REVOKE

Name

REVOKE -- 删除访问权限

Synopsis

REVOKE [ GRANT OPTION FOR ]
    { { SELECT | INSERT | UPDATE | DELETE | RULE | REFERENCES | TRIGGER }
    [,...] | ALL [ PRIVILEGES ] }
    ON [ TABLE ] tablename [, ...]
    FROM { username | GROUP groupname | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { { CREATE | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
    ON DATABASE dbname [, ...]
    FROM { username | GROUP groupname | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { EXECUTE | ALL [ PRIVILEGES ] }
    ON FUNCTION funcname ([type, ...]) [, ...]
    FROM { username | GROUP groupname | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { USAGE | ALL [ PRIVILEGES ] }
    ON LANGUAGE langname [, ...]
    FROM { username | GROUP groupname | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
    ON SCHEMA schemaname [, ...]
    FROM { username | GROUP groupname | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

REVOKE [ GRANT OPTION FOR ]
    { CREATE | ALL [ PRIVILEGES ] }
    ON TABLESPACE tablespacename [, ...]
    FROM { username | GROUP groupname | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

描述

REVOKE 撤销以前赋予(别人)的权限,可以是撤销一个或多个用户或者一组用户的权限。 关键字 PUBLIC 代表隐含定义的拥有所有用户的组。

请注意,任何特定的用户都将拥有直接赋予他/她的权限,加上他/她所处的任何组, 以及再加上赋予 PUBLIC 的权限的总和。因此,举例来说,废止 PUBLICSELECT 权限并不意味着所有用户都失去了对该对象的 SELECT 权限: 那些直接得到权限赋予的以及通过一个组得到权限的人仍然拥有该权限。

参阅 GRANT 命令的描述获取权限类型的含义。

如果声明了 GRANT OPTION FOR,那么只是撤销对该权限的授权的权力,而不是撤销该权限本身。 否则,权限和授权选项都被撤销。

如果一个用户持有某项权限,并且还有授权的选项,并且还把这个权限赋予了其他用户, 那么那些其他用户持有的权限都叫做依赖性权限。 如果第一个用户持有的权限或者授权选项被撤销,而依赖性权限仍然存在, 那么如果我们声明了 CASCADE,则所有依赖性权限都被撤销, 否则撤销动作就会失败。这个递规的撤销只影响那种通过一个用户链赋予的权限, 这个链条可以通过这条 REVOKE 命令里面给出的用户追踪。 因此,如果权限本身是通过其他用户赋予的, 那么被影响的用户可以有效地保留这个权限。

注意

使用 psql\z 命令显示在一个现存对象上赋予的权限。 又见 GRANT 获取关于格式的信息。

一个用户只能撤销由它自己直接赋予的权限。举例来说,如果用户 A 带着授权选项吧一个权限赋予了用户 B,然后用户 B 又赋予了用户 C, 那么用户 A 不能直接将 C 的权限撤销。但是,用户 A 可以撤销用户 B 的授权选项,并且使用 CASCADE 选项,这样, 用户 C 的权限就会自动被撤销。 另外一个例子:如果 A 和 B 都赋予了 C 的同样的权限, 则 A 可以撤销他自己的授权选项,但是不能撤销 B 的,因此 C 仍然有效地拥有该权限。

如果一个对象的非所有者试图 REVOKE 对象上的权限, 那么,如果这个用户没有该对象上的权限,则命令马上失败。 只要他有某些权限,则命令继续,但是它只撤销那些该用户有授权选项的权限。 如果没有在握的授权选项,那么 REVOKE ALL PRIVILEGES 形式将发出一个错误信息, 而对于其它形式的命令而言,如果同样是命令中指定名字的权限没有在握的授权选项,那么该命令将发出一个警告。 (原则上这些语句也适用于对象所有者,但是因为所有者总是认为持有所有授权选项, 所以这种情况绝不会发生。

如果一个超级用户发出一个 GRANT 或者 REVOKE 命令, 那么命令是按照以被影响的对象的所有者执行的方式执行的。因为所有权限最终从对象所有者(可能间接通过赋权选项获取), 超级用户可以废除所有权限,但是这样就要求像上面说的那样使用 CASCADE

例子

撤销公众在表 films 上的插入权限:

REVOKE INSERT ON films FROM PUBLIC;

废除用户 manuel 对视图 kinds 的所有权限:

REVOKE ALL PRIVILEGES ON kinds FROM manuel;

请注意这样实际上意味着"撤销所有我赋予的权限"

兼容性

GRANT 命令的兼容性信息基本上也适用于 REVOKE。语法概要是:

REVOKE [ GRANT OPTION FOR ] privileges
    ON object [ ( column [, ...] ) ]
    FROM { PUBLIC | username [, ...] }
    { RESTRICT | CASCADE }

标准要求 RESTRICT 或者 CASCADE 之一必须出现, 但是 PostgreSQL 假设缺省是 RESTRICT

又见

GRANT