MySQL如何進行權限管理?

3614

本篇文章給大家帶來的內容是介紹mysql如何進行權限管理?有一定的參考價值,有需要的朋友可以參考一下,希望對你有所幫助。

mysql 的權限表在數據庫啟動的時候就載入內存,當用戶通過身份認證后,就在內存中進行相應權限的存取,這樣,此用戶就可以在數據庫中做權限范圍內的各種操作了。【視頻教程推薦:MySQL 教程

一、權限表的存取

在權限存取的兩個過程中,系統會用到 “mysql” 數據庫(安裝 MySQL 時被創建,數據庫名稱叫“mysql”) 中 user、host 和 db 這3個最重要的權限表。

在這 3 個表中,最重要的表示 user 表,其次是 db 表,host 表在大多數情況下并不使用。

user 中的列主要分為 4 個部分:用戶列、權限列、安全列和資源控制列。

通常用的最多的是用戶列和權限列,其中權限列又分為普通權限和管理權限。普通權限用于數據庫的操作,比如 select_priv、super_priv 等。

當用戶進行連接時,權限表的存取過程有以下兩個過程:

  • 先從 user 表中的 host、user 和 password 這 3 個字段中判斷連接的 IP、用戶名、和密碼是否存在于表中,如果存在,則通過身份驗證,否則拒絕連接。

  • 如果通過身份驗證、則按照以下權限表的順序得到數據庫權限:user -> db -> tables_priv -> columns_priv。

在這幾個權限表中,權限范圍依次遞減,全局權限覆蓋局部權限。上面的第一階段好理解,下面以一個例子來詳細解釋一下第二階段。 ?
為了方便測試,需要修改變量 sql_mode

// sql_mode 默認值中有 NO_AUTO_CREATE_USER (防止GRANT自動創建新用戶,除非還指定了密碼) SET SESSION sql_mode='STRICT_TRANS_TABLES,NO_ENGINE_SUBSTITUTION';

1. 創建用戶 zj@localhost,并賦予所有數據庫上的所有表的 select 權限

MySQL [mysql]> grant select on *.* to zj@localhost; Query OK, 0 rows affected, 2 warnings (0.00 sec)  MySQL [mysql]> select * from user where user="zj" and host='localhost' G; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: N            Update_priv: N            delete_priv: N            Create_priv: N              Drop_priv: N            Reload_priv: N ...

2. 查看 db 表

MySQL [mysql]> select * from db where user='zj' G ; Empty set (0.00 sec)

可以發現,user 表的 select_priv 列是 “Y”,而 db 表中并沒有記錄,也就是說,對所有數據庫都具有相同的權限的用戶并不需要記錄到 db 表,而僅僅需要將 user 表中的 select_priv 改為 “Y” 即可。換句話說,user 表中的每個權限都代表了對所有數據庫都有權限。

3. 將 zj@localhost 上的權限改為只對 t2 數據庫上所有表的 select 權限。

MySQL [mysql]> revoke select on *.* from zj@localhost; Query OK, 0 rows affected, 1 warning (0.02 sec)  MySQL [mysql]> grant select on t2.* to zj@localhost; Query OK, 0 rows affected, 1 warning (0.04 sec)  MySQL [mysql]> select * from user where user='zj' G; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: N            Insert_priv: N            Update_priv: N            Delete_priv: N            Create_priv: N              Drop_priv: N            Reload_priv: N ...  MySQL [mysql]> select * from db where user='zj' G; *************************** 1. row ***************************                  Host: localhost                    Db: t2                  User: zj           Select_priv: Y           Insert_priv: N           Update_priv: N           Delete_priv: N           Create_priv: N             Drop_priv: N            Grant_priv: N

這時候發現,user 表中的 select_priv 變為 “N” ,而 db 表中增加了 db 為 t2 的一條記錄。也就是說,當只授予部分數據庫某些權限時,user 表中的相應權限列保持 “N”,而將具體的數據庫權限寫入 db 表。table 和 column 的權限機制和 db 類似。

