MySQL 8.0用户和角色管理

时间 2019-12-11

标签 mysql 8.0 用户角色管理栏目 MySQL 繁體版

原文原文链接

MySQL8.0新加了不少功能，其中在用户管理中增长了角色的管理，mysql

默认的密码加密方式也作了调整，由以前的sha1改成了sha2，同时加上5.7的禁用用户和用户过时的设置，sql

这样方面用户的管理和权限的管理，也增长了用户的安全性。数据库

MySQL8.0中，MySQL库中表的文件合并到数据根目录中的mysql.ibd中（MySQL8.0 Innodb引擎重构）。安全

同时MySQL8.0可使用SET PERSIST动态修改参数并保存在配置文件中（mysqld-auto.cnf，保存的格式为JSON串），服务器

这个是DBA同窗的福音，没必要担忧设置以后忘记保存在配置文件中，重启以后会被还原的问题了。app

查阅了MySQL8.0的官方文档，经过官方的示例来查看新的管理方式。运维

一、MySQL用户管理学习

　　1.一、验证插件和密码加密方式的变化在MySQL 8.0中，caching_sha2_password是默认的身份验证插件而不是以前版本的mysql_native_password，测试

　　　　默认的密码加密方式是sha2。加密

　　　　若是须要保持以前的验证方式并保持以前版本的密码加密方式须要在配置文件中修改，暂不支持动态修改，须要重启生效：default_authentication_plugin = mysql_native_password。

　　　　将8.0已有的sha2密码修改成sha1的模式：

　　　　ALTER USER 'root'@'127.0.0.1' IDENTIFIED BY 'passowrd' PASSWORD EXPIRE NEVER;

　　　　#修改加密规则为永不过时

　　　　ALTER USER 'root'@'127.0.0.1' IDENTIFIED WITH mysql_native_password BY 'password';

　　　　#更新一下用户的密码加密方式为以前版本的方式

　　　　FLUSH PRIVILEGES; #刷新权限

　　1.2 用户受权和修改密码

　　MySQL8.0的用户受权和以前有所区别，老版本的经常使用受权语句在8.0中会报错：

　　MySQL8.0以前版本：

　　GRANT ALL ON *.* TO `wangwei`@`127.0.0.1` IDENTIFIED BY 'passowrd' WITH GRANT OPTION;

　　MySQL8.0版本：

# 建立帐号密码
CREATE USER `wangwei`@`127.0.0.1` IDENTIFIED BY 'passowrd';

# 授予权限
GRANT ALL ON *.* TO `wangwei`@`127.0.0.1` WITH GRANT OPTION;

# 删除权限
REVOKE all privileges ON databasename.tablename FROM 'username'@'host';

# 修改密码

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '你的密码';

　　MySQL8.0中带过时时间用户的建立：

　　CREATE USER `wangwei`@`127.0.0.1` IDENTIFIED BY 'wangwei' PASSWORD EXPIRE INTERVAL 90 DAY;

　　GRANT ALL ON *.* TO `wangwei`@`127.0.0.1` WITH GRANT OPTION;

MySQL8.0修改用户密码：

　　1.二、密码过时时间管理

　　要全局创建自动密码到期策略，请使用default_password_lifetime系统变量。其默认值为0，禁用自动密码过时。

　　若是值default_password_lifetime正整数N，则表示容许的密码生存期，以便密码必须天天更改N。能够加在配置文件中：

　　　　1：要创建全局策略，密码的使用期限大约为六个月，请在服务器my.cnf文件中使用如下行启动服务器：

　　　　[mysqld]default_password_lifetime=180

　　　　2：要创建全局策略，以便密码永不过时，请将其设置default_password_lifetime为0：

　　　　[mysqld]default_password_lifetime=0

　　　　这个参数是能够动态设置并保存的：

　　　　SET PERSIST default_password_lifetime = 180;SET PERSIST default_password_lifetime = 0;

　　　　建立和修改带有密码过时的用户，账户特定的到期时间设置示例：

　　　　要求每90天更换密码：

　　　　　　CREATE USER 'wangwei'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

　　　　　　ALTER USER 'wangwei'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

　　　　禁用密码过时：

　　　　　　CREATE USER ' wangwei'@'localhost' PASSWORD EXPIRE NEVER;

