PostgreSQL 创建只读账户

一、创建用户

CREATE USER readonly WITH PASSWORD 'readonly';

二、授予只读权限

你可以对一个数据库下的所有表授予只读权限。下面是授予权限的通用步骤：

1. 授予连接权限

GRANT CONNECT ON DATABASE mydb TO readonly;

2. 授予 schema 的使用权限

GRANT USAGE ON SCHEMA public TO readonly;

如果你使用的是其他 schema，请替换 public

3. 授予所有已有表的 SELECT 权限

GRANT SELECT ON ALL TABLES IN SCHEMA public TO readonly;

4. 授予未来表的 SELECT 权限（防止以后新增的表无法访问）

ALTER DEFAULT PRIVILEGES IN SCHEMA public
GRANT SELECT ON TABLES TO readonly;

三、禁止写操作

虽然只授予了 SELECT 权限，但你可能仍想防止用户误操作，比如创建表、更新表结构，可以拒绝这些权限：

-- 禁止创建表等 DDL 操作
REVOKE CREATE ON SCHEMA public FROM readonly;

四、验证权限

以该用户连接数据库后执行以下命令测试权限：

-- 测试查询（应该成功）
SELECT * FROM some_table;

-- 测试写入（应该失败）
INSERT INTO some_table (col) VALUES ('test');