Provided by: manpages-zh_1.5.2-1.1_all bug

NAME
       GRANT - 定义访问权限


SYNOPSIS
       GRANT { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }
           [,...] | ALL [ PRIVILEGES ] }
           ON [ TABLE ] tablename [, ...]
           TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

       GRANT { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
           ON DATABASE dbname [, ...]
           TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

       GRANT { EXECUTE | ALL [ PRIVILEGES ] }
           ON FUNCTION funcname ([type, ...]) [, ...]
           TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

       GRANT { USAGE | ALL [ PRIVILEGES ] }
           ON LANGUAGE langname [, ...]
           TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]

       GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
           ON SCHEMA schemaname [, ...]
           TO { username | GROUP groupname | PUBLIC } [, ...] [ WITH GRANT OPTION ]


DESCRIPTION 描述
       GRANT  命令将某对象(表,视图,序列,函数过程语言,或者模式) 上的特定权限给予一个用户或者
       多个用户或者一组用户。 这些权限将增加到那些已经赋予的权限上,如果存在这些权限的话。

        键字 PUBLIC 表示该权限要赋予所有用户, 包括那些以后可能创建的用户。PUBLIC   可以看做是一个
       隐含定义好的组,它总是包括所有用户。  任何特定的用户都将拥有直接赋予他/她的权限,加上他/她
       所处的任何组, 以及再加上赋予 PUBLIC 的权限的总和。

        如果声明了 WITH GRANT OPTION,那么权限的受予者也可以赋予别人。 缺省的时候这是不允许的。赋
       权选项只能给独立的用户,而不能给组或者 PUBLIC。

        对对象的所有者(通常就是创建者)而言,没有什么权限需要赋予,   因为所有者缺省就持有所有权
       限。(不过,所有者出于安全考虑可以选择废弃一些他自己的权限。)  删除一个对象的权力,或者是
       任意修改它的权力都不是可赋予的权利所能描述的; 它是创建者固有的,并且不能赋予或撤销。

        根据对象的不同,初始的缺省权限可能包括给 PUBLIC  赋予一些权限。缺省设置对于表和模式是没有
       公开访问权限的; TEMP 表为数据库创建权限;EXECUTE 权限用于函数; 以及 USAGE 用于语言。对象
       所有者当然可以撤回这些权限。 (出于最大安全性考虑,在创建该对象的同一个事务中发出 REVOKE;
       那么就不会打开给别的用户使用该对象的窗口。)

        可能的权限有:

       SELECT
               允许对声明的表,试图,或者序列   SELECT   [select(7)]   任意字段。还允许做    COPY
              [copy(7)] TO 的源。 对于序列而言,这个权限还允许使用 currval 函数。

       INSERT
               允许向声明的表 INSERT [insert(7)] 一个新行。 同时还允许做 COPY [copy(7)] FROM。

       UPDATE
               允许对声明的表中任意字段做  UPDATE [update(7)] 。 SELECT ... FOR UPDATE 也要求这个
              权限 (除了 SELECT 权限之外)。比如, 这个权限允许使用nextval 和 setval。

       DELETE
               允许从声明的表中 DELETE [delete(7)] 行。

       RULE
               允许在该表/视图上创建规则。(参阅 CREATE RULE [create_rule(7)] 语句。)

       REFERENCES
               要创建一个外键约束,你必须在参考表和被参考表上都拥有这个权限。

       TRIGGER
               允许在声明表上创建触发器。(参阅 CREATE TRIGGER [create_trigger(7)] 语句。)

       CREATE
               对于数据库,允许在该数据库里创建新的模式。

               对于模式,允许在该模式中创建新的对象。    要重命名一个现有对象,你必需拥有该对象并
              且。 对包含该对象的模式拥有这个权限。

       TEMPORARY

       TEMP
               允许在使用该数据库的时候创建临时表。

       EXECUTE
               允许使用指定的函数并且可以使用任何利用这些函数实现的操作符。  这是适用于函数的唯一
              的一种权限类型。 (该语法同样适用于聚集函数。)

