MySQL 操做命令梳理(4)-- grant受权和revoke回收权限
在mysql维护工做中,作好权限管理是一个很重要的环节。下面对mysql权限操做进行梳理:mysql
mysql的权限命令是grant,权限撤销的命令时revoke;
grant受权格式:grant 权限列表 on 库.表 to 用户名@'ip' identified by "密码";
revoke回收权限格式:revoke 权限列表 on 库.表 from 用户名@'ip';sql
下面经过一些例子说明:
1.grant受权
1)grant 普通数据用户,查询、插入、更新、删除 数据库中全部表数据的权利。数据库
mysql> grant all on *.* to wang@'192.168.1.150' identified by "password"; //all等同于all privilege,其中的privileges能够省略 mysql> grant all privileges on *.* to wang@'192.168.1.%' identified by "123456"; //192.168.1.%表示一个网段 mysql> grant insert,select,update,delete,drop,create,alter on huanqiu.* to wang@'%' identified by "123456"; mysql> flush privileges //受权以后,不要忘记更新权限表
2.查看权限
1)查看当前用户下全部的权限安全
mysql> show grants; +----------------------------------------------------------------------------------------------------------------------------------------+ | Grants for root@localhost | +----------------------------------------------------------------------------------------------------------------------------------------+ | GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY PASSWORD '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9' WITH GRANT OPTION | | GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION | +----------------------------------------------------------------------------------------------------------------------------------------+ 2 rows in set (0.00 sec)
2)查看指定用户下的全部权限
USAGE是默认的初始状态,表示无任何权限!!
下面表示wang用户在192.168.1.0/24网段登录本机mysql后,对huanqiu库下的全部表有insert,update,alter,delete,create,select的操做权限!服务器
mysql> show grants for wang@'192.168.1.%'; //能够在select user,host,password from mysql.user执行结果中找对应的权限用户信息 +---------------------------------------------------------------------------------------------------------------+ | Grants for wang@192.168.1.% | +---------------------------------------------------------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' | | GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' | +---------------------------------------------------------------------------------------------------------------+ 2 rows in set (0.00 sec)
3.revoke撤销权限
revoke跟grant语法差很少,只须要把关键字 “to” 换成 “from” 便可,而且revoke语句中不须要跟密码设置。
注意:revoke能够回收全部权限,也能够回收部分权限。运维
mysql> revoke all on *.* from wang@'192.168.1.150'; mysql> revoke all privileges on *.* from wang@'192.168.1.%'; mysql> revoke insert,select,update,delete,drop,create,alter on huanqiu.* from wang@'%'; mysql> flush privileges
注意事项:
1)grant, revoke用户权限后,该用户只有从新链接MySQL数据库,权限才能生效。
2)若是想让受权的用户,也能够将这些权限grant给其余用户,那么受权时需添加选项 "grant option"!
以下设置后,那么这个wang用户链接mysql后也能够将这些权限授予其余用户。ide
mysql> grant insert,select,update,alter on huanqiu.* to wang@'%' identified by "123456" with grant option;
-------------------------------------------------------------------------------------------------------------------
mysql受权表一共涉及到5个表,分别是user、db、host、tables_priv和columns_priv。
这5张表的内容和用途以下:
1)user表
user表列出能够链接服务器的用户及其口令,而且它指定他们有哪一种全局(超级用户)权限。在user表启用的任何权限均是全局权限,并适用于全部数据库。例如,若是你启用了DELETE权限,在这里列出的用户能够从任何表中删除记录,因此在你这样作以前要认真考虑。ip
2)db表
db表列出数据库,而用户有权限访问它们。在这里指定的权限适用于一个数据库中的全部表。开发
3)host表
host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限,这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响,因此,你可能发觉你根本不是用它。it
4)tables_priv表
tables_priv表指定表级权限,在这里指定的一个权限适用于一个表的全部列。
5)columns_priv表
columns_priv表指定列级权限。这里指定的权限适用于一个表的特定列。
------------------------------------------------------------------------------------------------------------------
看下面一个实例:
给wang用户受权的权限太大了,如今要收回部分权限,只留给wang用户select和alter的权限。
mysql> show grants for wang@'192.168.1.%'; +---------------------------------------------------------------------------------------------------------------+ | Grants for wang@192.168.1.% | +---------------------------------------------------------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' | | GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' | +---------------------------------------------------------------------------------------------------------------+ 2 rows in set (0.00 sec) mysql> revoke insert,update,delete,create on huanqiu.* from wang@'192.168.1.%'; Query OK, 0 rows affected (0.00 sec) mysql> flush privileges; Query OK, 0 rows affected (0.00 sec) mysql> show grants for wang@'192.168.1.%'; +---------------------------------------------------------------------------------------------------------------+ | Grants for wang@192.168.1.% | +---------------------------------------------------------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' | | GRANT SELECT, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' | +---------------------------------------------------------------------------------------------------------------+ 2 rows in set (0.00 sec)
发现revoke回收权限操做后,只剩下select和alter权限了。
revoke回收部分权限,剩下的权限的密码保持不变。
这里特别注意下:
若是给一个用户设置的权限过大,除了上面使用revoke回收部分权限外,还可使用grant进行权限修改!
