9.3 9.4 9.5 9.6 10 11 12 13 14 15 Current(16) 17
问题报告 纠错本页面

22.1. 数据库角色 #

数据库角色在概念上已经完全与操作系统用户独立开来。 事实上可能维护一个对应关系会比较方便,但是这并非必需。 数据库角色在一个数据库集簇安装范围内是全局的(而不是独立数据库内)。 要创建一个角色,可使用CREATE ROLE SQL 命令:

CREATE ROLE name;

name遵循 SQL 标识符的规则:或是未经装饰没有特殊字符,或是用双引号包围(实际上,你将总是给该命令要加上额外选项,例如LOGIN。更多细节可见下文)。 要移除一个已有的角色,使用相似的DROP ROLE命令:

DROP ROLE name;

为了方便,createuserdropuser程序被提供作为这些 SQL 命令的包装器,它们可以从 shell 命令行调用:

createuser name
dropuser name

要确定现有角色的集合,可以检查pg_roles 系统目录,例如:

SELECT rolname FROM pg_roles;

或者仅查看那些能够登录的角色:

SELECT rolname FROM pg_roles WHERE rolcanlogin;

psql程序的\du元命令 也可以用来列出现有的角色。

为了引导数据库系统,新初始化的系统总是包含一个预定义的可登录角色。 这个角色总是一个超级用户,并且它的名称将与使用 initdb初始化数据库集群的操作系统用户相同,除非指定了 不同的名称。这个角色通常被命名为postgres。 为了创建更多的角色,您首先需要以这个初始角色连接。

每一个到数据库服务器的连接都是使用某个特定角色名建立的,并且这个角色决定发起连接的命令的初始访问权限。要使用一个特定数据库连接的角色名由客户端指示,该客户端以一种应用相关的风格发起连接请求。例如,psql程序使用-U命令行选项来指定要以哪个角色连接。很多应用假定该名字默认是当前操作系统用户(包括createuserpsql)。因此在角色和操作系统用户之间维护一个名字对应关系通常是很方便的。

一个给定客户端连接能够用来连接的数据库角色的集合由该客户端的认证设置决定,这些在第 21 章中有解释(因此,一个客户端不止限于以匹配其操作系统用户的角色连接,就像一个人的登录名不需要匹配她的真实名字一样)。因为角色身份决定一个已连接客户端可用的权限集合,在设置一个多用户环境时要小心地配置权限。