MySQL权限介绍
mysql中存在4个控制权限的表,分别为
user
db
tables_priv
columns_priv
用户和权限内容放在mysql库中,该库中有一张名为user的表,记录了用户的信息
查看用户信息的方式
select * from mysql.user\G;
用户列
包含host、user、password三个字段,分别表示主机,用户以及用户密码
登陆mysql时只有匹配用户列中的数据才能成功登陆mysql,host和user字段为该表中的联合主键,用于唯一的标识用户身份
权限列
权限列规定了用户的权限,描述了用户的权限范围,只有带有y的权限标识该用户拥有的权限,如果为n标识该用户没有该权限,权限列使用了enum枚举的数据类型,可选项为y或n 即为有权限和无权限两种选择
安全列
安全列有两个ssl相关内容用于加密,两个和x509相关内容标识用户 ,plugin标识验证码用户身份的插件,authentication5.7版本之后用户标记密码,而password字段在5.7版本中消失
Select_priv: Y # 查询权限
Insert_priv: Y # 写入权限
Update_priv: Y # 更新权限
Delete_priv: Y # 删除权限
Create_priv: Y # 创建权限
Drop_priv: Y # 删除权限
Reload_priv: Y # 重载权限(是否可以使用flush)
Shutdown_priv: Y # 关闭mysql进程的权限
Process_priv: Y # 管理进程的权限
File_priv: Y # 文件权限
Grant_priv: N # 给其他人授权权限
References_priv: Y # 建立约束权限
Index_priv: Y # 管理索引权限
Alter_priv: Y # 修改权限
Show_db_priv: Y # 查看数据库权限
Super_priv: Y # 超级权限 change master,清空二进制文件,设置全局变量set global
Create_tmp_table_priv: Y # 创建临时表权限
Lock_tables_priv: Y # 锁表权限
Execute_priv: Y # 执行函数和存储过程的权限
Repl_slave_priv: Y # 对于复制(slave)的特殊操作的权限
Repl_client_priv: Y # 查看master和slave权限
Create_view_priv: Y # 创建视图权限
Show_view_priv: Y # 查看视图权限
Create_routine_priv: Y # 创建函数或者存储过程权限
Alter_routine_priv: Y # 修改函数或者存储过程的权限
Create_user_priv: Y # 创建用户权限
Event_priv: Y # 事件权限
Trigger_priv: Y # 管理触发器权限
Create_tablespace_priv: Y # 创建表空间的权限
# 资源控制列
max_questions: 0 # 用户每小时允许执行查询操作的次数
max_updates: 0 # 用户每小时允许执行更新操作的次数
max_connections: 0 # 用户每小时允许执行连接操作的次数
max_user_connections: 0 # 用户允许同时建立连接的次数
# 0标识不作限制,如果设定了资源控制列,用户只能在单位时间内做指定次数的操作,超过指定次数立马禁止执行该操作
select_princ.N # 查看权限
insert_princ.N # 写入权限
update_princ.N # 更新权限
delete_princ.N # 删除(数据)权限
create_princ.N # 创建权限
mysql权限表的验证过程
1 . 先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。
2 . 通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。
DCL(Data Control Language 数据库控制语言)
用于数据库授权、角色控制等操作
GRANT 授权,为用户赋予访问权限
REVOKE 取消授权,撤回授权权限
用户管理
创建用户
create user ‘用户名‘@‘IP地址‘ identified by ‘密码‘;
删除用户
drop user ‘用户名‘@‘IP地址‘;
修改用户
rename user ‘用户名‘@‘IP地址‘ to ‘新用户名‘@‘IP地址‘ ;
修改密码
// 第一种方法:
set password for ‘用户名‘@‘IP地址‘=Password(‘新密码‘)
// 第二种方法:
alter user ‘用户名‘@‘IP地址‘ identified by ‘新密码‘;
// 第三种方法(忘记密码时,必须使用此方法修改密码):
UPDATE mysql.user SET authentication_string=‘‘ WHERE user=‘root‘ and host=‘localhost‘;
PS:用户权限相关数据保存在mysql数据库的user表中,所以也可以直接对其进行操作(不建议)
权限管理
grant 权限 on 数据库.表 to ‘用户‘@‘IP地址‘ identified by ‘密码‘; -- 授权并设置密码
revoke 权限 on 数据库.表 from ‘用户‘@‘IP地址‘ -- 取消权限
查看授权信息
查看授权语句
show grants for ‘用户‘@‘IP地址‘;
查看生效的授权信息
针对所有库和表的权限,比如 *.* 。 去 mysql.user 中查看
select * from mysql.user where user=‘shark‘\G
针对具体到库的权限,比如db_name.* 。 去 mysql.db 中查看
select * from mysql.db where user=‘shark‘\G
针对具体表的授权,在 mysql.tables_priv 中查看
select * from mysql.tables_priv where user=‘shark‘\G
假如是 MySQL8.x
CREATE USER ‘你的用户名‘@‘localhost‘ IDENTIFIED BY ‘你的密码‘;
#创建新的用户
GRANT ALL PRIVILEGES ON 你的数据库名.* TO ‘你的用户名‘@‘localhost‘;
#把刚刚创建的数据库的管理权限给予刚刚创建的MySQL用户
FLUSH PRIVILEGES;
#刷新权限,使用设置生效
关于权限
all privileges 除grant外的所有权限
select 仅查权限
select,insert 查和插入权限
...
usage 无访问权限
alter 使用alter table
alter routine 使用alter procedure和drop procedure
create 使用create table
create routine 使用create procedure
create temporary tables 使用create temporary tables
create user 使用create user、drop user、rename user和revoke all privileges
create view 使用create view
delete 使用delete
drop 使用drop table
execute 使用call和存储过程
file 使用select into outfile 和 load data infile
grant option 使用grant 和 revoke
index 使用index
insert 使用insert
lock tables 使用lock table
process 使用show full processlist
show databases 使用show databases
show view 使用show view
update 使用update
reload 使用flush
shutdown 使用mysqladmin shutdown(关闭MySQL)
super 使用change master、kill、logs、purge、master和set global。还允许mysqladmin调试登陆
replication client 服务器位置的访问
replication slave 由复制从属使用
关于数据库和表
对于目标数据库以及内部其他:
数据库名.* 数据库中的所有
数据库名.表 指定数据库中的某张表
数据库名.存储过程 指定数据库中的存储过程
*.* 所有数据库
关于用户和 IP
用户名@IP地址 用户只能在此 IP 下才能访问
用户名@192.168.1.% 用户只能在此 IP 段下才能访问(通配符%表示任意)
用户名@%.shark.com
用户名@% 用户可以再任意IP下访问(默认IP地址为%)
Example
create user ‘shark‘@‘%‘;
grant all privileges on *.* to ‘shark‘@‘%‘ identified by ‘123‘;
立刻生效
/*将数据读取到内存中,从而立即生效。*/
flush privileges
也可以在创建用户的同时直接授权(mysql8.x 不可以)
grant select on *.* /*设置查询数据的权限在所有的库和表*/
to ‘shark_2‘@"%" /*指定用户名和来源 ip*/
identified by ‘123‘; /*设置密码*/