MySQL如何查看當(dāng)前用戶權(quán)限 權(quán)限層級(jí)與GRANT/REVOKE操作詳解

要查看mysql當(dāng)前用戶權(quán)限，使用show grants命令，并配合用戶名和主機(jī)信息。例如，執(zhí)行show grants for ‘testuser’@’localhost’;可查看具體用戶的權(quán)限，而show grants;則用于查看當(dāng)前連接用戶的權(quán)限。mysql權(quán)限分為全局、數(shù)據(jù)庫(kù)、表、列和存儲(chǔ)過(guò)程層級(jí)，分別控制不同粒度的操作權(quán)限。權(quán)限管理通過(guò)grant賦予權(quán)限和revoke收回權(quán)限實(shí)現(xiàn)，語(yǔ)法分別為grant permission_type on database_name.table_name to ‘username’@’host’;和revoke permission_type on database_name.table_name from ‘username’@’host’;。授權(quán)時(shí)需注意host參數(shù)的安全性，避免使用%帶來(lái)的風(fēng)險(xiǎn)。修改權(quán)限后建議執(zhí)行flush privileges;刷新權(quán)限緩存。查看密碼策略可用show variables like ‘validate_password%’;。忘記root密碼可通過(guò)重啟并跳過(guò)權(quán)限驗(yàn)證方式重置。權(quán)限收回后用戶仍能連接但無(wú)法操作，徹底阻止訪問(wèn)需用drop user刪除用戶。最佳實(shí)踐包括最小權(quán)限原則、角色管理、定期審查權(quán)限、啟用密碼策略及備份權(quán)限信息。

MySQL查看當(dāng)前用戶權(quán)限，核心在于使用 SHOW GRANTS 命令，配合用戶名和主機(jī)信息，可以清晰了解用戶在不同層級(jí)的權(quán)限。理解權(quán)限層級(jí)（全局、數(shù)據(jù)庫(kù)、表、列、存儲(chǔ)過(guò)程）以及 GRANT 和 REVOKE 命令的用法，是權(quán)限管理的關(guān)鍵。

SHOW GRANTS 權(quán)限一覽

使用 SHOW GRANTS FOR ‘username’@’host’; 這條命令，將 ‘username’@’host’ 替換成你要查詢的用戶名和主機(jī)。例如，要查看 ‘testuser’@’localhost’ 的權(quán)限，就輸入 SHOW GRANTS FOR ‘testuser’@’localhost’;。 這條命令會(huì)列出該用戶的所有被授予的權(quán)限，包括全局權(quán)限、數(shù)據(jù)庫(kù)權(quán)限、表權(quán)限等等。

如果你想查看當(dāng)前連接用戶的權(quán)限，可以直接使用 SHOW GRANTS; 這條命令，無(wú)需指定用戶名和主機(jī)。

權(quán)限層級(jí)：從全局到細(xì)粒度

MySQL 的權(quán)限控制是分層級(jí)的，理解這些層級(jí)對(duì)于有效管理權(quán)限至關(guān)重要。

• 全局權(quán)限: 這些權(quán)限影響整個(gè) MySQL 服務(wù)器，例如 CREATE USER, RELOAD, SHUTDOWN 等。 全局權(quán)限通常授予 dba 或者需要管理整個(gè)服務(wù)器的用戶。
• 數(shù)據(jù)庫(kù)權(quán)限: 這些權(quán)限針對(duì)特定的數(shù)據(jù)庫(kù)，例如 CREATE, select, INSERT, UPDATE, delete 等。 數(shù)據(jù)庫(kù)權(quán)限允許用戶在指定的數(shù)據(jù)庫(kù)中執(zhí)行操作。
• 表權(quán)限: 這些權(quán)限針對(duì)特定的表，允許用戶在指定的表上執(zhí)行操作，例如 SELECT, INSERT, UPDATE, DELETE 等。
• 列權(quán)限: 這是最細(xì)粒度的權(quán)限控制，允許用戶只對(duì)表中的特定列進(jìn)行操作。 例如，用戶可能只能讀取 employees 表的 name 和 department 列，而不能讀取 salary 列。
• 存儲(chǔ)過(guò)程權(quán)限: 這些權(quán)限控制用戶執(zhí)行存儲(chǔ)過(guò)程的權(quán)限。 例如，用戶可以被授權(quán)執(zhí)行某個(gè)存儲(chǔ)過(guò)程，但不能修改它。

GRANT 賦予權(quán)限

GRANT 語(yǔ)句用于授予用戶權(quán)限。 它的基本語(yǔ)法是：

GRANT permission_type ON database_name.table_name TO 'username'@'host';

permission_type 指定要授予的權(quán)限，例如 SELECT, INSERT, UPDATE, DELETE, CREATE, DROP 等。database_name.table_name 指定權(quán)限作用的數(shù)據(jù)庫(kù)和表。 ‘username’@’host’ 指定要授予權(quán)限的用戶和主機(jī)。

例如，要授予 ‘testuser’@’localhost’ 在 mydatabase 數(shù)據(jù)庫(kù)的所有表上執(zhí)行 SELECT 操作的權(quán)限，可以執(zhí)行以下語(yǔ)句：

GRANT SELECT ON mydatabase.* TO 'testuser'@'localhost';

如果要授予用戶所有權(quán)限，可以使用 ALL PRIVILEGES。 例如：

GRANT ALL PRIVILEGES ON mydatabase.* TO 'testuser'@'localhost';

REVOKE 收回權(quán)限

REVOKE 語(yǔ)句用于撤銷用戶權(quán)限。 它的基本語(yǔ)法是：

REVOKE permission_type ON database_name.table_name FROM 'username'@'host';

