如何解决如何为尚未定义的函数授予 EXECUTE 权限
我正在运行一个 sql 脚本,该脚本首先创建一个用户,然后定义一些函数。如何在定义函数后不授予权限的情况下向 EXECUTE 尚未定义的函数授予权限?还有我将来定义的功能?
我尝试过像这样更改默认权限但没有成功:
alter default privileges for user admin in schema myschema
GRANT execute ON functions TO admin;
在像这样运行脚本后给予授权,但我不想每次定义新函数时都运行它:
grant execute on all functions in schema myschema to admin;
解决方法
您无需执行任何操作。只需继续阅读。
一旦您执行了 ALTER DEFAULT PRIVILEGES,就不再需要您建议的手动 GRANT。定义的权限是自动授予的,就像您希望的那样 - 对于定义的架构中定义的创建角色、定义的接收角色。
您的语句中确实有两次 admin,这是没有意义的,因为创建者是函数的初始所有者,并且引用 the manual:
默认权限始终包括所有者的所有权限
您可能想在现代 Postgres(版本 11 或更高版本)中使用 ROUTINE 而不是 FUNCTION。 The manual on GRANT:
FUNCTION 语法适用于普通函数、聚合函数、
和窗口函数,但不适用于过程;使用 PROCEDURE
那些。或者,使用 ROUTINE 来引用一个函数,聚合
函数、窗口函数或过程,无论其精确度如何
类型。
但是(有点令人困惑)ALTER DEFAULT PRIVILEGES 上的手册是这样说的:
对于这个命令,函数包括聚合和过程。这
单词 FUNCTIONS 和 ROUTINES 在此命令中是等效的。
(ROUTINES 是首选的标准术语
功能和程序结合在一起。在早期的 PostgreSQL 中
版本,只允许使用 FUNCTIONS 一词。这是不可能的
分别为函数和过程设置默认权限。)
无论如何,ROUTINES 在现代 Postgres 中通常是正确的选择。在创建 creating_role 后运行:
ALTER DEFAULT PRIVILEGES FOR ROLE creating_role IN SCHEMA myschema
GRANT EXECUTE ON ROUTINES TO receiving_role;
然后,receiving_role 有权执行这些函数。 除了在标准设置中,PUBLIC 无论如何都有权执行。每个角色都自动成为 PUBLIC 的成员。 The manual:
对于其他类型的对象,授予 PUBLIC 的默认权限如下:[...] EXECUTE 函数和过程的权限;
所以你什么都不用做。
您是否知道 EXECUTE 的裸权限不提供除此之外的任何权限?尤其是,使用执行角色的权限访问表等。您可能正在寻找 SECURITY DEFINER functions。相关:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