從上例可以看出,當用戶通過權限認證,進行權限分配時,將按照 user -> db -> tables_priv -> columns_priv 的順序進行權限分配,即先檢查全局權限表 user,如果 user 中對應 權限為 “Y”,則此用戶對所有數據庫的權限都為“Y”,將不再檢查 db、tables_priv 和 columns_priv;如果為“N”,則到 db 表中檢查此用戶對應的具體數據庫,并得到 db 中為 “Y”的權限;如果 db 中相應權限為 “N”,則再依次檢查tables_priv 和 columns_priv 中的權限,如果所有的都為“N”,則判斷為不具備權限。

二、賬號管理

主要包括賬號的創建,權限的更改和賬號的刪除。

1. 創建賬號

使用 grant 語法創建,示例:

(1) 創建用戶 zj ,權限為可以在所有數據庫上執行所有權限,只能從本地進行連接。
MySQL [mysql]> grant all privileges on *.* to zj@localhost; Query OK, 0 rows affected, 2 warnings (0.00 sec)  MySQL [mysql]> select * from user where user="zj" and host="localhost" G; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: Y            Update_priv: Y            Delete_priv: Y            Create_priv: Y              Drop_priv: Y            Reload_priv: Y          Shutdown_priv: Y

可以發現,除了 grant_priv 權限外,所有權限在 user 表里面都是 “Y”。

(2) 在 (1) 基礎上,增加對 zj 的 grant 權限
MySQL [(none)]> grant all privileges on *.* to zj@localhost with grant option; Query OK, 0 rows affected, 1 warning (0.01 sec)  MySQL [mysql]> select * from user where user="zj" and host='localhost' G ; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: Y            Update_priv: Y            Delete_priv: Y            Create_priv: Y              Drop_priv: Y            Reload_priv: Y          Shutdown_priv: Y           Process_priv: Y              File_priv: Y             Grant_priv: Y ...
(3) 在 (2) 基礎上,設置密碼為 “123”
MySQL [mysql]> grant all  privileges on *.* to zj@localhost identified by '123' with grant option; Query OK, 0 rows affected, 2 warnings (0.01 sec)  MySQL [mysql]> select * from user where user="zj" and host="localhost" G ; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: Y            Update_priv: Y            Delete_priv: Y            Create_priv: Y              Drop_priv: Y            Reload_priv: Y ......    authentication_string: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257       password_expired: N  password_last_changed: 2017-09-25 20:29:42      password_lifetime: NULL

可以發現,密碼變成了一加密后的字符串

(4) 創建新用戶 zj2,可以從任何 IP 連接,權限為對 t2 數據庫里的所有表進行 select 、update、insert 和 delete 操作,初始密碼為“123”
MySQL [mysql]> grant select ,insert, update,delete on t2.* to 'zj2'@'%' identified by '123'; Query OK, 0 rows affected, 1 warning (0.00 sec)  MySQL [mysql]> select * from user where user='zj2' and host="%" G; *************************** 1. row ***************************                   Host: %                   User: zj2            Select_priv: N            Insert_priv: N            Update_priv: N            Delete_priv: N            Create_priv: N              Drop_priv: N ......  authentication_string: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257       password_expired: N  password_last_changed: 2017-09-25 20:37:49      password_lifetime: NULL  MySQL [mysql]> select * from db where user="zj2" and host='%' G; *************************** 1. row ***************************                  Host: %                    Db: t2                  User: zj2           Select_priv: Y           Insert_priv: Y           Update_priv: Y           Delete_priv: Y           Create_priv: N             Drop_priv: N ......

user 表中的權限都是“N”,db 表中增加的記錄權限則都是“Y”。一般的,只授予用戶適當的權限,而不會授予過多的權限。

本例中的 IP 限制為所有 IP 都可以連接,因此設置為 “*”,mysql 數據庫中是通過 user 表的 host 字段來進行控制,host 可以是以下類型的賦值。