參數(shù)的含義與 GRANT 語(yǔ)句相同。

例如，要撤銷 ‘testuser’@’localhost’ 在 mydatabase 數(shù)據(jù)庫(kù)的所有表上執(zhí)行 SELECT 操作的權(quán)限，可以執(zhí)行以下語(yǔ)句：

REVOKE SELECT ON mydatabase.* FROM 'testuser'@'localhost';

權(quán)限管理常見(jiàn)問(wèn)題：Host 的重要性

很多人在授權(quán)時(shí)忽略了 host 的重要性。 ‘username’@’host’ 中的 host 決定了用戶可以從哪個(gè)主機(jī)連接到 MySQL 服務(wù)器。 如果 host 設(shè)置為 ‘localhost’，則用戶只能從本地連接。 如果 host 設(shè)置為 ‘%’，則用戶可以從任何主機(jī)連接。 但需要注意的是，’%’ 意味著任何地方，這存在安全風(fēng)險(xiǎn)，應(yīng)謹(jǐn)慎使用。

如果用戶需要從多個(gè)主機(jī)連接，可以為同一個(gè)用戶創(chuàng)建多個(gè)賬號(hào)，每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)主機(jī)。 例如：

CREATE USER 'testuser'@'192.168.1.100' IDENTIFIED BY 'password'; CREATE USER 'testuser'@'192.168.1.101' IDENTIFIED BY 'password';

然后分別授予這兩個(gè)賬號(hào)相應(yīng)的權(quán)限。

權(quán)限生效問(wèn)題：FLUSH PRIVILEGES

修改權(quán)限后，有時(shí)需要執(zhí)行 FLUSH PRIVILEGES; 語(yǔ)句來(lái)刷新權(quán)限緩存，使修改立即生效。 雖然 MySQL 通常會(huì)自動(dòng)刷新權(quán)限，但在某些情況下，手動(dòng)刷新可以避免權(quán)限延遲生效的問(wèn)題。 特別是當(dāng)使用第三方工具管理權(quán)限時(shí)，手動(dòng)刷新可能更加必要。

如何查看用戶密碼策略？

MySQL 8.0 引入了更嚴(yán)格的密碼策略。 要查看當(dāng)前用戶的密碼策略，可以使用以下命令：

SHOW VARIABLES LIKE 'validate_password%';

這將顯示與密碼驗(yàn)證相關(guān)的變量，例如密碼長(zhǎng)度、復(fù)雜度要求等。 你可以根據(jù)需要調(diào)整這些變量，以滿足安全需求。 需要注意的是，修改密碼策略可能會(huì)影響現(xiàn)有用戶的密碼，因此需要謹(jǐn)慎操作。

忘記root密碼怎么辦？

忘記 root 密碼是一個(gè)常見(jiàn)的問(wèn)題。 解決這個(gè)問(wèn)題通常需要重啟 MySQL 服務(wù)器，并在啟動(dòng)時(shí)跳過(guò)權(quán)限驗(yàn)證。 具體步驟如下：

1. 停止 MySQL 服務(wù)器。

2. 使用 –skip-grant-tables 選項(xiàng)啟動(dòng) MySQL 服務(wù)器。 例如：

   mysqld_safe --skip-grant-tables &

3. 連接到 MySQL 服務(wù)器。 由于跳過(guò)了權(quán)限驗(yàn)證，你無(wú)需密碼即可連接。

4. 使用以下語(yǔ)句修改 root 密碼：

   UPDATE mysql.user SET authentication_string=PASSWORD('new_password') WHERE User='root'; FLUSH PRIVILEGES;

5. 重啟 MySQL 服務(wù)器，并使用新密碼登錄。

請(qǐng)注意，在跳過(guò)權(quán)限驗(yàn)證期間，MySQL 服務(wù)器的安全性會(huì)降低，因此應(yīng)盡快完成密碼修改并重啟服務(wù)器。

權(quán)限收回后用戶還能做什么？

即使收回了用戶的所有權(quán)限，用戶仍然可以連接到 MySQL 服務(wù)器，但他們將無(wú)法執(zhí)行任何操作。 他們只能看到空數(shù)據(jù)庫(kù)列表，并且任何嘗試執(zhí)行查詢或修改操作都會(huì)失敗。 為了完全阻止用戶訪問(wèn) MySQL 服務(wù)器，你需要?jiǎng)h除該用戶。 使用以下語(yǔ)句刪除用戶：

DROP USER 'username'@'host';

刪除用戶后，該用戶將無(wú)法再連接到 MySQL 服務(wù)器。

權(quán)限管理最佳實(shí)踐

• 最小權(quán)限原則: 只授予用戶完成任務(wù)所需的最小權(quán)限。 避免授予用戶過(guò)多的權(quán)限，以降低安全風(fēng)險(xiǎn)。
• 使用角色: 將權(quán)限分配給角色，然后將角色分配給用戶。 這可以簡(jiǎn)化權(quán)限管理，并提高一致性。
• 定期審查權(quán)限: 定期審查用戶的權(quán)限，確保他們?nèi)匀恍枰@些權(quán)限。 及時(shí)撤銷不再需要的權(quán)限。
• 使用密碼策略: 啟用密碼策略，并強(qiáng)制用戶使用強(qiáng)密碼。 定期更改密碼，以提高安全性。
• 備份權(quán)限信息: 定期備份 MySQL 的權(quán)限信息，以便在發(fā)生意外情況時(shí)可以恢復(fù)。

理解并正確使用 MySQL 的權(quán)限管理功能，是確保數(shù)據(jù)庫(kù)安全的關(guān)鍵。 通過(guò)合理的權(quán)限分配和管理，可以有效地防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露。