新建用户连不上数据库因未设密码或pg_hba.conf无匹配规则;需显式设密码并配置认证规则。grant connect仅允连接,还需grant usage on schema及表级权限才能访问数据。
CREATE USER 时为什么连不上数据库
新建用户后 psql -U newuser -d mydb 报 password authentication failed,大概率是没设密码,或没配 pg_hba.conf 规则。
PostgreSQL 默认不给新用户任何连接权限,也不自动启用密码认证。必须显式指定密码,并确保 pg_hba.conf 中有匹配的行(比如 host all all 0.0.0.0/0 md5),且 reload 配置(pg_ctl reload 或 SELECT pg_reload_conf())。
-
CREATE USER不带PASSWORD子句 → 用户无密码,无法通过md5或scram-sha-256认证 - 用
CREATE ROLE ... LOGIN PASSWORD 'xxx'更明确,USER是ROLE的语法糖 - 本地连接(
peer或trust)可能绕过密码,但生产环境不该依赖这个
GRANT CONNECT ON DATABASE 和 GRANT USAGE ON SCHEMA 的区别
用户能连上库,却执行 SELECT * FROM users 报 permission denied for table users,说明只给了库级连接权,没给模式和对象权限。
CONNECT 只允许建立连接;USAGE 在 SCHEMA 上才允许访问其下的表、视图等;真正读写还得单独 GRANT SELECT、INSERT 等。
- 缺
GRANT USAGE ON SCHEMA public TO myuser→ 即使表存在,也看不到它(\dt不显示) -
public模式不是默认可读的,新用户对它完全无权限,除非显式授权 - 想批量授权:先
GRANT USAGE ON SCHEMA public TO myrole,再GRANT SELECT ON ALL TABLES IN SCHEMA public TO myrole,并用ALTER DEFAULT PRIVILEGES覆盖后续新建表
如何避免 accidentally DROP OWNED BY 或 REASSIGN OWNED 的误操作
执行 DROP OWNED BY olduser 后,整个业务 schema 消失,因为该用户拥有函数、序列、表等——这是最常导致线上事故的权限操作之一。
该系统采用VS2005+SQL2000+Extjs2.0开发由于学extjs 一月不到 属初学者,项目有很多不足地方请见谅(注释不标准按自己想法随意注释了一下)数据库脚本:压缩包目录下.DB.sql便是该项目为双用户:管理员 与营业员 角色登陆显示不同信息数据库方面一小部分功能运用存储过程或者直接附加DB_51aspx下Sql数据库文件
这类命令不加确认、不可回滚,且会级联删除所有归属对象。别在生产库直接跑,尤其别用脚本批量处理未验证的用户名。
- 先查清归属:
SELECT * FROM pg_depend WHERE refobjid = 'olduser'::regrole;或更安全地用pg_dump --schema-only --no-owner看导出结构 -
REASSIGN OWNED BY olduser TO newuser比DROP OWNED温和,但依然要确保newuser已存在且有对应权限 - 运维账号应禁用
CREATEROLE和CREATEDB,普通应用账号只授最小数据权限,不授所有权
PostgreSQL 15+ 的 row level security 与角色权限怎么共存
开了 RLS 策略后,用户仍报 permission denied for table,不是策略没生效,而是根本没获得基础的 SELECT 权限——RLS 不替代 GRANT,它只在已有权限基础上做行级过滤。
必须先 GRANT SELECT ON accounts TO analyst,再在 accounts 表上 ENABLE ROW LEVEL SECURITY 并定义策略,否则策略压根不触发。
- 策略函数里用
CURRENT_ROLE或current_setting('app.user_id', true)获取上下文,别硬编码角色名 -
USING策略控制 SELECT/UPDATE/DELETE 可见行,WITH CHECK控制 INSERT/UPDATE 可写入行,二者逻辑不同,别混用 - 超级用户默认绕过 RLS,测试时要用普通角色连接,或临时
SET SESSION AUTHORIZATION
权限系统是分层的:连接 → 库 → 模式 → 表 → 行 → 列。漏掉任意一层,就会卡在“看不见”或“不能动”。最常被跳过的,是 USAGE ON SCHEMA 这一层。