  • Host 值可以是主機名或IP號,或 “localhost” 指出本地主機。

  • 可以在 Host 列值使用通配符字符 “%” 和 “_”

  • Host 值 “%” 匹配任何主機名,空 Host 值等價于 “%”,它們的含義與 like 操作符的模式匹配操作相同。

注意: mysql 數據庫的 user 表中 host 的值為 “*” 或者空,表示所有外部 IP 都可以連接,但是不包括本地服務器 localhost,因此,如果要包括本地服務器,必須單獨為 localhost 賦予權限。

(5) 授予 super、process、file 權限給用戶 zj3@%
MySQL [mysql]> grant super,process,file on *.* to 'zj3'@'%'; Query OK, 0 rows affected, 1 warning (0.00 sec)

因為這幾個權限都是屬于管理權限,因此不能夠指定某個數據庫,on 后面必須跟 “.”,下面語法將提示錯誤

MySQL [mysql]> grant super,process,file on t2.* to 'zj3'@'%'; ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
(6) 只授予登錄權限給 zj4@localhost
MySQL [mysql]> grant usage on *.* to 'zj4'@'localhost'; Query OK, 0 rows affected, 2 warnings (0.01 sec)  MySQL [mysql]> exit Bye  zj@bogon:~$ mysql -uzj4 -p Enter password:  Welcome to the MySQL monitor.  Commands end with ; or g. Your MySQL connection id is 78 Server version: 5.7.18-log Source distribution  Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.  Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners.  Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.  MySQL [(none)]> show databases; +--------------------+ | Database           | +--------------------+ | information_schema | +--------------------+ 1 row in set (0.02 sec)

usage 權限只能用于數據庫登錄,不能執行任何操作

2. 查看賬號權限

賬號創建好后,可以通過如下命令查看權限:

show grants for user@host;

示例:

MySQL [(none)]> show grants for zj@localhost; +-------------------------------------------------------------------+ | Grants for zj@localhost                                           | +-------------------------------------------------------------------+ | GRANT ALL PRIVILEGES ON *.* TO 'zj'@'localhost' WITH GRANT OPTION | +-------------------------------------------------------------------+ 1 row in set (0.01 sec)

3. 更改賬號權限

可以進行權限的新增和回收。和創建賬號一樣,權限變更也有兩種方法:使用 grant(新增) 和 revoke (回收) 語句,或者更改權限表。

示例:
(1) zj4@localhost 目前只有登錄權限
MySQL [(none)]> show grants for zj4@localhost; +-----------------------------------------+ | Grants for zj4@localhost                | +-----------------------------------------+ | GRANT USAGE ON *.* TO 'zj4'@'localhost' | +-----------------------------------------+ 1 row in set (0.00 sec)
(2) 賦予 zj4@localhost 所有數據庫上的所有表的 select 權限
MySQL [(none)]> grant select on *.* to 'zj4'@'localhost'; Query OK, 0 rows affected, 1 warning (0.00 sec)  MySQL [(none)]> show grants for zj4@localhost; +------------------------------------------+ | Grants for zj4@localhost                 | +------------------------------------------+ | GRANT SELECT ON *.* TO 'zj4'@'localhost' | +------------------------------------------+ 1 row in set (0.00 sec)
(3) 繼續給 zj4@localhost 賦予 select 和 insert 權限,和已有的 select 權限進行合并
MySQL [(none)]> show grants for 'zj4'@'localhost'; +--------------------------------------------------+ | Grants for zj4@localhost                         | +--------------------------------------------------+ | GRANT SELECT, INSERT ON *.* TO 'zj4'@'localhost' | +--------------------------------------------------+ 1 row in set (0.00 sec)

revoke 語句可以回收已經賦予的權限,對于上面的例子,這里決定要收回 zj4@localhost 上的 insert 和 select 權限:

