GRANT privilege [, ...] ON object [, ...]
TO { PUBLIC | GROUP group | username }
GRANT 允许对象的创建者给某用户或某组或所有用户(PUBLIC)某些特定的权限. 对象创建后,除了创建者外,除非创建者赋予 (GRANT)权限,其他人没有访问对象的权限.
一旦用户有某对象的权限,他就可以使用那个特权. 不需要给创建者赋予(GRANT)对象的权限,创建者自动拥有对象的所有权限, 包括删除它的权限.
目前,要想在 Postgres 里面只赋予几列权限,你必须创建一个包含那几列的视图(view), 然后把权限赋予那几个视图。
使用 psql \z 命令获取关于现存对象权限的更多信息:
Database = lusitania
+------------------+---------------------------------------------+
| Relation | Grant/Revoke Permissions |
+------------------+---------------------------------------------+
| mytable | {"=rw","miriam=arwR","group todos=rw"} |
+------------------+---------------------------------------------+
Legend:
uname=arwR -- privileges granted to a user
group gname=arwR -- privileges granted to a GROUP
=arwR -- privileges granted to PUBLIC
r -- SELECT
w -- UPDATE/DELETE
a -- INSERT
R -- RULE
arwR -- ALL
参考 REVOKE 语句废除访问权限.
给所有用户向表 films 插入记录的权限:
GRANT INSERT ON films TO PUBLIC;
赋予用户 manuel 操作视图 kinds 的所有权限:
GRANT ALL ON kinds TO manuel;
SQL92 语法允许对表中的某单独列/字段设置权限, 并且允许设置一权限以赋予别人相同权限:
GRANT privilege [, ...]
ON object [ ( column [, ...] ) ] [, ...]
TO { PUBLIC | username [, ...] } [ WITH GRANT OPTION ]
这些字段与 Postgres 实现是兼容的,除了下面一些例外:
SQL92 允许声明附加的权限:
允许在一个声明的表的完整性约束中使用某些或全部列/字段.
允许使用一个域,字符集,集合或事务.如果声明的对象不是表/视图, privilege 只能声明为 USAGE.
SQL92 允许一个附加的非功能性关键字 TABLE.
允许使用声明的字符集.
允许使用声明的集合序列.
允许使用声明的字符集转换.
允许使用声明的域.
允许向别人赋予同样权限.