1

来自http://www.postgresql.org/docs/9.1/static/sql-grant.html

用法

...

对于模式,允许访问包含在指定模式中的对象(假设也满足对象自身的特权要求)。本质上,这允许被授权者在模式中“查找”对象。如果没有此权限,仍然可以查看对象名称,例如通过查询系统表。...

...

但是,通过运行以下脚本psql似乎表明,虽然缺少 SELECT 权限会导致错误,但缺少 EXECUTE 权限不会,这与文档相矛盾,因为不满足“自己的权限要求”。

CREATE DATABASE testdb WITH OWNER postgres ENCODING 'UTF8';
\connect testdb
CREATE ROLE testrole;
CREATE SCHEMA testschema;
GRANT USAGE ON SCHEMA testschema TO testrole;
SET search_path TO testschema;

CREATE FUNCTION testfunc ()
RETURNS VOID
AS $$
BEGIN
  RAISE NOTICE 'IN TESTFUNC';
  RAISE NOTICE 'Current user: %', current_user;
END;
$$
LANGUAGE plpgsql;

CREATE TABLE testtable
(
  testrow INT
);

INSERT INTO testtable (testrow) VALUES (1), (2), (3);

SET ROLE testrole;

SELECT testfunc();
SELECT * FROM testtable;

RESET ROLE;

输出:

$ psql -f usage.sql
CREATE DATABASE
You are now connected to database "testdb" as user "postgres".
CREATE ROLE
CREATE SCHEMA
GRANT
SET
CREATE FUNCTION
CREATE TABLE
INSERT 0 3
SET
psql:usage.sql:27: NOTICE:  IN TESTFUNC
psql:usage.sql:27: NOTICE:  Current user: testrole
 testfunc 
----------

(1 row)

psql:usage.sql:28: ERROR:  permission denied for relation testtable
RESET

我是否遗漏了某些内容或错误地使用了权限?

4

1 回答 1

2

架构在这里并不重要,您看到的是函数的默认执行权限。考虑以下CREATE FUNCTION 文档的摘录:

要记住的另一点是,默认情况下,为新创建的函数授予 PUBLIC 执行权限(有关更多信息,请参阅 GRANT)。您经常希望将安全定义器功能的使用限制为仅限于某些用户。为此,您必须撤销默认的 PUBLIC 权限,然后有选择地授予执行权限。

于 2012-12-17T19:00:28.140 回答