admin

有没有办法禁用更新/删除但仍然允许触发器执行它们?

sql

基本上,我希望能够使用REVOKE命令来禁用UPDATE和DELETE,但我仍然希望表上的触发器更新我的行。

我的触发器对新插入的行执行,并更新特定字段。所以,我还是希望这种行为,但不会与它们被禁用REVOKE或用RULE。(我看到了一个 SO 帖子)

有没有办法继续使用UPDATE/INSERT命令TRIGGERS但禁用其余命令?


阅读 251

收藏
2021-06-07

共1个答案

admin

是的,这是可能的。

触发器以触发器函数的权限运行,默认为SECURITY INVOKERwhich 意味着,触发器函数以 的权限有效执行current_user,在您的情况下是插入行的权限。

如果当前用户没有您的触发器函数操作的表所需的权限,您在基础表中的原始操作将出错。

但是,您可以使用SECURITY DEFINER触发器函数来让该函数以该函数的权限运行OWNER。

如果你有一个拥有触发器功能的超级用户,它可以做任何事情——这可能是一个安全隐患。请考虑手册中有关安全编写SECURITY DEFINER函数的说明。

但更明智的做法OWNER是使用触发器函数的必要权限创建一个普通角色。您甚至可以在没有登录的情况下创建一个“守护进程”角色,充当此类操作的特权包。然后,您将仅授予此守护程序角色所需的权限(在模式、表、序列上……)。对于更复杂的设计,您应该在“组角色”中捆绑特权(同样,没有登录)并将这些组角色授予需要它的角色(在本例中为守护程序角色),有效地使他们成为“组的成员”。我经常这样做。

2021-06-07