四、数据库角色

    角色是一个强大的工具，使您得以将用户集中到一个单元中，然后对该单元应用权限。对一个角色授予、拒绝或废除的权限也适用于该角色的任何成员。可以建立一个角色来代表单位中一类工作人员所执行的工作，然后给这个角色授予适当的权限。当工作人员开始工作时，只须将他们添加为该角色成员，当他们离开工作时，将他们从该角色中删除。而不必在每个人接受或离开工作时，反复授予、拒绝和废除其权限。权限在用户成为角色成员时自动生效。

　　数据库角色从概念上与操作系统用户是完全无关的。在实际使用中把它们对应起来可能比较方便，但不是必须的。 数据库角色在整个数据库集群中是全局的（而不是每个库不同）。

　　1. 要创建一个角色，使用 SQL 命令 CREATE ROLE：

　　CREATE ROLE name;

　　name 遵循 SQL 标识的规则： 要么完全没有特殊字符，要么用双引号包围（实际上你通常会给命令增加额外的选项，比如 LOGIN）。 要删除一个现有角色，使用类似的命令 DROP ROLE：

　　DROP ROLE name;

　　为了方便，程序 createuser 和 dropuser 提供了对了这些 SQL 命令的封装。 我们可以在 shell 命令上直接调用它们：

　　createuser name dropuser name

　　要判断一套现有用户，检查 pg_role 系统表，比如

　　SELECT usename FROM pg_role;

　　psql 的元命令 du 也可以用于列出现有角色。

　　为了能初创数据库系统，新建立的数据库总是包含一个预定义的角色。 这个角色将总是"超级用户"，并且缺省时（除非在运行 initdb 时更改过）他将和初始化该数据库集群的用户有相同的名称。通常，这个角色叫postgres。 为了创建更多角色，你必须首先以这个初始用户角色联接。

　　每一个和数据库的连接都必须由一个角色身份进行，这个角色决定在该连接上发出的命令的初始权限。 和特定数据库联接的角色名是由初始化联接请求的应用以相关的方式声明的， 比如，psql 程序使用-U命令行选项声明它代表的进行联接的角色。许多应用以当前操作系统的用户名为缺省（这样的应用包括 createuser 和 psql）。 所以，在系统用户和数据库角色之间有某种命名关系会让我们工作方便很多。

　　一个客户端联接可以用来联接的数据库角色集合是由客户认证设置决定的， 在 Chapter 20 里面有解释。 （因此，一个客户端并不局限于以它的操作系统用户同名的角色进行联接， 就象你登录系统的名称不一定要是你的真实姓名一样。） 因为角色的身份决定了一个已连接地客户端可用的权限， 所以在多用户环境里仔细配置这些内容是非常重要的。