MySQL [(none)]> revoke select,insert on *.* from zj4@localhost; Query OK, 0 rows affected, 1 warning (0.00 sec)  MySQL [(none)]> show grants for zj4@localhost; +-----------------------------------------+ | Grants for zj4@localhost                | +-----------------------------------------+ | GRANT USAGE ON *.* TO 'zj4'@'localhost' | +-----------------------------------------+ 1 row in set (0.00 sec)

usage 權限不能被回收,也就是說,revoke 用戶并不能刪除用戶。

4. 修改賬號密碼

(1) 可以用 mysqladmin 命令在命令行指定密碼。
shell> mysqladmin -u user_name -h host_name password "123456"
(2) 執行 set password 語句。
mysql> set password for 'username'@'%' = password('pwd');

如果是更改自己的密碼,可以省略 for 語句

mysql> set password=password('pwd');
(3) 可以在全局級別使用 grant usage 語句(在“.”)來指定某個賬戶的密碼而不影響賬戶當前的權限。
mysql> grant usage on *.* to 'username'@'%' identified by 'pwd';

5. 刪除賬號

要徹底的刪除賬號,可以使用 drop user :

drop user zj@localhost;

6. 賬號資源限制

創建 MySQL 賬號時,還有一類選項稱為賬號資源限制,這類選項的作用是限制每個賬號實際具有的資源限制,這里的“資源”主要包括:

  • max_queries_per_hour count : 單個賬號每小時執行的查詢次數

  • max_upodates_per_hour count : 單個賬號每小時執行的更新次數

  • max_connections_per_hour count : 單個賬號每小時連接服務器的次數

  • max_user_connections count : 單個賬號并發連接服務器的次數

  1. 專欄

  2. 落棋不悔

  3. 文章詳情

MySQL如何進行權限管理? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

waterandair ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?MySQL如何進行權限管理?955 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?發布于 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?落棋不悔 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?2017-10-30 發布 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

MySQL 權限管理

  • 權限控制

  • MySQL如何進行權限管理? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?mysql

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?1.5k 次閱讀 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??·? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?讀完需要 38 分鐘 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? ? ? ? ? ?4 ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

MySQL 的權限表在數據庫啟動的時候就載入內存,當用戶通過身份認證后,就在內存中進行相應權限的存取,這樣,此用戶就可以在數據庫中做權限范圍內的各種操作了。

一、權限表的存取

在權限存取的兩個過程中,系統會用到 “mysql” 數據庫(安裝 MySQL 時被創建,數據庫名稱叫“mysql”) 中 user、host 和 db 這3個最重要的權限表。

在這 3 個表中,最重要的表示 user 表,其次是 db 表,host 表在大多數情況下并不使用。

user 中的列主要分為 4 個部分:用戶列、權限列、安全列和資源控制列。

通常用的最多的是用戶列和權限列,其中權限列又分為普通權限和管理權限。普通權限用于數據庫的操作,比如 select_priv、super_priv 等。

當用戶進行連接時,權限表的存取過程有以下兩個過程:

  • 先從 user 表中的 host、user 和 password 這 3 個字段中判斷連接的 IP、用戶名、和密碼是否存在于表中,如果存在,則通過身份驗證,否則拒絕連接。

  • 如果通過身份驗證、則按照以下權限表的順序得到數據庫權限:user -> db -> tables_priv -> columns_priv。

在這幾個權限表中,權限范圍依次遞減,全局權限覆蓋局部權限。上面的第一階段好理解,下面以一個例子來詳細解釋一下第二階段。 ?
為了方便測試,需要修改變量 sql_mode

// sql_mode 默認值中有 NO_AUTO_CREATE_USER (防止GRANT自動創建新用戶,除非還指定了密碼) SET SESSION sql_mode='STRICT_TRANS_TABLES,NO_ENGINE_SUBSTITUTION';

1. 創建用戶 zj@localhost,并賦予所有數據庫上的所有表的 select 權限

MySQL [mysql]> grant select on *.* to zj@localhost; Query OK, 0 rows affected, 2 warnings (0.00 sec)  MySQL [mysql]> select * from user where user="zj" and host='localhost' G; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: N            Update_priv: N            Delete_priv: N            Create_priv: N              Drop_priv: N            Reload_priv: N ...

