Início / dba / Perguntas / 156775
Accepted
x-yuri
Asked: 2016-12-01 05:51:40 +0800 CST

A função, cujo nome não corresponde ao nome do banco de dados, não pode acessar o banco de dados

  • 772

A função apppode acessar o banco de dados app. Mas o papel app2não pode. Não vejo nenhum privilégio específico para role appe não é um proprietário de acordo com \l:

app2=> \l

      Name       |  Owner   | Encoding |   Collate   |    Ctype    |    Access privileges
-----------------+----------+----------+-------------+-------------+--------------------------
 app             | postgres | UTF8     | en_US.UTF-8 | en_US.UTF-8 | =Tc/postgres            +
                 |          |          |             |             | postgres=CTc/postgres   +
                 |          |          |             |             | app=CTc/postgres        +
                 |          |          |             |             | app2=CTc/postgres
...

app2=> \dp
                                               Access privileges
 Schema |                    Name                     |   Type   | Access privileges | Column access privileges
--------+---------------------------------------------+----------+-------------------+--------------------------
 public | access_users                                | table    |                   |
 public | access_users_id_seq                         | sequence |                   |
...


app2=> select * from users;
ERROR:  permission denied for relation users

Por que a função apppode acessar o banco de dados? O que posso verificar?

postgresql permissions

1 respostas

  1. Best Answer

    Ao que parece, as tabelas (não necessariamente o banco de dados) são de propriedade do appusuário. Isto é o que a documentação diz sobre isso:

    Se a coluna "Privilégios de acesso" estiver vazia para um determinado objeto, significa que o objeto tem privilégios padrão (ou seja, sua coluna de privilégios é nula). Os privilégios padrão sempre incluem todos os privilégios do proprietário e podem incluir alguns privilégios PUBLIC dependendo do tipo de objeto, conforme explicado acima.

    Como nada é exibido em "Privilégios de acesso" na \dpsaída e o appusuário pode ler e gravar na tabela, fica claro que é o proprietário. Pode-se provar isso, por exemplo, emitindo \dt access_users, que deve retornar algo como

            List of relations
 Schema │ Name         │ Type  │ Owner  
────────┼──────────────┼───────┼───────
 public │ access_users │ table │ app

    Isso também significa (não surpreendentemente) que nenhum outro usuário (exceto superusuários e membros da appfunção) tem acesso às tabelas. Se você quiser app2ter alguns direitos sobre eles (e tabelas futuras), uma resposta anterior minha pode ser interessante.

    • 4

relate perguntas