如何撤销登录角色中的所有组角色

如何撤销登录角色中的所有组角色？有没有办法自动做到这一点？如何撤销登录角色中的所有组角色

2012-11-28 Aleksey Kontsevich

既然你可以GRANT/REVOKE一次身兼数职，一个DO命令与动态SQL会更简单/快（基于集合的操作经常要更快一些在RDBMS比循环）：

DO 
$$ 
BEGIN 
EXECUTE (
    SELECT 'REVOKE ' || string_agg(quote_ident(rolname), ', ') 
      || ' FROM ' || u.usename 
    FROM pg_user   u 
    JOIN pg_auth_members m ON (m.member = u.usesysid) 
    JOIN pg_roles  r ON (r.oid = m.roleid) 
    WHERE u.usename = 'my_user' 
    GROUP BY u.usename 
    ); 
END 
$$

的DO命令以及string_agg() aggregate function需要PostgreSQL 9.0或更高版本。

quote_ident()确保非标准标识符不会造成麻烦（包括SQL注入）。

有效执行如下命令：

REVOKE role_a, role_b, "FROM postgres; DELETE * FROM usr; --" FROM my_user;

，如果没有格兰特的发现不会做任何事情。
Note the tricky name in double quotes, but properly quoted by quote_ident().

BTW：这个撤销所有格兰特的 “组角色” 与否。这些都只是PostgreSQL的角色，有些具有LOGIN权限，有些则不具备（“组角色”）。 user和group之间的区别是历史。

来源

2012-11-28 16:12:04

谢谢Erwin的回答。 –

认为需要通过结果撤销rolname FROM USENAME查询所有角色

select usename, rolname 
from pg_user 
join pg_auth_members on (pg_user.usesysid=pg_auth_members.member) 
join pg_roles on (pg_roles.oid=pg_auth_members.roleid)

和LOOP;

来源

2012-11-28 15:58:57

如何撤销登录角色中的所有组角色

回答

相关问题