CREATE VIEW view1 AS select * from something()
并且,鉴于此权限:
REVOKE ALL ON FUNCTION something FROM user1 REVOKE SELECT ON view1 FROM user1
当我运行SELECT * FROM view1时,我得到一个错误的权限拒绝函数something().
我的问题是,如果我撤销视图的选择权限,为什么要调用该函数?我期待得到类似的东西:
permission denied for relation view1
谢谢!
在简历中,对于Postgresql:
1-正在访问表的视图将覆盖表权限
2-视图访问功能,需要在检查之前评估所有功能 – 因此必须在访问视图之前执行这些功能,即使视图没有选择权限……
我们怎么能证明这一点?
在postgresql中,即使用户没有此权限,视图也能为您提供在表中执行选择的权限.
例如:
create view view2 as select * from table1; revoke all on table1 from user1; grant select on view2 to user1;
select * from table1 (permission denied) select * from view2 (sucess - the query executes)
在这种情况下,即使没有选择表的权限,用户也可以选择view2.
但是如果我们用函数做同样的事情呢?行为是不一样的.让我们创建一个在返回1之前等待5秒的函数(所以我们可以调试,如果postgresql每次调用视图时都运行该函数)
CREATE OR REPLACE FUNCTION something() RETURNS integer AS 'select 1 from pg_sleep(5);' LANGUAGE sql IMMUTABLE RETURNS NULL ON NULL INPUT; --this function will delay 5 seconds create view view1 as select * from something(); revoke all on function something() from user1; grant select on view1 to user1;
select * from something(); (permission denied for something) select * from view1 (permission denied for something )
在视图上执行选择的权限不会覆盖功能权限,如果我们从view1撤消权限,则更糟糕的是,该消息仍然显示postgresql由于该功能而停止了我们的查询,无论视图的权限是什么. (这正是问题中发生的事情)
但是这个功能真的先被检查了吗?如果我们给该函数赋予’all’权限,但撤销视图权限…
grant all on function something to user1; revoke all on view1 from user1; select * from view1; Delayed 5 seconds... (the function executed!) Permission denied for select on view1
正如你看到postgresql WAITED 5 SECONDS之前说我们没有输出视图的权限,表明执行了“something()”函数.因此在检查视图之前必须存在函数数据返回.
所以现在通过这些测试,我们现在知道Postgresql需要在继续我们的查询之前首先评估所有函数,就像查询在所有涉及的函数完全完成之前仍然不存在,所以视图不能解决为postgresql到知道我们是否有权选择它.
我认为这可以用“权限顺序”的方式回答你的问题,但是为什么postgresql需要在继续之前评估所有的功能,那就是另一个问题……