       USAGE
               对于过程语言, 允许使用指定过程语言创建该语言的函数。 这是适用于过程语言的唯一的一
              种权限类型。

               对于模式,允许访问包含在指定模式中的对象(假设该对象的所有权要求同样也设置了)。
              最终这些就允许了权限接受者"查询"模式中的对象。

       ALL PRIVILEGES
               一次性给予所有适用于该对象的权限。 PRIVILEGES 关键字在 PostgreSQL 里是可选的,  但
              是严格的 SQL 要求有这个关键字。

        其它命令要求的权限都在相应的命令的参考页上列出。


NOTES 注意
       REVOKE [revoke(7)] 命令用于删除访问权限。

        我们要注意数据库超级用户可以访问所有对象,  而不会受对象的权限设置影响。这个特点类似 Unix
       系统的 root  的权限。和 root  一样,除了必要的情况,总是以超级用户身分进行操作是不明智的做
       法。

       If  a  superuser  chooses  to issue a GRANT or REVOKE command, the command is performed as
       though it were issued by the owner of  the  affected  object.  In  particular,  privileges
       granted via such a command will appear to have been granted by the object owner.

        目前,要在 PostgreSQL 里只对某几列赋予权限, 你必须创建一个拥有那几行的视图然后给那个视图
       赋予权限。

        使用 psql(1) 的 \z 命令获取在现有对象上的与权限有关的信息。

       => \z mytable

               Access privileges for database "lusitania"
        Schema |  Table  |           Access privileges
       --------+---------+---------------------------------------
        public | mytable | {=r/postgres,miriam=arwdRxt/postgres,"group todos=arw/postgres"}
       (1 row)

       \z 显示的条目解释如下:

                     =xxxx -- 赋予 PUBLIC 的权限
                uname=xxxx -- 赋予一个用户的权限
          group gname=xxxx -- 赋予一个组的权限

                         r -- SELECT ("读")
                         w -- UPDATE ("写")
                         a -- INSERT ("追加")
                         d -- DELETE
                         R -- RULE
                         x -- REFERENCES
                         t -- TRIGGER
                         X -- EXECUTE
                         U -- USAGE
                         C -- CREATE
                         T -- TEMPORARY
                   arwdRxt -- ALL PRIVILEGES (for tables)
                         * -- 给前面权限的授权选项

                     /yyyy -- 授出这个权限的用户

        用户 miriam 在建完表之后再做下面的语句, 就可以得到上面例子的结果

       GRANT SELECT ON mytable TO PUBLIC;
       GRANT SELECT, UPDATE, INSERT ON mytable TO GROUP todos;

        如果一个给定的对象的 "Access  privileges"  字段是空的,  这意味着该对象有缺省权限(也就是
       说,它的权限字段是 NULL)。 缺省权限总是包括所有者的所有权限,以及根据对象的不同,可能包含
       一些给 PUBLIC  的权限。 对象上第一个 GRANT 或者  REVOKE   将实例化这个缺省权限(比如,产生
       {=,miriam=arwdRxt}) 然后根据每次特定的需求修改它。


EXAMPLES 例子
        把表 films 的插入权限赋予所有用户:

       GRANT INSERT ON films TO PUBLIC;

        赋予用户manuel对视图kinds的所有权限:

       GRANT ALL PRIVILEGES ON kinds TO manuel;


COMPATIBILITY 兼容性
        根据  SQL 标准,在 ALL PRIVILEGES 里的 PRIVILEGES  关键字是必须的。SQL 不支持在一条命令里
       对多个表设置权限。

       SQL 标准允许在一个表里为独立的字段设置权限:

       GRANT privileges
           ON table [ ( column [, ...] ) ] [, ...]
           TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]

       SQL 标准对其它类型的对象提供了一个 USAGE 权限:字符集,校勘,转换,域。

       RULE 权限,以及在数据库,模式,语言和序列上的权限是 PostgreSQL 扩展。


SEE ALSO 参见
       REVOKE [revoke(7)]


译者
       Postgresql 中文网站 何伟平 <laser@pgsqldb.org>