• 新版网站前后台即将上线,2019年将致力于提高文章质量,加大原创力度,打造一个更加舒适的阅读体验!
  • 极客文库小编@勤劳的小蚂蚁,为您推荐每日资讯,欢迎关注!
  • 新版网站前后台即将上线,2019年将致力于提高文章质量,加大原创力度,打造一个更加舒适的阅读体验!
  • 如果有任何体验不佳的地方,欢迎向客服反馈!

一文详解MySQL权限

MySQL 权限级别介绍

  • MySQL权限级别
  • 全局性的管理权限,作用于整个MySQL实例级别
  • 数据库级别的权限,作用于某个指定的数据库上或者所有的数据库上
  • 数据库对象级别的权限,作用于指定的数据库对象上(表、视图等)或 者所有的数据库对象上
  • 权限存储在 mysql 库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中

MySQL权限级别介绍

对比 root 用户在几个权限系统表中的数据 
mysql> select * from user where user=‘root’ and host=‘localhost’; ##都是’Y’
mysql> select * from db where user=‘root’ and host=‘localhost’; ##无记录
mysql> select * from tables_priv where host=‘localhost’ and user=‘root’; ##无记录
mysql> select * from columns_priv where user=‘root’ and host=‘localhost’; ##无记录
mysql> select * from procs_priv where user=‘root’ and host=‘localhost’;
MySQL权限详解(1)
  • All/All Privileges 权限代表全局或者全数据库对象级别的所有权限
  • Alter 权限代表允许修改表结构的权限,但必须要求有 create 和 insert 权 限配合。如果是 rename 表名,则要求有 alter 和 drop 原表,create 和 insert 新表的权限
  • Alter routine 权限代表允许修改或者删除存储过程、函数的权限
  • Create 权限代表允许创建新的数据库和表的权限
  • Createroutine 权限代表允许创建存储过程、函数的权限
  • Createtablespace 权限代表允许创建、修改、删除表空间和日志组的权 限
  • Create temporary tables 权限代表允许创建临时表的权限
  • Createuser 权限代表允许创建、修改、删除、重命名 user 的权限
  • Createview 权限代表允许创建视图的权限

MySQL 权限详解(2)

• Delete 权限代表允许删除行数据的权限
• Drop 权限代表允许删除数据库、表、视图的权限,包括 truncatetable 命令
• Event 权限代表允许查询,创建,修改,删除MySQL事件
• Execute 权限代表允许执行存储过程和函数的权限
• File 权限代表允许在 MySQL 可以访问的目录进行读写磁盘文件操作,可使用 的命令包括 load data infile,select … into outfile,load file()函数
• Grant option 权限代表是否允许此用户授权或者收回给其他用户你给予的权 限
• Index 权限代表是否允许创建和删除索引
• Insert 权限代表是否允许在表里插入数据,同时在执行 analyze table,optimize table,repair table 语句的时候也需要 insert 权限
• Lock 权限代表允许对拥有 select 权限的表进行锁定,以防止其他链接对此表 的读或写

MySQL 权限详解(3)

• Process 权限代表允许查看 MySQL 中的进程信息,比如执行 showprocesslist,
• Reference 权限是在 5.7.6 版本之后引入,代表是否允许创建外键
• Reload 权限代表允许执行 flush 命令,指明重新加载权限表到系统内存中, refresh 命令代表关闭和重新开启日志文件并刷新所有的表
• Replication client 权限代表允许执行 show master status,show slave status,show binary logs 命令
• Replication slave 权限代表允许 slave 主机通过此用户连接 master 以便建立主从 复制关系
• Select 权限代表允许从表中查看数据,某些不查询表数据的 select 执行则不需 要此权限,如 Select 1+1,Select PI()+2;而且 select 权限在执行 update/delete 语句中含有 where 条件的情况下也是需要的
• Showdatabases 权限代表通过执行 showdatabases 命令查看所有的数据库名
• Show view 权限代表通过执行 show create view 命令查看视图创建的语句 mysqladmin processlist, show engine 等命令

MySQL 权限详解(4)

