有某些授予角色的用户?对于所有(现有和未来)用户?
PUBLIC 的情况完全不清楚。为什么它没有在 d) 中将 EXECUTE 授予 PUBLIC?我又进行了一些实验,发现如果用户为模式设置了任何默认授权,它们会通过 EXECUTE for PUBLIC得到增强。但是,如果没有默认权限,则不会授予 PUBLIC 函数上的 EXECUTE。在我看来,这完全不合逻辑。对此有解释吗?
解决方案
我将尝试回答最后提出的问题:
文档说:
ALTER DEFAULT PRIVILEGES [ FOR { ROLE | USER } target_role [, ...] ] [ IN SCHEMA schema_name [, ...] ] abbreviated_grant_or_revoke
target_role
当前角色是其成员的现有角色的名称。如果
FOR ROLE
省略,则假定当前角色。您总是为某个角色定义默认权限,也就是说,权限仅在该角色创建对象时适用。
它就是这样儿的。最好的办法是只允许一个角色在模式中创建对象。
任何授予的权限都会添加到现有权限中。
所有函数都是使用
EXECUTE
特权创建的PUBLIC
,我不相信你在 d) 中的结果。为此,您必须提出一个简单的可重现测试用例。改变这一点的唯一方法是拥有一个默认权限(不限于架构!)撤销该
EXECUTE
权限。
推荐阅读
- android-studio - 自动将 Admob ID 插入项目
- typo3-7.6.x - 如何增加所选页面菜单中的最大值
- java - 如何仅为我的模型生成 swagger 定义文件
- c - 如何通过kill命令从子进程向父进程发送信号
- python - Django如何在查询集的模板列表中使用
- vba - 如何找出文本框链接到表单上的哪个字段?(ControlSource 属性的相反方向)
- javascript - 开玩笑:没有调用 window.location.assign 模拟函数.. 它与 Promise catch() 有关吗?
- python - 如何在 python 3 中从 json 输入文件构建数组?
- docker - 如何将 docker 镜像推送到注册表并仅通过 docker-compose.yml 文件拉取它们
- python - 如何使用迭代器接口将多个矩阵加载到 Chainer 模型中?