pgsql的行级权限设置

已于 2024-11-08 17:24:47 修改
阅读量873 收藏 6
点赞数 6
CC 4.0 BY-SA版权
文章标签: 数据库
于 2024-10-31 17:32:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43826626/article/details/143406285

pgsql中行级权限的应用

简介

行级安全性(RLS)是一个特性,允许您根据执行查询的用户来限制查询返回的行。

RLS 允许您,根据当前用户和由策略定义的特定条件,来控制对表中各个行的访问。

此外要注意的是,此表设置完行级权限后,对应角色才会进入设置的规则,没设置过的角色没有权限访问,可以设置一个默认database_admin角色,每次给上true的条件,表管理者没影响

语句创建

使用ALTER TABLE语句,在表上启用行级安全性:

ALTER TABLE table_name
ENABLE ROW LEVEL SECURITY;

创建安全策略

CREATE POLICY name ON table_name
USING (condition);

此外,表所有者也会绕过行级安全性。要对表所有者应用行级安全性,可以使用FORCE ROW LEVEL SECURITY选项修改表:

ALTER TABLE table_name
FORCE ROW LEVEL SECURITY;

注: 删除完表行级权限后,需要重新对角色赋值

对于fdw外联表需要关联server服务名, 和对应用户密码

对于行级权限可以单独设置select,但是同时其他权限也会没有,可以手动添加inser等权限

示例


--切换角色
 
set role postgres;

-- 创建角色 注意此时创建的角色,同时设置为了用户
CREATE ROLE def LOGIN PASSWORD 'qweasd123';

--切换角色
set role def;
--select  权限不够
select * from user_custom;

-- 创建角色用户 测试
CREATE ROLE def1 LOGIN PASSWORD 'qweasd123';

-- 创建角色用户 测试
CREATE ROLE demo1 LOGIN PASSWORD 'qweasd123';

--给予所有权限
set role postgres;
GRANT ALL ON ALL TABLES IN SCHEMA public TO def;

--开启表结构行级权限
ALTER TABLE user_custom ENABLE ROW LEVEL SECURITY;
-- 可不开启  管理员用于强制表的所有用户遵循行级安全性策略
ALTER TABLE user_custom FORCE ROW LEVEL SECURITY;

--创建行级权限 
CREATE POLICY def1 ON user_custom FOR SELECT TO def1 USING(age >= 2); 
 
 
--切换角色
set role def1;
--select 
select * from user_custom;
--age>2的数据

--切换角色
set role def;
--select 
select * from user_custom;
--无数据

--切换角色
set role demo1;
--select 
select * from user_custom;
--无权限
 

--额外查询sql

--删除权限
REVOKE ALL ON ALL TABLES IN SCHEMA public FROM def1;
--查询行级权限
SELECT * FROM pg_policies 
WHERE tablename = 'xxpta_mstr';
 
SELECT * FROM pg_policies 
WHERE policyname like 'def1%'
-- 删除
DROP POLICY IF EXISTS def1 ON user_custom;  

--查询
SELECT * FROM pg_policies 
WHERE tablename = 'user_custom' 
AND policyname = 'view_all_policy' ;
--SELECT TABLE 行级权限
SELECT 
    relname AS TableName,
    relrowsecurity AS IsRowLevelSecurityEnabled,
    relforcerowsecurity AS ForceRowLevelSecurity
FROM 
    pg_class
WHERE 
    relname = 'user_custom';
--  relname:表名。
-- relrowsecurity:若值为 true,则表示行级安全性已启用。
-- relforcerowsecurity:若值为 true,则强制所有用户遵循行级安全性策略(即使拥有 BYPASSRLS 权限也无法绕过)
 