• Shutdown 权限代表允许关闭数据库实例,执行语句包括 mysqladmin shutdown
• Super 权限代表允许执行一系列数据库管理命令,包括 kill 强制关闭某个连接 命令,change master to 创建复制关系命令,以及 create/alter/drop server 等命 令
• Trigger 权限代表允许创建,删除,执行,显示触发器的权限
• Update 权限代表允许修改表中的数据的权限
• Usage 权限是创建一个用户之后的默认权限,其本身代表连接登录权限

系统权限表

• 权限存储在 mysql 库的 user,db, tables_priv, columns_priv, and procs_priv 这几个系统表中,待 MySQL 实例启动后就加载到内存中
• User 表:存放用户账户信息以及全局级别(所有数据库)权限,决定了 来自哪些主机的哪些用户可以访问数据库实例,如果有全局权限则意味
着对所有数据库都有此权限
• Db 表:存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访 问此数据库
• Tables_priv 表:存放表级别的权限,决定了来自哪些主机的哪些用户可以 访问数据库的这个表
• Columns_priv 表:存放列级别的权限,决定了来自哪些主机的哪些用户可 以访问数据库表的这个字段
• Procs_priv 表:存放存储过程和函数级别的权限
• User 和 db 权限表结构
• User 权限表结构中的特殊字段
• Plugin,password,authentication_string 三个字段存放用户认证信息
• Password_expired 设置成’Y’则表明允许 DBA 将此用户的密码设置成过期而 且过期后要求用户的使用者重置密码(alter user/set password 重置密码)
• Password_last_changed 作为一个时间戳字段代表密码上次修改时间,执 行 create user/alter user/set password/grant 等命令创建用户或修改用户密 码时此数值自动更新
• Password_lifetime 代表从 password_last_changed 时间开始此密码过期的天 数
• Account_locked 代表此用户被锁住,无法使用
• Tables_priv 和 columns_priv 权限表结构
• Timestamp 和 grantor 两个字段暂时没用
• Tables_priv 和 columns_priv 权限值
• procs_priv 权限表结构
• Routine_type 是枚举类型,代表是存储过程还是函数
• Timestamp 和 grantor 两个字段暂时没用
• 系统权限表字段长度限制表
• 权限认证中的大小写敏感问题
• 字段 user,password,authencation_string,db,table_name 大小写敏感
• 字段 host,column_name,routine_name 大小写不敏感
• User 用户大小写敏感
mysql> create user abc@localhost;
ERROR 1396 (HY000): Operation CREATE USER failed for‘abc’@‘localhost’
mysql> create user Abc@localhost;
Query OK, 0 rows affected (0.01 sec)
• Host 主机名大小写不敏感
mysql> create user abc@Localhost;
ERROR 1396 (HY000): Operation CREATE USER failed for‘abc’@‘localhost’
MySQL 授权用户
• MySQL 的授权用户由两部分组成:用户名和登录主机名
• 表达用户的语法为‘user_name’@‘host_name’
• 单引号不是必须,但如果其中包含特殊字符则是必须的
• ‘’@‘localhost’代表匿名登录的用户
• Host_name 可以使主机名或者 ipv4/ipv6 的地址。Localhost 代表本机,127.0.0.1 代表 ipv4 的 本机地址,::1 代表 ipv6 的本机地址
• Host_name 字段允许使用%和 _ 两个匹配字符,比如’%’代表所有主机,’%.mysql.com’代表 来自 mysql.com 这个域名下的所有主机,‘192.168.1.%’代表所有来自 192.168.1 网段的主机

MySQL 修改权限的生效

• 执行 Grant,revoke,setpassword,renameuser 命令修改权限之后,MySQL 会自动
将修改后的权限信息同步加载到系统内存中
• 如果执行 insert/update/delete 操作上述的系统权限表之后,则必须再执行刷 新权限命令才能同步到系统内存中,刷新权限命令包括:flush privileges/mysqladmin flush-privileges/mysqladmin reload
• 如果是修改 tables 和 columns 级别的权限,则客户端的下次操作新权限就会生 效
• 如果是修改 database 级别的权限,则新权限在客户端执行 use database 命令后 生效
• 如果是修改 global 级别的权限,则需要重新创建连接新权限才能生效
• –skip-grant-tables 可以跳过所有系统权限表而允许所有用户登录,只在特殊 情况下暂时使用

