概述
一个角色聚合了多个权限和其他角色。合理设计和使用角色可以实现基于角色的访问控制。
在嬴图数据库中,角色也被称作策略。
显示角色
获取数据库中的所有角色:
SHOW ROLE
角色信息呈现在表格_policy中,包含以下字段:
字段 |
描述 |
|---|---|
name |
角色名称 |
graphPrivileges |
角色包含的图权限 |
systemPrivileges |
角色包含的系统权限 |
propertyPrivileges |
角色包含的属性权限 |
policies |
角色包含的其他角色 |
创建角色
使用语句CREATE ROLE在数据库中创建角色。
创建名为sales的角色:
CREATE ROLE sales
暂不支持为一个角色分配权限和角色。
重命名角色
使用语句ALTER ROLE重命名角色。
将角色sales重命名为manager:
ALTER ROLE sales RENAME TO manager
授予角色权限和角色
使用语句GRANT授予一个角色权限和角色。
系统权限
授予角色Tester系统权限SHOW_POLICY和ALTER_GRAPH:
GRANT ["SHOW_POLICY", "ALTER_GRAPH"] TO ROLE Tester
授予角色sales所有系统权限:
GRANT * TO ROLE sales
图权限
授予角色Tester对图amz的READ和UPDATE权限:
GRANT ["READ", "UPDATE"] ON amz TO ROLE Tester
授予角色sales对所有图的图权限:
GRANT * ON * TO ROLE sales
属性权限
授予角色Tester对当前图中点Person的name和age属性的READ和WRITE权限:
GRANT ['READ','WRITE'] ON NODE Person (name, age) TO ROLE Tester
授予角色sales对当前图中所有边属性的DENY权限:
GRANT ["DENY"] ON EDGE * * TO ROLE sales
角色
授予角色Tester一个manager角色:
GRANT ROLE manager TO ROLE Tester
撤销角色的权限和角色
使用语句REVOKE撤销一个角色的权限和角色。
系统权限
撤销角色Tester的系统权限SHOW_POLICY和ALTER_GRAPH:
REVOKE ["SHOW_POLICY", "ALTER_GRAPH"] FROM ROLE Tester
撤销角色sales的所有系统权限:
REVOKE * FROM ROLE sales
图权限
撤销角色Tester对图amz的READ和UPDATE权限:
REVOKE ["READ", "UPDATE"] ON amz FROM ROLE Tester
撤销角色sales对所有图的图权限:
REVOKE * ON * FROM ROLE sales
属性权限
撤销角色Tester对当前图中点Person的name和age属性的READ和WRITE权限:
REVOKE ['READ','WRITE'] ON NODE Person (name, age) FROM ROLE Tester
撤销角色sales对当前图中所有边属性的DENY权限:
REVOKE ["DENY"] ON EDGE * * FROM ROLE sales
角色
撤销角色Tester中的角色manager:
REVOKE ROLE manager FROM ROLE Tester
删除角色
使用语句DROP ROLE删除角色。
删除角色manager:
DROP ROLE manager