Mysql 用户权限管理
1. MySQL 权限介绍
mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表,我当前的版本mysql 5.7.22 。html
mysql权限表的验证过程为:mysql
-
先从user表中的Host,User,Password这3个字段中判断链接的ip、用户名、密码是否存在,存在则经过验证。sql
-
经过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。即先检查全局权限表user,若是user中对应的权限为Y,则此用户对全部数据库的权限都为Y,将再也不检查db, tables_priv,columns_priv;若是为N,则到db表中检查此用户对应的具体数据库,并获得db中为Y的权限;若是db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。shell
1.1 MySQL 权限级别
分为:
全局性的管理权限: 做用于整个MySQL实例级别
数据库级别的权限: 做用于某个指定的数据库上或者全部的数据库上
数据库对象级别的权限:做用于指定的数据库对象上(表、视图等)或者全部的数据库对象上
数据库
权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中安全
查看mysql 有哪些用户:bash
mysql> select user,host from mysql.user;
来看root 用户在权限系统表中的数据:ide
mysql> use mysql; mysql> select * from user where user='root' and host='localhost'\G; #全部权限都是Y ,就是什么权限都有 mysql> select * from db where user='root' and host='localhost'\G; # 没有此条记录 mysql> select * from tables_priv where user='root' and host='localhost'; # 没有此条记录 mysql> select * from columns_priv where user='root' and host='localhost'; # 没有此条记录 mysql> select * from procs_priv where user='root' and host='localhost'; # 没有此条记录
上面说过:权限的验证过程函数
查看root@’localhost’用户的权限测试
mysql> show grants for root@localhost; +---------------------------------------------------------------------+ | Grants for root@localhost | +---------------------------------------------------------------------+ | GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION | | GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION | +---------------------------------------------------------------------+ 2 rows in set (0.00 sec)
2. MySQL 权限详解
-
All/All Privileges权限表明全局或者全数据库对象级别的全部权限 -
Alter权限表明容许修改表结构的权限,但必需要求有create和insert权限配合。若是是rename表名,则要求有alter和drop原表, create和insert新表的权限
-
Alter routine权限表明容许修改或者删除存储过程、函数的权限
-
Create权限表明容许建立新的数据库和表的权限
-
Create routine权限表明容许建立存储过程、函数的权限
-
Create tablespace权限表明容许建立、修改、删除表空间和日志组的权限
-
Create temporary tables权限表明容许建立临时表的权限
-
Create user权限表明容许建立、修改、删除、重命名user的权限
-
Create view权限表明容许建立视图的权限
-
Delete权限表明容许删除行数据的权限
-
Drop权限表明容许删除数据库、表、视图的权限,包括truncate table命令
-
Event权限表明容许查询,建立,修改,删除MySQL事件
-
Execute权限表明容许执行存储过程和函数的权限
-
File权限表明容许在MySQL能够访问的目录进行读写磁盘文件操做,可以使用的命令包括load data infile,select … into outfile,load file()函数
-
Grant option权限表明是否容许此用户受权或者收回给其余用户你给予的权限,从新付给管理员的时候须要加上这个权限
-
Index权限表明是否容许建立和删除索引
-
Insert权限表明是否容许在表里插入数据,同时在执行analyze table,optimize table,repair table语句的时候也须要insert权限
-
Lock权限表明容许对拥有select权限的表进行锁定,以防止其余连接对此表的读或写
-
Process权限表明容许查看MySQL中的进程信息,好比执行show processlist, mysqladmin processlist, show engine等命令
-
Reference权限是在5.7.6版本以后引入,表明是否容许建立外键
-
Reload权限表明容许执行flush命令,指明从新加载权限表到系统内存中,refresh命令表明关闭和从新开启日志文件并刷新全部的表
-
Replication client权限表明容许执行show master status,show slave status,show binary logs命令
-
Replication slave权限表明容许slave主机经过此用户链接master以便创建主从复制关系
-
Select权限表明容许从表中查看数据,某些不查询表数据的select执行则不须要此权限,如Select 1+1, Select PI()+2;并且select权限在执行update/delete语句中含有where条件的状况下也是须要的
-
Show databases权限表明经过执行show databases命令查看全部的数据库名
-
Show view权限表明经过执行show create view命令查看视图建立的语句
-
Shutdown权限表明容许关闭数据库实例,执行语句包括mysqladmin shutdown
-
Super权限表明容许执行一系列数据库管理命令,包括kill强制关闭某个链接命令, change master to建立复制关系命令,以及create/alter/drop server等命令
-
Trigger权限表明容许建立,删除,执行,显示触发器的权限