MySQL 用户连接

mysql
mysql -u finley -p db_name
mysql
shell> mysql -u finley -ppassword db_name

创建 MySQL 用户

• 有两种方式创建 MySQL 授权用户
• 执行 createuser/grant 命令(推荐方式)
• 通过 insert 语句直接操作 MySQL 系统权限表
mysql> CREATE USER ‘finley’@‘localhost’ IDENTIFIED BY ‘some_pass’;
mysql>GRANTALLPRIVILEGESON*.*TO‘finley’@‘localhost’ WITH
GRANT OPTION;
mysql> CREATE USER ‘finley’@‘%’ IDENTIFIED BY ‘some_pass’;
mysql> GRANT ALL PRIVILEGES ON *.* TO ‘finley’@‘%‘ WITH GRANT OPTION;
mysql> CREATE USER ‘admin‘@’localhost‘ IDENTIFIED BY ‘admin_pass‘;
mysql> GRANT RELOAD,PROCESS ON *.* TO ‘admin‘@’localhost‘;
mysql> grant select(id) on test.temp to cdq@localhost;
创建 MySQL 用户
mysql> CREATE USER ‘custom’@‘localhost’ IDENTIFIED BY ‘obscure’; mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
-> ON bankaccount.*
-> TO ‘custom’@‘localhost’;

mysql> CREATE USER ‘custom’@‘host47.example.com’ IDENTIFIED BY ‘obscure’; mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
-> ON expenses.*
-> TO ‘custom’@‘host47.example.com’;

mysql> CREATE USER ‘custom’@‘%.example.com’ IDENTIFIED BY ‘obscure’;
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP

回收 MySQL 用户权限

• 通过 revoke 命令收回用户权限   
mysql> revoke select on `sys`.`sys_config` from‘mysql.sys’@localhost;
删除 MySQL 用户
• 通过执行 drop user 命令删除 MySQL 用户
mysql> DROPUSER‘jeffrey’@‘localhost’;

设置 MySQL 用户资源限制

• 通过设置全局变量 max_user_connections 可以限制所有用户在同一时 间连接 MySQL 实例的数量,但此参数无法对每个用户区别对待,所以 MySQL 提供了对每个用户的资源限制管理
• MAX_QUERIES_PER_HOUR:一个用户在一个小时内可以执行查询的次 数(基本包含所有语句)
• MAX_UPDATES_PER_HOUR:一个用户在一个小时内可以执行修改的次 数(仅包含修改数据库或表的语句)
• MAX_CONNECTIONS_PER_HOUR:一个用户在一个小时内可以连接 MySQL 的时间
• MAX_USER_CONNECTIONS:一个用户可以在同一时间连接 MySQL 实例 的数量
• 从 5.0.3 版本开始,对用户‘user’@‘%.example.com’的资源限制是指所有 通过 example.com 域名主机连接 user 用户的连接,而不是分别指从 host1.example.com 和 host2.example.com 主机过来的连接

设置 MySQL 用户资源限制

• 通过执行 createuser/alteruser 设置/修改用户的资源限制
  
mysql> CREATE USER ‘francis’@‘localhost’ IDENTIFIED BY ‘frank’
-> -> -> ->
WITH MAX_QUERIES_PER_HOUR 20 MAX_UPDATES_PER_HOUR 10 MAX_CONNECTIONS_PER_HOUR 5 MAX_USER_CONNECTIONS 2;
mysql> ALTER USER ‘francis’@‘localhost’ WITH MAX_QUERIES_PER_HOUR 100;
• 取消某项资源限制既是把原先的值修改成 0
mysql> ALTER USER ‘francis’@‘localhost’ WITH MAX_CONNECTIONS_PER_HOUR 0;
• 当针对某个用户的 max_user_connections 非 0 时,则忽略全局系统参数 max_user_connections,反之则全局系统参数生效
设置 MySQL 用户的密码
• 执行 create user 创建用户和密码
mysql> CREATE USER ‘jeffrey’@‘localhost’ IDENTIFIED BY ‘mypass’;
• 修改用户密码的方式包括:
mysql> ALTER USER ‘jeffrey’@‘localhost’ IDENTIFIED BY ‘mypass’;
mysql> SET PASSWORD FOR ‘jeffrey’@‘localhost’ = PASSWORD(‘mypass’);
mysql> GRANT USAGE ON *.* TO ‘jeffrey’@‘localhost’ IDENTIFIED BY ‘mypass’;
shell> mysqladmin -u user_name -h host_name password “new_password”;
• 修改本身用户密码的方式包括:
mysql> ALTER USER USER() IDENTIFIED BY ‘mypass’;
mysql> SET PASSWORD = PASSWORD(‘mypass’);

