查明用户是否有权在 PostgreSQL 中选择/更新/...表/函数/...

Question

确定用户是否拥有某种权利（例如，选择或执行）在某个类上（例如PostgreSQL 中的表或函数？

此刻我得到了类似的东西

aclcontains(
    someColumnWithAclitemArray,
    makeaclitem(userOid,grantorOid,someRight,false))

但这很糟糕，因为我必须检查每一个 grantorOid 这是可能的，并且对于每个 userOid 用户可以属于。

相关说明：您可以测试哪些可能的权利？我还没有找到任何文档，但阅读源代码我猜：

INSERT
SELECT
UPDATE
DELETE
TRUNCATE
REFERENCES
TRIGGER
EXECUTE
USAGE
CREATE
CONNECT

似乎还有一个 CREATE TEMP 是的，但我无法弄清楚在中使用的正确文本 makeaclitem-功能。

Answer 1

我发现更好的方法（我似乎记得这是从 psql 内置的一些查询中获取的，或者可能是 information_schema 视图）是使用 has_*_privilege 函数，并简单地将它们应用于用户和对象的所有可能组合的集合。这还将考虑通过某些组角色访问对象。

例如，这将显示哪些用户有权访问非目录表和视图：

select usename, nspname || '.' || relname as relation,
       case relkind when 'r' then 'TABLE' when 'v' then 'VIEW' end as relation_type,
       priv
from pg_class join pg_namespace on pg_namespace.oid = pg_class.relnamespace,
     pg_user,
     (values('SELECT', 1),('INSERT', 2),('UPDATE', 3),('DELETE', 4)) privs(priv, privorder)
where relkind in ('r', 'v')
      and has_table_privilege(pg_user.usesysid, pg_class.oid, priv)
      and not (nspname ~ '^pg_' or nspname = 'information_schema')
order by 2, 1, 3, privorder;

可能的特权在描述中详细说明 has_*_privilege 职能在 http://www.postgresql.org/docs/current/static/functions-info.html#FUNCTIONS-INFO-ACCESS-TABLE.

“CREATE TEMP”是数据库级权限：它允许用户使用 pg_temp_* 架构。可以用以下方法进行测试 has_database_privilege(useroid, datoid, 'TEMP').

Answer 2

看一看的”访问权限查询函数“，也是” GRANT“参考页。