也就是说,grant不只能够添加权限,也能够修改权限(实际上就是对同一'用户名'@'ip'设置权限,以覆盖以前的权限);
grant修改后的权限将覆盖以前的权限!
那么问题来了:受权后的密码是密文形式保存的,若是记不住以前受权时的密码,那么怎样保证覆盖后的权限跟以前的权限一致?
莫慌!
grant受权操做中其实不只能够设置明文密码,也能够设置密文密码,以下:
1)grant 权限列表 on 库.表.* to 用户名@'ip' identified by "明文密码"
2)grant 权限列表 on 库.表.* to 用户名@'ip' identified by password "密文密码"
也就是说:
在grant重置权限的时候能够用查看的密文密码当作新的密码,而后去覆盖以前的权限,这就保证了修改先后的密码一致!
如上的例子,采用grant的操做以下:
mysql> show grants for wang@'192.168.1.%'; +---------------------------------------------------------------------------------------------------------------+ | Grants for wang@192.168.1.% | +---------------------------------------------------------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' | | GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' | +---------------------------------------------------------------------------------------------------------------+ 2 rows in set (0.00 sec) mysql> grant alter,select on huanqiu.* to wang@'192.168.1.%' identified by password '*678E2A46B8C71291A3915F92736C080819AD76DF'; Query OK, 0 rows affected (0.00 sec) mysql> flush privileges; Query OK, 0 rows affected (0.00 sec) mysql> show grants for wang@'192.168.1.%'; +---------------------------------------------------------------------------------------------------------------+ | Grants for wang@192.168.1.% | +---------------------------------------------------------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' | | GRANT SELECT, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' | +---------------------------------------------------------------------------------------------------------------+ 2 rows in set (0.00 sec)
一般开发同事在让运维同事开通mysql权限时,他们会在本身本地mysql里生成一个密文密码,而后把这个密文密码给运维同事,运维同事在用这个密文密码进行受权,那么受权的密码就只有开发同事本身知道了,其余人都不知道!比较安全的一种作法~
- 1. mysql操做命令梳理(4)-grant受权和revoke回收权限
- 2. SQL之Grant(分配权限)和Revoke(回收权限)
- 3. MySQL中受权(grant)和撤销受权(revoke)命令之用法
- 4. SQL—受权grant与回收revoke
- 5. Oracle 权限(grant、revoke)
- 6. MySQL中受权(grant)和撤销受权(revoke
- 7. Oracle常见受权与回收权限(grant和revoke)学习记录
- 8. 数据库安全--受权GRANT和回收REVOKE
- 9. mysql受权grant
- 10. mysql grant受权
- 更多相关文章...
- • MySQL删除用户权限(REVOKE) - MySQL教程
- • MySQL用户授权(GRANT) - MySQL教程
- • Docker 清理命令
- • 漫谈MySQL的锁机制
-
每一个你不满意的现在,都有一个你没有努力的曾经。