设置 MySQL 用户密码过期策略

• 设置系统参数 default_password_lifetime 作用于所有的用户账户
• default_password_lifetime=180 设置 180 天过期
• default_password_lifetime=0 设置密码不过期
• 如果为每个用户设置了密码过期策略,则会覆盖上述系统参数
ALTERUSER‘jeffrey’@‘localhost’PASSWORDEXPIRE INTERVAL90DAY;
ALTERUSER‘jeffrey’@‘localhost’PASSWORDEXPIRE INEVER;密码不过期
ALTERUSER‘jeffrey’@‘localhost’ PASSWORDEXPIREDEFAULT;默认过期策略
• 手动强制某个用户密码过期
ALTER USER ‘jeffrey’@’localhost’ PASSWORD EXPIRE;
mysql> SELECT 1;
ERROR 1820 (HY000): You must SET PASSWORD before executing this statement
mysql> ALTER USER USER() IDENTIFIED BY ‘new_password’;
Query OK, 0 rows affected (0.01 sec)
mysql> SELECT 1;
|1|

MySQL 用户 lock

通过执行 create user/alter user 命令中带 account lock/unlock 子句设 置用户的 lock 状态
Createuser 语句默认的用户是 unlock 状态
mysql>create user abc2@localhost identified by ‘mysql’ account lock;
QueryOK,0rowsaffected(0.01sec)
Alter user 语句默认不会修改用户的 lock/unlock 状态
mysql>alter user ‘mysql.sys’@localhost account lock;
Query OK,0 row saffected(0.00sec)
mysql>alter user ‘mysql.sys’@localhost account unlock;
Query OK,0 row saffected(0.00sec)

Account is locked.

企业应用中的常规 MySQL 用户

• 企业生产系统中 MySQL 用户的创建通常由 DBA 统一协调创建,而且按需
创建
• DBA 通常直接使用 root 用户来管理数据库
• 通常会创建指定业务数据库上的增删改查、临时表、执行存储过程的权限给应 用程序来连接数据库
Create user app_full identified by ‘mysql’;
Grant select,update,insert,delete,create temporary tables,execute on esn.* to
app_full@’10.0.0.%’;
mysql>show grants for app_full@‘10.0.0.%’;
+
|Grantsforapp_full@10.0.0.% |
+
|GRANTUSAGEON*.*TO‘app_full’@‘10.0.0.%’ |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES, EXECUTE ON `esn`.* TO ‘app_full’@‘10.0.0.%’ |
• 通常也会创建指定业务数据库上的只读权限给特定应用程序或某些高级别人员 来查询数据,
防止数据被修改
Createuser app_readonly identifiedby ‘mysql’;
Grantselecton esn.* to app_readonly identifiedby ‘mysq’;

丨极客文库, 版权所有丨如未注明 , 均为原创丨
本网站采用知识共享署名-非商业性使用-相同方式共享 3.0 中国大陆许可协议进行授权
转载请注明原文链接:一文详解 MySQL 权限
喜欢 (0)
[247507792@qq.com]
分享 (0)
勤劳的小蚂蚁
关于作者:
温馨提示:本文来源于网络,转载文章皆标明了出处,如果您发现侵权文章,请及时向站长反馈删除。

欢迎 注册账号 登录 发表评论!

  • 精品技术教程
  • 编程资源分享
  • 问答交流社区
  • 极客文库知识库

客服QQ


QQ:2248886839


工作时间:09:00-23:00