Oracle中已定义者身份执行函数AUTHID DEFINER与Postgresql行为的异同

Oracle行为

Oracle中函数可以定义执行函数体时，使用哪个用户的权限：

［AUTHID { CURRENT_USER|DEFINER}]

CURRENT_USER已当前用户身份执行函数体
DEFINER已定义者的身份执行函数体
1
2
3
4

CASE1：例如下面函数会使用当前用户执行函数体，如果当前用户对tbl1读权限就可以成功执行。

CREATE OR REPLACE PROCEDURE TEST_P AUTHID CURRENT_USER IS
BEGIN
    EXECUTE IMMEDIATE 'select * from tbl1';
END TEST_P;
1
2
3
4

CASE2：下面函数会使用定义函数的用户执行函数体，如果定义函数的用户对tbl1读权限就可以成功执行。

CREATE OR REPLACE PROCEDURE TEST_P AUTHID DEFINER IS
BEGIN
    EXECUTE IMMEDIATE 'select * from tbl1';
END TEST_P;
1
2
3
4

PG 行为

PG中执行函数永远是使用当前用户的权限来执行的，类似Oracle中AUTHID CURRENT_USER的概念。

例如user1创建表

drop table u1tbl;
create table u1tbl(i int);
insert into u1tbl values (123);
1
2
3

user2无权限查询

postgres=> select * from u1tbl;
ERROR:  permission denied for table u1tbl
1
2

user1创建函数

drop function f1();
CREATE OR REPLACE FUNCTION f1() RETURNS int AS $$
DECLARE
	id int;
BEGIN
	select i into id from u1tbl;
	return id;
END;
$$ LANGUAGE plpgsql;
1
2
3
4
5
6
7
8
9

user2执行函数

postgres=> select f1();
ERROR:  permission denied for table u1tbl
CONTEXT:  SQL statement "select i         from u1tbl"
PL/pgSQL function f1() line 5 at SQL statement
1
2
3
4

可见PG中并没有提供已定义者身份执行的这种方式。