MySQL深刻研究：用户管理

俗世游子：专一技术研究的程序猿

说在前面的话

安装完成以后，默认状况下会有一个帐户：root，该帐户拥有数据库最高权限，若是咱们下发root帐户作开发帐号，很容易出现误删系统库的问题，因此咱们最好可以新建帐户，授予须要的权限就好

下面咱们来看看该如何操做

操做MySQL

当前MySQL环境： 8.0.23

链接到MySQL

再回顾一下，上节聊到经过命令行链接到MySQL的命令：

mysql -uroot -p

-u表示要跟上用户名，-p表示密码，其实能够写成这样:

mysql -uroot -p123456

这种方式只适合用于简单的密码，若是一些密码中存在特殊字符，那么就不行了

固然，咱们还能够链接到远程服务器，经过-h来操做：

mysql -h127.0.0.1 -uroot -p

链接本地MySQL的话，能够省略-h

进入到MySQL

链接进来以后，咱们能够经过如下方式查看有多少数据库：

show databases;

MySQL刚刚安装，包含这5个库，其中：

• information_schema：其中存储整个数据库中的全部结构和信息，包含表结构，字段等信息
• mysql：存储数据库中用户，角色等等的信息
• sys：其中只有一张表，存储的是系统配置信息

• performance_schema：存储MySQL监控信息，若是SQL执行时间，CPU占用率，线程数等等不少的信息，若是咱们想作一个MySQL监控工具，这个库中的表很关键

• test：这个库就是一个测试库，咱们通常操做都是在这里或者是新建库

若是咱们想要进入到某一个库，经过use来进入

use test;

这样就进入到了test库中

若是不想用test，想本身建立的话，那么经过help create database能够查看详细的说明

create database test1;

用户管理

角色：create role

这里须要注意一点，角色这一特性在MySQL 8.x之下的版本是不存在的

CREATE ROLE [IF NOT EXISTS] role [, role ] ...

建立角色的方式很是简单，经过这一sql就能够建立完成，同时建立角色的同时也能够指定其Host方式，好比：

CREATE ROLE 'administrator', 'developer';
CREATE ROLE 'webapp'@'localhost';

那么，建立好的角色咱们应该在哪里查看？进入到mysql库，经过show tables能够查看全部的表。事实上，建立好的角色保存在了user表中，是否是很奇怪

select Host,User,plugin from user;

能够看到，咱们新建的3个角色

用户：create user

成功进入到MySQL以后，咱们就开始建立用户吧。

记住，想要新建用户，必须拥有特定的权限，否则是没法新建用户的：

• CREATE USER的权限
• mysql库中user表的INSERT权限

help create user;

create user新建用户的格式很长，咱们只看咱们经常使用的，其余的你们本身尝试

下面咱们经过实际语句来操做一下：

建立用户并设置密码

CREATE USER 'test1'@'%' IDENTIFIED BY 'ASDFghjk123!@#';

%表示为链接主机名，表示任意客户端均可以正常链接，若是设置为localhost，那么只有本地能够链接，当前能够设置为IP等，

能够发现是能够正常进入的，只有一个库，并且没有任何权限

权限后面说，建立用户的过程尚未完

建立好的用户会存储在mysql/user表中，咱们只须要进入到这种表查看：

use mysql
select Host,User,plugin from user;

因此说，MySQL8.x的版本默认建立的身份验证方式是：caching_sha2_password，下面咱们指定一下验证方式的方式来建立

caching_sha2_password这种方式一些远程客户端是没法验证经过的，须要指定到以前的验证方式

建立用户并指定身份验证

CREATE USER
  'test2'@'localhost' IDENTIFIED WITH mysql_native_password
                                   BY 'ASDFghjk123!@#';

建立用户并指定角色

前面提到，单纯的建立用户没有任何操做权限，因此咱们在建立的时候经过指定角色的方式来让用户拥有权限

CREATE USER 'test3'@'%' IDENTIFIED WITH mysql_native_password BY 'ASDFghjk123!@#' DEFAULT ROLE administrator, developer;

这里在指定角色的时候，角色必须是要存在的，否则会报错

其中关系对应存在存储在default_roles中

这里想象成RBAC形式的受权方式，用户只须要受权角色，当前用户就能够拥有该角色下的全部资源

修改：alter user

若是咱们用户已是存在的，好比：root用户，咱们须要对该用户进行调整，咱们只能经过alter user来调整了

help alter user;