　　　　　　ALTER USER 'wangwei'@'localhost' PASSWORD EXPIRE NEVER;

　　　　遵循全局到期政策：

　　　　　　CREATE USER 'wangwei'@'localhost' PASSWORD EXPIRE DEFAULT;

　　　　　　ALTER USER 'wangwei'@'localhost' PASSWORD EXPIRE DEFAULT;1.3 MySQL用户密码重用策略设置

　　　　MySQL容许限制重复使用之前的密码。能够根据密码更改次数、已用时间或二者来创建重用限制。账户的密码历史由过去分配的密码组成。

MySQL能够限制今后历史记录中选择新密码：

　　一、若是根据密码更改次数限制账户，则没法从指定数量的最新密码中选择新密码。例如，若是密码更改的最小数量设置为3，则新密码不能与任何最近的3个密码相同。

　　二、若是账户因时间的限制而被限制，则没法从历史记录中的新密码中选择新密码，该新密码不会超过指定的天数。例如，若是密码重用间隔设置为60，则新密码不得在最近60天内选择的密码之间。

　　注意：空密码不记录在密码历史记录中，并随时能够重复使用。

　　要全局创建密码重用策略，请使用password_history和password_reuse_interval系统变量。要在服务器启动时指定变量值，请在服务器my.cnf文件中定义它们。

　　示例：

　　要禁止重复使用最近6个密码或密码超过365天的任何密码，请将这些行放入您的服务器 my.cnf文件中：

　　[mysqld]password_history=6password_reuse_interval=365

　　要动态设置和保存配置，请使用以下所示的语句：

　　SET PERSIST password_history = 6;

　　SET PERSIST password_reuse_interval = 365;二、MySQL8.0的角色管理

MySQL角色是指定的权限集合。像用户账户同样，角色能够拥有授予和撤消的权限。

能够授予用户账户角色，授予该账户与每一个角色相关的权限。用户被授予角色权限，则该用户拥有该角色的权限。

如下列表总结了MySQL提供的角色管理功能：

CREATE ROLE并 DROP ROLE角色建立和删除；
GRANT并 REVOKE为用户和角色分配和撤销权限；
SHOW GRANTS 显示用户和角色的权限和角色分配；
SET DEFAULT ROLE 指定哪些账户角色默认处于活动状态；
SET ROLE 更改当前会话中的活动角色。
CURRENT_ROLE()功能显示当前会话中的活动角色。

　　2.1 建立角色并授予用户角色权限

　　考虑以下几种场景：

应用程序使用名为app_db的数据库。
与应用程序相关联，能够为建立和维护应用程序的开发人员以及管理员帐户。
开发人员须要彻底访问数据库。有的用户只须要读取权限，有的用户须要读取/写入权限。

为清楚区分角色的权限，将角色建立为所需权限集的名称。经过受权适当的角色，能够轻松地为用户账户授予所需的权限。

要建立角色，请使用CREATE ROLE：

CREATE ROLE 'app_developer', 'app_read', 'app_write';

角色名称与用户账户名称很是类似，由格式中的用户部分和主机部分组成。主机部分，若是省略，则默认为%。用户和主机部分能够不加引号，除非它们包含特殊字符。与账户名称不一样，角色名称的用户部分不能为空。为角色分配权限，使用与为用户分配权限相同的语法执行：

GRANT ALL ON app_db.* TO 'app_developer';GRANT SELECT ON app_db.* TO 'app_read';GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';CREATE ROLE 'app_developer', 'app_read', 'app_write';

　　如今假设您最初须要一个开发人员账户，两个须要只读访问权的用户以及一个须要读取/写入权限的用户。

　　使用CREATEUSER建立用户：

CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';

　　要为每一个用户分配其所需的权限，可使用GRANT与刚才显示的形式相同的语句，但这须要列举每一个用户的我的权限。

　　相反，使用GRANT容许受权角色而非权限的替代语法：

GRANT 'app_developer' TO 'dev1'@'localhost';GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