鲨鱼辣椒ii
关注
【PostgreSQL】PostgreSQL用户及表的查权限
tttzzzqqq2018的博客
06-18 1578
【代码】【PostgreSQL】PostgreSQL用户及表的查权限
【PostgreSQL】PostgreSQL 表和列权限(ACL)解读
tttzzzqqq2018的博客
09-14 469
【代码】PostgreSQL 表和列权限(ACL)解读。
如何在PostgreSQL中实现别的安全性,以控制用户访问特定数据
发现生活,分享智慧,一起成长!
04-23 971
接下来,你需要定义别的安全性策略。这通常是通过创建策略来实现的,策略可以基于用户的身份、会话变量或其他条件来限制对的访问。下面是一个示例,该策略只允许用户访问mycolumn-- 创建策略在这个例子中,是你为策略命名的名称,mycolumn是表中的一个列,是一个内置函数,返回当前用户的用户名。这个策略意味着,只有当mycolumn列的值等于当前用户名时,用户才能访问该
【SQL】SQL用户管理和权限
qq_45280097的博客
10-21 1249
撤销'remote'@'%' 用户的test数据库的所有权限。可以在任意主机访问该数据库, 密码remote;用来管理数据库用户、控制数据库的访 问权限。修改用户remote的访问密码为1234;删除itcast@localhost。仅代表只能够在当前本机访问,是不可以。授予'remote'@'%' 用户。代表的是访问该数据库的用户名。多个权限之间,使用逗号分隔。数据库所有表的所有操作权限。创建用户remote,代表当前用户访问的主机。, 密码itcast;
核心系统用PG了,抠脑壳的权限,搞晕了!
IT邦德
09-12 957
分享一些技能给大家,别让PG的权限再把大家绕进去了!
postgresql 9.6 普通用户查询 pg_stat_activity、pg_stat_statements 的方法
一名数据库爱好者的专栏
05-25 2066
postgresql 9.6 查询 pg_stat_activity、pg_stat_statements 时部分列显示 postgres=> select pid,client_addr,query from pg_stat_activity; pid | client_addr | query ------+-------------+---------------------------------
PostGreSQL数据库-安全策略
gsforget321的博客
10-14 1155
所有对数据的操作,暴扣数据查询和更新,都受策略的限制,如果没有配置安全策略,所有的查询和更新都会禁止,但是对全表进操作的命令,truncate和refrences不受影响。但是不同的表可以有同名的策略,当表有多个策略时,多个策略之间是 OR 的关系,所有策略中任意一个为TRUE都通过。USING:对表中的已有数据进检查的语句,可实施在select,update,delete,all上。每个策略都有一个名字,每个表可以定义多个策略,因为策略是针对表的,所以表内的多个策略名字必须唯一,
pgsql如何划分权限
03-27
好的,我现在要解决用户的问题:“pgsql如何划分权限”。首先,我需要理解用户的需求。他们可能在使用PostgreSQL数据库时,需要对不同用户或角色分配不同的权限,以确保数据安全和管理的灵活性。用户可能是数据库...
PostgreSQL 中如何实现数据的动态权限管理?
2401_86074221的博客
07-09 1451
在 PostgreSQL 中实现数据的动态权限管理需要综合运用角色、安全性、视图、存储过程等功能。根据具体的业务需求,选择合适的方法来制定灵活的权限策略,同时要注意性能优化和权限的验证与审计,以确保数据的安全性和完整性。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏。
pgsql设置悲观锁
01-15
如果只需要防止其他事务获得排他锁而不需要自己拥有写权限,则可采用 `FOR SHARE` 方式: ```sql SELECT * FROM my_table WHERE id = 1 FOR SHARE; ``` 这种方式允许并发读取但不允许任何一方执更改操作。 ####...
上述关于《pgsql如何划分权限》的解决方案,可以通过pgadmin4可视化工具实现吗
最新发布
03-27
用户的问题是关于权限管理的,所以需要确认pgAdmin4是否支持通过界面操作来完成权限设置,而无需手动编写SQL语句。 接下来,我需要回顾之前的解决方案中的关键点,比如创建角色、授予不同层权限数据库、模式、...
PostgreSQL 修改设置数据库的默认用户以及权限,2024年最新一位软件测试大牛的BAT面试心得与经验总结
2401_84281703的博客
04-17 1215
需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注软件测试)(img-tLcAulkZ-1713342983902)]设置是 supseruser 以及 登录权限
数据库实战演练-postgresql权限控制
sqlora的专栏
02-22 1559
数据库实战演练-postgresql权限控制
【Superset】数据权限控制
u012976127的博客
12-23 988
实现思路:将过滤语句拼在数据集sql后面,执的结果与实际想要的是否匹配;从权限表中查到当前登录用户的架构信息,再与数据集中符合条件的架构数据。同一个看板,不同层的用户,进来只能看到对应层的数据。图表名称:【图表】24年11月支付成功订单明细。看板名称:【看板】24年11月支付成功订单。6.1. 选择需要做数据权限过滤的数据集。6.2. 选择受数据权限过滤的角色。销售组长:其管辖范围内的各组数据。数据集名称:24年11月订单明细。仅需要填写角色名称即可,保存。将图表拖拽到看板中,保存。
PostgreSQL基本操作三(添加唯一性约束UNIQUE,添加非空约束not null,添加限制约束check)
热门推荐
雪山飞狐
11-06 1万+
接上,现有两张表,department和employee 1、为department的manager添加唯一性约束,保证manager列中不出现重复值(unique_manager是随便设置的约束名称) alter table department add constraint unique_manager unique(manager); 关于唯一性约束的各种用法UNIQUE使用 2、将Ge...
PostgreSQL 数据库的三权分立详解
分享关于Java编程、数据库管理和信息安全方面的最佳实践
06-25 1948
三权分立的基本思想是将系统中关键操作的权限分配给不同的角色,以确保没有单个用户或角色能够完全控制整个系统。数据库管理员(DBA):负责数据库的安装、配置、备份、恢复和性能优化等管理任务。安全管理员(SA):负责数据库安全策略的制定和实施,包括用户管理、权限分配和审计等。应用管理员(AA):负责数据库应用的开发和维护,包括表结构设计、查询优化和数据加载等。通过实施三权分立,可以有效地提高 PostgreSQL 数据库的安全性和管理效率。
连接PostgreSQL 报错 - psycopg2.errors.InsufficientPrivilege: permission denied for table 或者是 schema xxx
Muxiu
07-29 1617
访问 PostgreSQL 数据库,报错表或者模式权限不足问题。
PostgreSQL安全策略探究
qq_43687755的博客
07-11 1233
最近和朋友讨论oracle安全策略(VPD)时,查看了下官方文档,看起来VPD的原理是针对应用了Oracle安全策略的表、视图或同义词发出的 SQL 语句动态添加where子句。通俗理解就是将安全策略动态添加为where 条件。那么PG中的安全策略是怎么处理的呢?安全策略(Row Level Security)是更细粒度的数据安全控制策略。策略可以根据每个用户限制哪些可以通过常规查询返回,哪些可以通过数据修改命令插入、更新或删除。
解决“psycopg2.errors.InsufficientPrivilege: permission denied for table”问题
sanqima的专栏
03-01 8193
    今天在写入PostgreSQL的dapp_namemap表格时,报"psycopg2.errors.InsufficientPrivilege: permission denied for table"错误,如图(1)所示。     问题原因:当前用户hello对表格没有读写权限,如表格(1)所示。     解决方法:使用超用户,进入表格所在的数据库,然后对当前用户授予读写权限。     详细如下。 名称 类型 权限 postgres 超用户 全部权限 hello 普通
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值