2. 查看 db 表

MySQL [mysql]> select * from db where user='zj' G ; Empty set (0.00 sec)

可以發現,user 表的 select_priv 列是 “Y”,而 db 表中并沒有記錄,也就是說,對所有數據庫都具有相同的權限的用戶并不需要記錄到 db 表,而僅僅需要將 user 表中的 select_priv 改為 “Y” 即可。換句話說,user 表中的每個權限都代表了對所有數據庫都有權限。

3. 將 zj@localhost 上的權限改為只對 t2 數據庫上所有表的 select 權限。

MySQL [mysql]> revoke select on *.* from zj@localhost; Query OK, 0 rows affected, 1 warning (0.02 sec)  MySQL [mysql]> grant select on t2.* to zj@localhost; Query OK, 0 rows affected, 1 warning (0.04 sec)  MySQL [mysql]> select * from user where user='zj' G; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: N            Insert_priv: N            Update_priv: N            Delete_priv: N            Create_priv: N              Drop_priv: N            Reload_priv: N ...  MySQL [mysql]> select * from db where user='zj' G; *************************** 1. row ***************************                  Host: localhost                    Db: t2                  User: zj           Select_priv: Y           Insert_priv: N           Update_priv: N           Delete_priv: N           Create_priv: N             Drop_priv: N            Grant_priv: N

這時候發現,user 表中的 select_priv 變為 “N” ,而 db 表中增加了 db 為 t2 的一條記錄。也就是說,當只授予部分數據庫某些權限時,user 表中的相應權限列保持 “N”,而將具體的數據庫權限寫入 db 表。table 和 column 的權限機制和 db 類似。

從上例可以看出,當用戶通過權限認證,進行權限分配時,將按照 user -> db -> tables_priv -> columns_priv 的順序進行權限分配,即先檢查全局權限表 user,如果 user 中對應 權限為 “Y”,則此用戶對所有數據庫的權限都為“Y”,將不再檢查 db、tables_priv 和 columns_priv;如果為“N”,則到 db 表中檢查此用戶對應的具體數據庫,并得到 db 中為 “Y”的權限;如果 db 中相應權限為 “N”,則再依次檢查tables_priv 和 columns_priv 中的權限,如果所有的都為“N”,則判斷為不具備權限。

二、賬號管理

主要包括賬號的創建,權限的更改和賬號的刪除。

1. 創建賬號

使用 grant 語法創建,示例:

(1) 創建用戶 zj ,權限為可以在所有數據庫上執行所有權限,只能從本地進行連接。
MySQL [mysql]> grant all privileges on *.* to zj@localhost; Query OK, 0 rows affected, 2 warnings (0.00 sec)  MySQL [mysql]> select * from user where user="zj" and host="localhost" G; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: Y            Update_priv: Y            Delete_priv: Y            Create_priv: Y              Drop_priv: Y            Reload_priv: Y          Shutdown_priv: Y

可以發現,除了 grant_priv 權限外,所有權限在 user 表里面都是 “Y”。

(2) 在 (1) 基礎上,增加對 zj 的 grant 權限
MySQL [(none)]> grant all privileges on *.* to zj@localhost with grant option; Query OK, 0 rows affected, 1 warning (0.01 sec)  MySQL [mysql]> select * from user where user="zj" and host='localhost' G ; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: Y            Update_priv: Y            Delete_priv: Y            Create_priv: Y              Drop_priv: Y            Reload_priv: Y          Shutdown_priv: Y           Process_priv: Y              File_priv: Y             Grant_priv: Y ...
(3) 在 (2) 基礎上,設置密碼為 “123”
MySQL [mysql]> grant all  privileges on *.* to zj@localhost identified by '123' with grant option; Query OK, 0 rows affected, 2 warnings (0.01 sec)  MySQL [mysql]> select * from user where user="zj" and host="localhost" G ; *************************** 1. row ***************************                   Host: localhost                   User: zj            Select_priv: Y            Insert_priv: Y            Update_priv: Y            Delete_priv: Y            Create_priv: Y              Drop_priv: Y            Reload_priv: Y ......    authentication_string: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257       password_expired: N  password_last_changed: 2017-09-25 20:29:42      password_lifetime: NULL

