SET ROLE — 设置当前会话的当前用户标识符
SET [ SESSION | LOCAL ] ROLE role_name
SET [ SESSION | LOCAL ] ROLE NONE
RESET ROLE
这个命令把当前 SQL 会话的当前用户标识符设置为
role_name
。
角色名可以写成一个标识符或者一个字符串。在
SET ROLE
之后,对 SQL 命令的权限检查时就
好像该角色就是原先登录的角色一样。
当前会话用户必须具有指定的SET
选项,针对
role_name
,可以是直接
拥有,也可以通过带有SET
选项的成员关系链间接
拥有。
(如果会话用户是超级用户,则可以选择任何角色。)
SESSION
和LOCAL
修饰符发挥的作用和常规的SET
命令一样。
SET ROLE NONE
设置当前用户标识符为当前会话用户标识符,由session_user
返回。
RESET ROLE
设置当前用户标识符为由command-line options、ALTER ROLE
, 或ALTER DATABASE
指定的连接时间设定,如果存在这样的设置的话。
否则,RESET ROLE
设置当前用户标识符到当前会话用户标识符。
这些形式可以由任何用户执行。
使用此命令,可以添加权限或限制自己的权限。如果会话用户角色被授予
WITH INHERIT TRUE
,它会自动拥有每个此类角色的所有权限。
在这种情况下,SET ROLE
实际上会删除除目标角色直接
拥有或继承的权限之外的所有权限。另一方面,如果会话用户角色被授予
WITH INHERIT FALSE
,则默认情况下无法访问被授予角色的
权限。然而,如果角色被授予WITH SET TRUE
,会话用户
可以使用SET ROLE
来放弃直接分配给会话用户的权限,
而是获取指定角色可用的权限。如果角色被授予WITH INHERIT
FALSE, SET FALSE
,那么无论是否使用SET ROLE
,
都无法行使该角色的权限。
请注意,当超级用户选择SET ROLE
为非超级用户角色时,
他们将失去超级用户权限。
SET ROLE
的效果堪比
SET SESSION AUTHORIZATION
,但是涉及的特权检查
完全不同。还有,SET SESSION AUTHORIZATION
决定
后来的SET ROLE
命令可以使用哪些角色, 不过用
SET ROLE
更改角色并不会改变后续
SET ROLE
能够使用的角色集。
SET ROLE
不会处理角色的ALTER ROLE
设置指定的会话变量。
这只在登录期间发生。
SET ROLE
不能在一个
SECURITY DEFINER
函数中使用。
SELECT SESSION_USER, CURRENT_USER; session_user | current_user --------------+-------------- peter | peter SET ROLE 'paul'; SELECT SESSION_USER, CURRENT_USER; session_user | current_user --------------+-------------- peter | paul
PostgreSQL允许标识符
语法("
),而 SQL 标准要求
角色名被写成字符串。SQL 不允许在事务中使用这个命令,而
PostgreSQL并不做此限
制,因为并没有原因需要这样做。和rolename
"RESET
语法
一样,SESSION
和
LOCAL
修饰符是一种
PostgreSQL扩展。