Postgresql 中文操作指南
Description
此命令将当前 SQL 会话的当前用户标识符设置为 role_name 。角色名称可以写为标识符或字符串文本。在 SET ROLE 之后,SQL 命令的权限检查将按照命名角色最初登录的方式执行。
当前会话用户必须具有指定 role_name 的 SET 选项,可以通过具有 SET 选项的成员资格链直接或间接地获取该选项。(如果会话用户是超级用户,则可以选择任何角色。)
SESSION 和 LOCAL 修饰符的作用与常规 SET 命令的作用相同。
SET ROLE NONE 将当前用户标识符设置为通过 session_user 返回的当前会话用户标识符。 RESET ROLE 将当前用户标识符设置为连接时设置中由 command-line options 、 ALTER ROLE 或 ALTER DATABASE (如果存在此类设置)指定的设置。否则, RESET ROLE 将当前用户标识符设置为当前会话用户标识符。任何用户都可以执行这些格式。
Notes
使用此命令可以添加权限或限制自己的权限。如果会话用户角色被授予了 WITH INHERIT TRUE 成员资格,则自动具有此类角色的所有权限。在这种情况下, SET ROLE 实际上会放弃除目标角色直接拥有或继承的所有权限。另一方面,如果会话用户角色被授予了 WITH INHERIT FALSE 成员资格,则默认情况下无法访问已授予角色的权限。但是,如果角色被授予 WITH SET TRUE ,会话用户可以使用 SET ROLE 放弃直接分配给会话用户的权限,并改为获得命名角色可用的权限。如果角色被授予 WITH INHERIT FALSE, SET FALSE ,则无论是否使用 SET ROLE ,都无法行使该角色的权限。
请注意,当超级用户选择 SET ROLE 为非超级用户角色时,他们将失去其超级用户权限。
SET ROLE 具有与 SET SESSION AUTHORIZATION 相当的效果,但涉及的权限检查差别很大。此外, SET SESSION AUTHORIZATION 确定哪些角色允许用于后面的 SET ROLE 命令,而使用 SET ROLE 更改角色不会更改允许用于后面的 SET ROLE 的角色集。
SET ROLE 不根据角色的 ALTER ROLE 所设置的会话变量来处理会话变量;这仅在登录期间发生。
SET ROLE 无法用于 SECURITY DEFINER 函数内。
Examples
SELECT SESSION_USER, CURRENT_USER;
session_user | current_user
--------------+--------------
peter | peter
SET ROLE 'paul';
SELECT SESSION_USER, CURRENT_USER;
session_user | current_user
--------------+--------------
peter | paul
Compatibility
PostgreSQL 允许标识符语法 ( "_rolename “ ), while the SQL standard requires the role name to be written as a string literal. SQL does not allow this command during a transaction; PostgreSQL does not make this restriction because there is no reason to. The _SESSION 和 LOCAL 修饰符是 PostgreSQL 扩展, RESET 语法也是如此。