　　结合角色所需的读取和写入权限，在GRANT中受权 rw_user1用户读取和写入的角色。

　　在GRANT受权角色的语法和受权用户的语法不一样：有一个ON来区分角色和用户的受权，有ON的为用户受权，而没有ON用来分配角色。

　　因为语法不一样，所以不能在同一语句中混合分配用户权限和角色。（容许为用户分配权限和角色，但必须使用单独的GRANT语句，每种语句的语法都要与受权的内容相匹配。）

2.2 检查角色权限

　　要验证分配给用户的权限，使用 SHOW GRANTS。例如：

　　mysql> SHOW GRANTS FOR 'dev1'@'localhost';

　　可是，它会显示每一个授予的角色，而不会将其显示为角色所表明的权限。若是要显示角色权限，添加一个 USING来显示：

　　mysql> SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';

　　一样验证其余类型的用户：

　　mysql> SHOW GRANTS FOR 'read_user1'@'localhost' USING 'app_read';

　　2.3 撤消角色或角色权限

　　正如能够受权某个用户的角色同样，能够从账户中撤销这些角色：

　　REVOKE role FROM user;

　　REVOKE能够用于角色修改角色权限。这不只影响角色自己权限，还影响任何授予该角色的用户权限。假设想临时让全部用户只读，使用REVOKE从该app_write角色中撤消修改权限：

　　REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

　　碰巧，某个角色彻底没有任何权限，正如能够看到的那样SHOW GRANTS （这个语句能够和角色一块儿使用，而不只仅是查询用户权限可用）：

　　mysql> SHOW GRANTS FOR 'app_write';

　　从角色中撤销权限会影响到该角色中任何用户的权限，所以 rw_user1如今已经没有表修改权限（INSERT， UPDATE，和 DELETE权限已经没有了）：

　　mysql> SHOW GRANTS FOR 'rw_user1'@'localhost' USING 'app_read', 'app_write';

　　实际上，rw_user1读/写用户已成为只读用户。对于被授予app_write角色的任何其余用户也会发生这种状况，说明修改使用角色而没必要修改我的账户的权限。

　　要恢复角色的修改权限，只需从新授予它们便可：

　　GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';

　　如今rw_user1再次具备修改权限，就像受权该app_write角色的其余任何账户同样。

　　2.4 删除角色

　　要删除角色，请使用DROP ROLE：

　　DROP ROLE 'app_read', 'app_write';

　　删除角色会从受权它的每一个账户中撤消该角色。

　　2.5 角色和用户在实际中的应用

　　假设遗留应用开发项目在MySQL中的角色出现以前开始，所以与该项目相关联的全部用户都是直接授予权限（而不是授予角色权限）。其中一个账户是最初被授予权限的开发者用户，以下所示：

　　CREATE USER 'old_app_dev'@'localhost' IDENTIFIED BY 'old_app_devpass';GRANT ALL ON old_app.* TO 'old_app_dev'@'localhost';

　　若是此开发人员离开项目，则有必要将权限分配给其余用户，或者项目参与人增多，则可能须要多个用户。如下是解决该问题的一些方法：

不使用角色：更改账户密码，以便原始开发人员不能使用它，并让新的开发人员使用该账户：

　　ALTER USER 'old_app_dev'@'localhost' IDENTIFIED BY 'new_password';

使用角色：锁定账户以防止任何人使用它来链接服务器：

　　ALTER USER 'old_app_dev'@'localhost' ACCOUNT LOCK;

　　而后将该账户视为角色。对于每一个新开发项目的开发者，建立一个新账户并授予其原始开发者账户：

　　CREATE USER 'new_app_dev1'@'localhost' IDENTIFIED BY 'new_password';GRANT 'old_app_dev'@'localhost' TO 'new_app_dev1'@'localhost';

　　其效果是将原始开发者账户权限分配给新账户。

MySQL8.0的用户和角色管理也愈来愈像Oracle了，8.0中有很多新的特性，变化仍是很大的，须要DBA不断的学习和测试，更新对MySQL新版的认知，更好地运维MySQL数据库。将来MySQL数据库自治和智能数据库是必然发展趋势，对DBA来讲是解放，也是挑战。

文章来源： https://www.sohu.com/a/229885311_610509