一样，经过help来查看当前如何使用，这里就不贴图了，下面具体看实例

查看当前用户

若是咱们想要查看咱们当前登陆的用户，能够经过如下方式

select CURRENT_USER();

修改指定用户密码和身份验证

ALTER USER 'test2'@'localhost'
  IDENTIFIED WITH mysql_native_password
             BY 'ZXCvbn457$%^';

记住，若是咱们在修改一个没有的用户，那么就会报错，也就是说这里是关键：'test2'@'localhost'

上一节里面为了可以让root用户远程链接，咱们是用过这个命令的

修改指定用户的角色

一样的，若是须要修改用户的受权角色的话，那么咱们也能够经过这种方式来进行操做

ALTER USER 'test3'@'%' DEFAULT ROLE administrator;

这样咱们经过select * from default_roles就能够查询到最终受权

修改完以后，须要刷新一下资源才能生效

FLUSH PRIVILEGES;

资源受权

相信你们也发现了，咱们如今只是建立好了角色和用户，可是没法进行任何操做，因此咱们接下来就对这些进行受权，让咱们能够经过咱们新建的用户进行正常操做

受权语句采用GRANT来进行操做，咱们经过help来查看具体的使用方式：

help grant

经过help其实咱们能够看到，官方除了给出了和具体的介绍，还给出了实际案例

咱们不作程序，咱们只是程序的搬运工

单用户受权

先来看个简单的操做：

grant all on *.* to 'test2'@'localhost';

执行完最好刷新一下资源flush privileges;

若是咱们经过test2这个用户就能够执行正常操做了

下面咱们就来解释下各个含义：

• all：表示操做，是指SELECT，UPDATE，INSERT，DELETE等不少不少的权限

具体权限信息请查看：MySQL支持的权限

• *.*：前一个表示库名，后一个表示表名，*表示所有，能够操做所有的库包括系统库。若是想要操做某一个库或者某个库下的某一张表，那么就能够经过具体名称指定的方式来限制

grant all on test.user to 'test2'@'localhost';

若是咱们是想给表中的某个字段授予权限，那么授予的每一个权限都必须跟上列名

grant select(id), insert(login_name, login_pwd) on test.user to 'test2'@'localhost';

若是咱们想经过表来查看具体的受权信息，那么咱们须要关注mysql库中关于*_priv的表，好比：

create user 'test1'@'%' identified with mysql_native_password by 'ASDfghjkl456^&*';
grant update on test.user to 'test1'@'%';
flush privileges;

对应的关系就存储在这里了

并且对应的效果也在这里，能够很明显的看出来

关于用户的受权方式就到这里了，你们能够本身尝试一下

角色受权

除了用户，角色的受权方式也很是重要，这样同一组受权资源经过角色受权就很是方便了

首先，咱们先来看如何将角色受权给用户

GRANT 'role1', 'role2' TO 'test3'@'%';

须要注意的是，这里角色和用户都是必需要存在的，还记得建立角色和用户的语句么？

create role role1, role2;
create user 'test3'@'%' identified with mysql_native_password by 'ASDfghjkl456^&*';

接下来咱们经过grant给角色受权，其实和给用户受权是同样的方式

grant select on test.user to 'role1';
grant delete on test.user to 'role2';

如今将角色受权给用户

GRANT 'role1', 'role2' TO 'test3'@'%';

和直接受权用户不一样的一点在于：

• 在账户会话中，授予用户账户的角色能够是活动的，也能够是不活动的。若是授予的角色在会话中处于活动状态，则其权限适用；不然，他们相反

若是咱们查看当前角色是否活动状态，那么经过SELECT CURRENT_ROLE();来查看

出现NONE说明是不活动的状态，咱们须要激活角色

SET DEFAULT ROLE role1, role2 TO 'test3'@'%'
SET DEFAULT ROLE ALL TO 'test3'@'%'

若是想要激活全部权限的话，那么就经过all来设置

这样就正常了，具体表现就不贴图了，你们本身尝试下

最后的话

关于其余更多的操做，经过查看MySQL官网来看，下面给出具体网址：
MySQL帐户设置