-
Update权限表明容许修改表中的数据的权限
-
Usage权限是建立一个用户以后的默认权限,其自己表明链接登陆权限
2.1 系统权限表
User表:存放用户帐户信息以及全局级别(全部数据库)权限,决定了来自哪些主机的哪些用户能够访问数据库实例,若是有全局权限则意味着对全部数据库都有此权限
Db表:存放数据库级别的权限,决定了来自哪些主机的哪些用户能够访问此数据库
Tables_priv表:存放表级别的权限,决定了来自哪些主机的哪些用户能够访问数据库的这个表
Columns_priv表:存放列级别的权限,决定了来自哪些主机的哪些用户能够访问数据库表的这个字段
Procs_priv表:存放存储过程和函数级别的权限
最重要的仍是user表
2.1.1 User和 db 权限表的结构
| 表名 | user |
db |
|---|---|---|
| 范围列 | Host |
Host |
User |
Db |
|
User |
||
| 权限列 | Select_priv |
Select_priv |
Insert_priv |
Insert_priv |
|
Update_priv |
Update_priv |
|
Delete_priv |
Delete_priv |
|
Index_priv |
Index_priv |
|
Alter_priv |
Alter_priv |
|
Create_priv |
Create_priv |
|
Drop_priv |
Drop_priv |
|
Grant_priv |
Grant_priv |
|
Create_view_priv |
Create_view_priv |
|
Show_view_priv |
Show_view_priv |
|
Create_routine_priv |
Create_routine_priv |
|
Alter_routine_priv |
Alter_routine_priv |
|
Execute_priv |
Execute_priv |
|
Trigger_priv |
Trigger_priv |
|
Event_priv |
Event_priv |
|
Create_tmp_table_priv |
Create_tmp_table_priv |
|
Lock_tables_priv |
Lock_tables_priv |
|
References_priv |
References_priv |
|
Reload_priv |
||
Shutdown_priv |
||
Process_priv |
||
File_priv |
||
Show_db_priv |
||
Super_priv |
||
Repl_slave_priv |
||
Repl_client_priv |
||
Create_user_priv |
||
Create_tablespace_priv |
||
| 安全专栏 | ssl_type |
|
ssl_cipher |
||
x509_issuer |
||
x509_subject |
||
plugin |
||
authentication_string |
||
password_expired |
||
password_last_changed |
||
password_lifetime |
||
account_locked |
||
| 资源控制列 | max_questions |
|
max_updates |
||
max_connections |
||
max_user_connections |
User权限表结构中的特殊字段:
-
Plugin,authentication_string字段存放用户认证信息
-
Password_expired设置成’Y’则代表容许DBA将此用户的密码设置成过时并且过时后要求用户的使用者重置密码(alter user/set password重置密码)
-
Password_last_changed做为一个时间戳字段表明密码上次修改时间,执行create user/alter user/set password/grant等命令建立用户或修改用户密码时
此数值自动更新 -
Password_lifetime表明从password_last_changed时间开始此密码过时的天数
-
Account_locked表明此用户被锁住,没法使用
在mysql 5.7 之前在user表有password 这个字段。
2.1.2 Tables_priv和columns_priv权限表结构
| 表名 | tables_priv |
columns_priv |
|---|---|---|
| 范围列 | Host |
Host |
Db |
Db |
|
User |
User |
|
Table_name |
Table_name |
|
Column_name |
||
| 权限列 | Table_priv |
Column_priv |
Column_priv |
||
| 其余列 | Timestamp |
Timestamp |
Grantor |
Tables_priv和columns_priv权限值
| Table Name | Column Name | Possible Set Elements |
|---|---|---|
tables_priv |
Table_priv |
'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter', 'Create View', 'Show view', 'Trigger' |
tables_priv |
Column_priv |
'Select', 'Insert', 'Update', 'References' |
columns_priv |
Column_priv |
'Select', 'Insert', 'Update', 'References' |
procs_priv |
Proc_priv |
'Execute', 'Alter Routine', 'Grant' |
2.1.3 procs_priv权限表结构
| Table Name | procs_priv |
|---|---|
| Scope columns | Host |
Db |
|
User |
|
Routine_name |
|
Routine_type |
|
| Privilege columns | Proc_priv |
| Other columns | Timestamp |
Grantor |
-
Routine_type是枚举类型,表明是存储过程仍是函数
-
Timestamp和grantor两个字段暂时没用
系统权限表字段长度限制表
| Column Name | Maximum Permitted Characters |
|---|---|
Host, Proxied_host |
60 |
User, Proxied_user |
32 |
Password |
41 |
Db |
64 |
Table_name |
64 |
Column_name |
64 |
Routine_name |
64 |
权限认证中的大小写敏感问题
-
字段user,password,authencation_string,db,table_name大小写敏感
