### Différence entre ROLE et USER

📌 USER = ROLE avec LOGIN
- Dans PostgreSQL, un utilisateur est en réalité un rôle avec la permission LOGIN.

```sql
CREATE ROLE monrole; -- Juste un rôle
CREATE USER monutilisateur WITH PASSWORD 'secret'; -- Rôle avec LOGIN
```

- ✅ Un rôle sans LOGIN ne peut pas se connecter.
- ✅ Un utilisateur est juste un rôle avec l'option ```LOGIN```.

### Création et gestion des utilisateurs

- Créer un utilisateur avec un mot de passe

```sql
CREATE USER alice WITH PASSWORD 'motdepasse';
```

- Attribuer un rôle à un utilisateur

```sql
GRANT monrole TO alice;
```

- 📌 Avec cette commande, ```alice``` n’a pas encore directement les permissions, elle doit exécuter :

```sql
SET ROLE monrole;
```

- ⚠️ Pour qu’elle ait les droits automatiquement, il faut mettre INHERIT :

```sql
ALTER ROLE monrole WITH INHERIT;
```

### Accorder l’accès à une base de données

- Par défaut, un utilisateur n’a aucun droit sur une base, sauf s’il est superadmin.

```sql
GRANT CONNECT ON DATABASE mabasedb TO alice;
```

- 🚨 ⚠️ CONNECT seul ne suffit pas !  
Un utilisateur doit aussi avoir des droits sur le schéma et les tables.

### Accorder l’accès à un schéma

```sql
GRANT USAGE ON SCHEMA public TO alice;
```

- ✅ USAGE = Peut voir le schéma mais pas les tables.

### Donner accès à une table

```sql
GRANT SELECT, INSERT, UPDATE, DELETE ON TABLE produits TO alice;
```

- ✅ SELECT = Lire
- ✅ INSERT = Ajouter
- ✅ UPDATE = Modifier
- ✅ DELETE = Supprimer

### Donner accès uniquement à certaines colonnes

```sql
GRANT SELECT (nom, prix) ON produits TO alice;
```

### Empêcher la modification d’une table

- On veut qu’un utilisateur puisse lire mais pas modifier :

```sql
GRANT SELECT ON produits TO bob;
REVOKE INSERT, UPDATE, DELETE ON produits FROM bob;
```

### Donner un accès TEMPORAIRE

```sql
GRANT SELECT ON produits TO charlie WITH GRANT OPTION;
```

### Éviter les risques avec PUBLIC

⚠️ Par défaut, tous les nouveaux utilisateurs ont accès au schéma public.

```sql
REVOKE ALL ON SCHEMA public FROM PUBLIC;
```

- rôle en lecture seule pour plusieurs utilisateurs :

```sql
CREATE ROLE readonly;
GRANT CONNECT ON DATABASE mabasedb TO readonly;
GRANT USAGE ON SCHEMA public TO readonly;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly;
ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT ON TABLES TO readonly;
```

- Attibution du rôle à un l'utilisateur

```sql
GRANT readonly TO alice;
```

### Vérifier les permissions

```sql
SELECT * FROM information_schema.role_table_grants WHERE grantee = 'alice';
```