-- PostgreSQL: создание пользователя
CREATE USER analyst WITH PASSWORD 'secure_password';

-- MySQL
CREATE USER 'analyst'@'localhost' IDENTIFIED BY 'secure_password';

-- SQL Server
CREATE USER analyst FOR LOGIN analyst_login;

-- PostgreSQL: создание роли
CREATE ROLE read_only;
CREATE ROLE read_write;
CREATE ROLE admin;

-- Назначение прав роли
GRANT SELECT ON ALL TABLES TO read_only;
GRANT INSERT, UPDATE, DELETE ON ALL TABLES TO read_write;
GRANT ALL PRIVILEGES ON ALL TABLES TO admin;

-- Назначение роли пользователю
GRANT read_only TO analyst;

-- Дать право на чтение таблицы users
GRANT SELECT ON users TO analyst;

-- Дать права на чтение и вставку
GRANT SELECT, INSERT ON orders TO analyst;

-- Дать все права на таблицу
GRANT ALL PRIVILEGES ON users TO admin;

-- Дать права на все таблицы в схеме
GRANT SELECT ON ALL TABLES IN SCHEMA public TO analyst;

-- PostgreSQL: дать права на будущие таблицы
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO analyst;

-- Администратор дает право, и администратор может передать его дальше
GRANT SELECT ON users TO team_lead WITH GRANT OPTION;

-- Теперь team_lead может дать SELECT другим
GRANT SELECT ON users TO junior_analyst;

-- Право использовать схему
GRANT USAGE ON SCHEMA sales TO analyst;

-- Право создавать объекты в схеме
GRANT CREATE ON SCHEMA sales TO developer;

-- Право выполнять функцию
GRANT EXECUTE ON FUNCTION calculate_discount(INT, DECIMAL) TO analyst;

-- Право использовать последовательность
GRANT USAGE ON SEQUENCE users_id_seq TO app_user;

-- Право подключаться к базе данных
GRANT CONNECT ON DATABASE myapp TO analyst;

-- Право создавать объекты в базе данных
GRANT CREATE ON DATABASE myapp TO developer;

-- Забрать право на чтение
REVOKE SELECT ON users FROM analyst;

-- Забрать несколько прав
REVOKE SELECT, INSERT ON orders FROM analyst;

-- Забрать все права
REVOKE ALL PRIVILEGES ON users FROM analyst;

-- Отозвать право у team_lead и у всех, кому он его передал
REVOKE SELECT ON users FROM team_lead CASCADE;

-- Ошибка, если team_lead уже передал права другим
REVOKE SELECT ON users FROM team_lead RESTRICT;

-- Создание ролей
CREATE ROLE read_only;
CREATE ROLE read_write;
CREATE ROLE data_engineer;

-- Назначение прав ролям
GRANT SELECT ON ALL TABLES TO read_only;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES TO read_write;
GRANT CREATE, ALTER, DROP ON SCHEMA public TO data_engineer;

-- Назначение ролей пользователям
GRANT read_only TO analyst;
GRANT read_write TO data_analyst;

-- Назначение роли другой роли (иерархия)
GRANT read_only TO read_write;  -- read_write теперь включает read_only

-- PostgreSQL: дать право на чтение всех данных
GRANT pg_read_all_data TO analyst;

-- SQL Server: дать роль
EXEC sp_addrolemember 'db_datareader', 'analyst';

-- PostgreSQL: право создавать базы данных
GRANT CREATEDB TO admin;

-- Право создавать роли
GRANT CREATEROLE TO admin;

-- Право подключаться к базе данных
GRANT CONNECT ON DATABASE myapp TO analyst;

-- Право создавать объекты в базе данных
GRANT CREATE ON DATABASE myapp TO developer;

-- Право использовать схему
GRANT USAGE ON SCHEMA sales TO analyst;

-- Право создавать объекты в схеме
GRANT CREATE ON SCHEMA sales TO developer;

-- Права на таблицу
GRANT SELECT, INSERT ON users TO analyst;

-- PostgreSQL: право только на определенные колонки
GRANT SELECT (id, name, email) ON users TO analyst;
GRANT UPDATE (status) ON users TO manager;

-- Включение RLS для таблицы
ALTER TABLE users ENABLE ROW LEVEL SECURITY;

-- Политика: пользователь видит только свои данные
CREATE POLICY user_policy ON users
    USING (user_id = current_user_id());

-- Политика: менеджер видит данные своего отдела
CREATE POLICY manager_policy ON employees
    USING (department_id IN (SELECT department_id FROM managers WHERE manager_id = current_user_id()));

-- Политика для вставки
CREATE POLICY insert_policy ON orders
    FOR INSERT
    WITH CHECK (customer_id = current_user_id());

-- Таблица с данными пользователей
CREATE TABLE user_data (
    user_id INT,
    data TEXT
);

-- Включение RLS
ALTER TABLE user_data ENABLE ROW LEVEL SECURITY;

-- Политика: пользователь видит только свои строки
CREATE POLICY user_isolation ON user_data
    USING (user_id = current_setting('myapp.user_id')::INT);