可以發現,密碼變成了一堆加密后的字符串。

(4) 創建新用戶 zj2,可以從任何 IP 連接,權限為對 t2 數據庫里的所有表進行 select 、update、insert 和 delete 操作,初始密碼為“123”
MySQL [mysql]> grant select ,insert, update,delete on t2.* to 'zj2'@'%' identified by '123'; Query OK, 0 rows affected, 1 warning (0.00 sec)  MySQL [mysql]> select * from user where user='zj2' and host="%" G; *************************** 1. row ***************************                   Host: %                   User: zj2            Select_priv: N            Insert_priv: N            Update_priv: N            Delete_priv: N            Create_priv: N              Drop_priv: N ......  authentication_string: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257       password_expired: N  password_last_changed: 2017-09-25 20:37:49      password_lifetime: NULL  MySQL [mysql]> select * from db where user="zj2" and host='%' G; *************************** 1. row ***************************                  Host: %                    Db: t2                  User: zj2           Select_priv: Y           Insert_priv: Y           Update_priv: Y           Delete_priv: Y           Create_priv: N             Drop_priv: N ......

user 表中的權限都是“N”,db 表中增加的記錄權限則都是“Y”。一般的,只授予用戶適當的權限,而不會授予過多的權限。

本例中的 IP 限制為所有 IP 都可以連接,因此設置為 “*”,mysql 數據庫中是通過 user 表的 host 字段來進行控制,host 可以是以下類型的賦值。

  • Host 值可以是主機名或IP號,或 “localhost” 指出本地主機。

  • 可以在 Host 列值使用通配符字符 “%” 和 “_”

  • Host 值 “%” 匹配任何主機名,空 Host 值等價于 “%”,它們的含義與 like 操作符的模式匹配操作相同。

注意: mysql 數據庫的 user 表中 host 的值為 “*” 或者空,表示所有外部 IP 都可以連接,但是不包括本地服務器 localhost,因此,如果要包括本地服務器,必須單獨為 localhost 賦予權限。

(5) 授予 super、process、file 權限給用戶 zj3@%
MySQL [mysql]> grant super,process,file on *.* to 'zj3'@'%'; Query OK, 0 rows affected, 1 warning (0.00 sec)

因為這幾個權限都是屬于管理權限,因此不能夠指定某個數據庫,on 后面必須跟 “.”,下面語法將提示錯誤

MySQL [mysql]> grant super,process,file on t2.* to 'zj3'@'%'; ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
(6) 只授予登錄權限給 zj4@localhost
MySQL [mysql]> grant usage on *.* to 'zj4'@'localhost'; Query OK, 0 rows affected, 2 warnings (0.01 sec)  MySQL [mysql]> exit Bye  zj@bogon:~$ mysql -uzj4 -p Enter password:  Welcome to the MySQL monitor.  Commands end with ; or g. Your MySQL connection id is 78 Server version: 5.7.18-log Source distribution  Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.  Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners.  Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.  MySQL [(none)]> show databases; +--------------------+ | Database           | +--------------------+ | information_schema | +--------------------+ 1 row in set (0.02 sec)

usage 權限只能用于數據庫登錄,不能執行任何操作

2. 查看賬號權限

賬號創建好后,可以通過如下命令查看權限:

show grants for user@host;

示例:

