为什么新用户可以从任何表中进行选择？

^{还解决了评论中的问题。}

角色public

根据文档：

关键字PUBLIC表示权限将授予所有角色，包括以后可能创建的角色。PUBLIC 可以将其视为始终包含所有角色的隐含定义的组。

大胆强调我的。会员资格public不能被撤销（或授予）。您只能从 撤销权限public。在您的情况下，要阻止所有没有明确权限的角色，例如@Robert 已经提供：

REVOKE ALL ON DATABASE testdb FROM PUBLIC;

角色postgres

默认情况下，数据库角色postgres是 a superuser。你可以把它拿走postgres——但那是不明智的：每个人（包括一些客户端程序）都希望postgres成为超级用户。您还可以创建更多超级用户（小心！）。超级用户不需要特权。手册再次：

应该注意的是，数据库超级用户可以访问所有对象，而不管对象权限设置如何。这相当于 Unix 系统中的 root 权限。与 root 一样，除非绝对必要，否则以超级用户身份操作是不明智的。

至于你的问题：

\l如果或显示空的访问权限是真的吗\dn+，那是一样的postgres=UC/postgres, =UC/postgres

不完全是。

• 权限由所有者或超级用户（或被授予权限的角色）授予。postgres=UC/postgres将意味着postgres授予它，这对于空权限是不准确的，但在默认安装中效果是相同的。

• 但是，默认情况下，不会public获得新架构的权限，并且只有CONNECT和TEMP（可以创建临时表）数据库权限，而不是CREATE权限（无法创建架构）。这就像=UT/??根据可能的特权列表 -再次手册：

        r -- SELECT ("read")
        w -- UPDATE ("write")
        a -- INSERT ("append")
        d -- DELETE
        D -- TRUNCATE
        x -- REFERENCES
        t -- TRIGGER
        X -- EXECUTE
        U -- USAGE
        C -- CREATE
        c -- CONNECT
        T -- TEMPORARY
  arwdDxt -- ALL PRIVILEGES (for tables, varies for other objects)
        * -- grant option for preceding privilege

您可以更改默认权限。我在评论中提到的相关答案中写了更多关于此的内容：

• 授予 PostgreSQL 中特定数据库的权限

但这些默认权限仅适用于更改默认值后创建的对象。那么空的 ACL 条目是什么意思呢？系统目录上的手册pg_default_acl：

请注意，当另一个目录中的 ACL 条目为空时，它表示其对象的硬连线默认权限，而不是此时 pg_default_acl 中可能存在的任何权限。

大胆强调我的。

要解决为什么 test 可以SELECT从没有 a 的表中的问题GRANT，这是因为您没有显式运行REVOKE从 连接到数据库的能力PUBLIC，然后显式GRANT为您的test用户运行：

REVOKE connect ON DATABASE testdb FROM PUBLIC;
GRANT connect ON DATABASE testdb TO test;

完成后，您将REVOKE SELECT为该数据库中的用户提供您希望阻止用户访问的表和其他项目，然后显式访问GRANT SELECT视图。

请注意，此处的用户也可以是角色，然后可以添加多个用户。