-- Пользователь с user_id=123 видит только свои данные
SET myapp.user_id = '123';
SELECT * FROM user_data;  -- только строки с user_id=123

-- Создание пользователя
CREATE USER analyst WITH PASSWORD 'analyst_pass';

-- Создание роли для аналитиков
CREATE ROLE analyst_role;

-- Права: чтение всех таблиц в public
GRANT SELECT ON ALL TABLES IN SCHEMA public TO analyst_role;

-- Права: чтение всех будущих таблиц
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO analyst_role;

-- Право подключаться к базе данных
GRANT CONNECT ON DATABASE myapp TO analyst_role;

-- Назначение роли пользователю
GRANT analyst_role TO analyst;

-- Создание пользователя
CREATE USER developer WITH PASSWORD 'dev_pass';

-- Создание роли
CREATE ROLE developer_role;

-- Права: все на таблицы в схеме dev
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA dev TO developer_role;

-- Права: создание таблиц
GRANT CREATE ON SCHEMA dev TO developer_role;

-- Права: выполнение функций
GRANT EXECUTE ON ALL FUNCTIONS IN SCHEMA dev TO developer_role;

-- Назначение
GRANT developer_role TO developer;

-- Приложение только пишет в таблицу logs
CREATE USER app_user WITH PASSWORD 'app_pass';

GRANT INSERT ON logs TO app_user;

-- Приложение читает справочники, но не может их менять
GRANT SELECT ON products, categories TO app_user;

-- Приложение не имеет доступа к пользовательским данным
-- (нет прав на таблицу users)

-- PostgreSQL: кто имеет права на таблицу?
SELECT grantee, privilege_type 
FROM information_schema.table_privileges 
WHERE table_name = 'users';

-- MySQL: права пользователя
SHOW GRANTS FOR 'analyst'@'localhost';

-- PostgreSQL: права текущего пользователя
SELECT * FROM aclexplode('SELECT'::regclass);

-- Владелец объекта: все права
-- PUBLIC (все пользователи): ничего (кроме CONNECT на базу)

-- Настройка привилегий для будущих объектов
ALTER DEFAULT PRIVILEGES IN SCHEMA public 
    GRANT SELECT ON TABLES TO analyst;

ALTER DEFAULT PRIVILEGES IN SCHEMA public 
    GRANT INSERT, UPDATE, DELETE ON TABLES TO app_role;

-- Права пользователя на таблицы
SELECT table_name, grantee, privilege_type
FROM information_schema.table_privileges
WHERE grantee = 'analyst';

-- Права роли
SELECT * FROM pg_roles;

-- Все права текущего пользователя
SELECT * FROM aclexplode('SELECT'::regclass);

-- Права пользователя
SHOW GRANTS FOR 'analyst'@'localhost';

-- Текущий пользователь
SHOW GRANTS;

-- Права пользователя
SELECT * FROM sys.fn_my_permissions('users', 'OBJECT');

-- Роли пользователя
EXEC sp_helprolemember;

-- Плохо: дать все права
GRANT ALL PRIVILEGES ON ALL TABLES TO analyst;

-- Хорошо: только чтение
GRANT SELECT ON ALL TABLES IN SCHEMA public TO analyst;

-- Плохо: давать права напрямую каждому пользователю
GRANT SELECT ON users TO analyst1;
GRANT SELECT ON users TO analyst2;
GRANT SELECT ON users TO analyst3;

-- Хорошо: создать роль и дать права роли
CREATE ROLE analysts;
GRANT SELECT ON users TO analysts;
GRANT analysts TO analyst1, analyst2, analyst3;

-- Данные для аналитики в одной схеме, операционные данные в другой
CREATE SCHEMA reporting;
CREATE SCHEMA operational;

GRANT SELECT ON ALL TABLES IN SCHEMA reporting TO analysts;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA operational TO app;

-- Аналитик не должен видеть пароли
GRANT SELECT (id, name, email, created_at) ON users TO analyst;
-- Нет права на колонку password_hash

-- Проверять, у кого есть неоправданно широкие права
SELECT grantee, privilege_type 
FROM information_schema.table_privileges 
WHERE privilege_type = 'ALL';

-- Очень опасно
GRANT ALL PRIVILEGES ON ALL TABLES TO public;

-- Дали права на существующие таблицы
GRANT SELECT ON ALL TABLES IN SCHEMA public TO analyst;

-- Но новые таблицы создаются без прав для analyst
CREATE TABLE new_table (id INT);

ALTER DEFAULT PRIVILEGES IN SCHEMA public 
    GRANT SELECT ON TABLES TO analyst;

-- Аналитику не нужны INSERT, UPDATE, DELETE
GRANT SELECT, INSERT, UPDATE, DELETE ON users TO analyst;

-- Дает права на ВСЕ таблицы во всех схемах
GRANT SELECT ON DATABASE myapp TO analyst;

GRANT SELECT ON ALL TABLES IN SCHEMA public TO analyst;

REVOKE ALL PRIVILEGES ON ALL TABLES IN SCHEMA public FROM former_employee;
-- или
ALTER USER former_employee WITH NOLOGIN;