Mysql学习笔记(十三)权限管理

学习内容:

1.权限管理:

关于mysql的权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作,那么你就不能执行update操作。只允许你从某台机器上连接mysql,那么你就不能从除那台机器以外的其他机器连接mysql。

那么MYSQL的权限是如何实现的呢?这就要说到mysql的两阶段的验证:

第一阶段:服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制,可以限制成本地、某个IP、某个IP段、以及任何地方等,只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。

第二阶段:如果你能连接,MYSQL会检查你发出的每个请求,看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表,MYSQL会检查你对哪个表或者某个列是否有权限。再比如,你要运行某个存储过程,MYSQL会检查你对存储过程是否有执行权限等。

mysql的权限:

官网上涉及mysql的权限有很多。。。。这里只是简单的介绍一下分类。。。

权限分布 可能的设置的权限
表权限  'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
列权限 'Select', 'Insert', 'Update', 'References'
过程权限 'Execute', 'Alter Routine', 'Grant'

最主要的还是mysql的两个权限是如何验证的。。。并且熟悉了mysql的权限是做什么的,那么这方面的知识就很容易理解了。。。

2.MYSQL权限经验原则

权限控制主要是出于安全因素,因此需要遵循一下几个经验原则:

i.只授予能满足需要的最小权限,比如用户只是需要查询,那就只给select权限就可以了,不要给用户赋予update、insert或者delete权限。

ii.创建用户的时候限制用户的登录主机,一般是限制成指定IP或者内网IP段。

iii.初始化数据库的时候删除没有密码的用户。

iv.安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。为每个用户设置满足密码复杂度的密码。

v.定期清理不需要的用户。回收权限或者删除用户。

3.如何创建用户呢?并且如何为用户设置权限呢?

GRANT ALL PRIVILEGES ON *.* TO clearlove@'localhost' IDENTIFIED BY '' WITH GRANT OPTION;

解释一下上面语句的含义:

grant 关键字    all privileges 赋予所有权限   

*.*表示(数据库.表格名)比如说我们想在samp数据库里的shop表建立一个超级权限用户,那么*.*就可以写成 samp.shop

to 表示将权限赋予某个用户。。

clearlove@'localhost'表示clearlove这个用户@后面可以接ip,或者域名,这里接的是自己的主机...

identified by 表示为用户设置一个登陆密码为:49681888

with grant option 表示可以将自己的权限赋予给别人。。这句话尤其重要。。。

注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加了一个select权限,然后又给用户添加了一个insert权限,那么该用户就同时拥有了select和insert权限。

4.创建一个超级用户

grant all privileges on samp_db.shop to clearlove@'localhost' identified by '' with grant option;

5.创建一个普通用户

创建一个一般的程序用户,这个用户可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等权限如果有存储过程还需要加上EXECUTE权限,一般是指定内网网段192.168.100网段。

GRANT  USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON samp.shop TO webuser@'192.168.100.%' IDENTIFIED BY  '';

6.创建一个网站用户

GRANT USAGE,SELECT ON samp.shop TO public@'192.168.100.%' IDENTIFIED BY  '';

7.刷新权限

权限刷新一般指的就是我们在更改了权限的时候,我们需要对权限进行刷新才能使得我们更改的权限生效。。。

FLUSH PRIVILEGES;

8.查看任意用户的权限

SHOW GRANTS FOR 'webuser'@'192.168.100.%';

9.回收权限

REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';

10.删除用户

注意删除用户不要使用DELETE直接删除,因为使用DELETE删除后用户的权限并未删除,新建同名用户后又会继承以前的权限。正确的做法是使用DROP USER命令删除用户,比如要删除'webuser'@'192.168.100.%'用户采用如下命令...

DROP USER 'webuser'@'192.168.100.%';

自己对权限管理算是有了一个基本的学习,也只是简单的介绍了一些基本的东西。。。权限管理一般在大型项目中使用得到。。。在这里也就不再进行班门弄斧了。。。。

上一篇:(五)对linux内核中jiffies+Hz表示一秒钟的理解


下一篇:阿里云Ubuntu安装图形界面与中文语言包