MySQL [(none)]> show grants for zj@localhost; +-------------------------------------------------------------------+ | Grants for zj@localhost                                           | +-------------------------------------------------------------------+ | GRANT ALL PRIVILEGES ON *.* TO 'zj'@'localhost' WITH GRANT OPTION | +-------------------------------------------------------------------+ 1 row in set (0.01 sec)

3. 更改賬號權限

可以進行權限的新增和回收。和創建賬號一樣,權限變更也有兩種方法:使用 grant(新增) 和 revoke (回收) 語句,或者更改權限表。

示例:
(1) zj4@localhost 目前只有登錄權限
MySQL [(none)]> show grants for zj4@localhost; +-----------------------------------------+ | Grants for zj4@localhost                | +-----------------------------------------+ | GRANT USAGE ON *.* TO 'zj4'@'localhost' | +-----------------------------------------+ 1 row in set (0.00 sec)
(2) 賦予 zj4@localhost 所有數據庫上的所有表的 select 權限
MySQL [(none)]> grant select on *.* to 'zj4'@'localhost'; Query OK, 0 rows affected, 1 warning (0.00 sec)  MySQL [(none)]> show grants for zj4@localhost; +------------------------------------------+ | Grants for zj4@localhost                 | +------------------------------------------+ | GRANT SELECT ON *.* TO 'zj4'@'localhost' | +------------------------------------------+ 1 row in set (0.00 sec)
(3) 繼續給 zj4@localhost 賦予 select 和 insert 權限,和已有的 select 權限進行合并
MySQL [(none)]> show grants for 'zj4'@'localhost'; +--------------------------------------------------+ | Grants for zj4@localhost                         | +--------------------------------------------------+ | GRANT SELECT, INSERT ON *.* TO 'zj4'@'localhost' | +--------------------------------------------------+ 1 row in set (0.00 sec)

revoke 語句可以回收已經賦予的權限,對于上面的例子,這里決定要收回 zj4@localhost 上的 insert 和 select 權限:

MySQL [(none)]> revoke select,insert on *.* from zj4@localhost; Query OK, 0 rows affected, 1 warning (0.00 sec)  MySQL [(none)]> show grants for zj4@localhost; +-----------------------------------------+ | Grants for zj4@localhost                | +-----------------------------------------+ | GRANT USAGE ON *.* TO 'zj4'@'localhost' | +-----------------------------------------+ 1 row in set (0.00 sec)

usage 權限不能被回收,也就是說,revoke 用戶并不能刪除用戶。

4. 修改賬號密碼

(1) 可以用 mysqladmin 命令在命令行指定密碼。
shell> mysqladmin -u user_name -h host_name password "123456"
(2) 執行 set password 語句。
mysql> set password for 'username'@'%' = password('pwd');

如果是更改自己的密碼,可以省略 for 語句

mysql> set password=password('pwd');
(3) 可以在全局級別使用 grant usage 語句(在“.”)來指定某個賬戶的密碼而不影響賬戶當前的權限。
mysql> grant usage on *.* to 'username'@'%' identified by 'pwd';

5. 刪除賬號

要徹底的刪除賬號,可以使用 drop user :

drop user zj@localhost;

6. 賬號資源限制

創建 MySQL 賬號時,還有一類選項稱為賬號資源限制,這類選項的作用是限制每個賬號實際具有的資源限制,這里的“資源”主要包括:

  • max_queries_per_hour count : 單個賬號每小時執行的查詢次數

  • max_upodates_per_hour count : 單個賬號每小時執行的更新次數

  • max_connections_per_hour count : 單個賬號每小時連接服務器的次數

  • max_user_connections count : 單個賬號并發連接服務器的次數

  • MySQL如何進行權限管理?

    • 舉報

你可能感興趣的

評論 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

默認排序 ? ? ? ? ? ? ? ? ? ? ? ?時間排序

載入中…

顯示更多評論

MySQL如何進行權限管理?

? 版權聲明
THE END
數據庫
# 數據庫# mysql# 字符串# 并發# select# for# delete# table# 堆# count# column
喜歡就支持一下吧
點贊14 分享