-
字段host,column_name,routine_name大小写不敏感
2.2 用户权限信息管理
2.2.1 查看用户权限信息
查看MYSQL有哪些用户
mysql> select user,host from mysql.user;
查看已经受权给用户的权限信息
例如root
mysql> show grants for root@'localhost';
查看用户的其余非受权信息
mysql> show create user root@'localhost';
2.2.2 用户组成
MySQL的受权用户由两部分组成: 用户名和登陆主机名
-
表达用户的语法为’user_name’@’host_name’
-
单引号不是必须,但若是其中
包含特殊字符则是必须的 -
”@‘localhost’表明匿名登陆的用户
-
Host_name可使主机名或者ipv4/ipv6的地址。 Localhost表明本机, 127.0.0.1表明ipv4本机地址, ::1表明ipv6的本机地址
-
Host_name字段容许使用
%和_两个匹配字符,好比’%’表明全部主机, ’%.mysql.com’表明
来自mysql.com这个域名下的全部主机, ‘192.168.1.%’表明全部来自192.168.1网段的主机
User值 |
Host 值 |
容许的链接 |
|---|---|---|
'fred' |
'h1.example.net' |
fred,链接 h1.example.net |
'' |
'h1.example.net' |
任何用户,从中链接 h1.example.net |
'fred' |
'%' |
fred,从任何主机链接 |
'' |
'%' |
任何用户,从任何主机链接 |
'fred' |
'%.example.net' |
fred,从example.net域中的任何主机链接 |
'fred' |
'x.example.%' |
fred,从链接 x.example.net,x.example.com, x.example.edu,等; 这可能没用 |
'fred' |
'198.51.100.177' |
fred,从主机与IP地址链接 198.51.100.177 |
'fred' |
'198.51.100.%' |
fred,从198.51.100C类子网中的任何主机链接 |
'fred' |
'198.51.100.0/255.255.255.0' |
与前面的示例相同 |
2.2.3 修改用户权限
-
执行Grant,revoke,set password,rename user命令修改权限以后, MySQL会自动将修改后的权限信息同步加载到系统内存中
-
若是执行insert/update/delete操做上述的系统权限表以后,则必须再执行刷新权限命令才能同步到系统内存中,刷新权限命令包括:
flush privileges/mysqladmin flush-privileges / mysqladmin reload -
若是是修改tables和columns级别的权限,则客户端的下次操做新权限就会生效
-
若是是修改database级别的权限,则新权限在客户端执行use database命令后生效
-
若是是修改global级别的权限,则须要从新建立链接新权限才能生效
-
若是是修改global级别的权限,则须要从新建立链接新权限才能生效 (例如修改密码)
2.2.4 建立 mysql 用户
有两种方式建立MySQL受权用户
-
执行create user/grant命令(推荐方式) -
经过insert语句直接操做MySQL系统权限表
# 建立finley 这只是建立用户并无权限 mysql> CREATE USER 'finley'@'localhost' IDENTIFIED BY 'some_pass'; # 把finley 变成管理员用户 mysql> GRANT ALL PRIVILEGES ON *.* TO 'finley'@'localhost' WITH GRANT OPTION; #建立用户并赋予RELOAD,PROCESS权限 ,在全部的库和表上 mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost' identified by '123456'; # 建立keme用户,在test库,temp表, 上的id列只有select 权限 mysql> grant select(id) on test.temp to keme@'localhost' identified by '123456';
2.2.4 回收 mysql 权限
经过revoke命令收回用户权限,回收的时候看一下这个用户有哪些权限而后回收
我对admin 用户作测试
mysql> show grants for admin@'localhost'; mysql> select user,host from mysql.user; mysql> revoke PROCESS ON *.* FROM admin@'localhost';
2.2.5 删除 mysql 用户
经过执行drop user命令删除MySQL用户
还能够经过系统权限表删除(不建议)
mysql> drop user admin@'localhost';
2.2.6 设置MySQL用户资源限制
-
经过设置全局变量max_user_connections能够限制全部用户在同一时间链接MySQL实例的数量,但此参数没法对每一个用户区别对待,因此MySQL提供了对每一个用户的资源限制管理
-
MAX_QUERIES_PER_HOUR:一个用户在一个小时内能够执行查询的次数(基本包含全部语句)
-
MAX_UPDATES_PER_HOUR:一个用户在一个小时内能够执行修改的次数(仅包含修改数据库或表的语句)
-
MAX_CONNECTIONS_PER_HOUR:一个用户在一个小时内能够链接MySQL的时间
-
MAX_USER_CONNECTIONS:一个用户能够在
同一时间链接MySQL实例的数量 -
从5.0.3版本开始,对用户‘user’@‘%.example.com’的资源限制是指全部经过example.com域名主机链接user用户的链接,而不是分别指从host1.example.com和host2.example.com主机过来的链接
2.2.7 修改 mysql 用户密码
修改用户密码的方式包括:
mysql> ALTER USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';
mysql> SET PASSWORD FOR 'jeffrey'@'localhost' = PASSWORD('mypass');
mysql> GRANT USAGE ON *.* TO 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';
shell> mysqladmin -u user_name -h host_name password "new_password"
建立用户时指定密码
mysql> CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';
修改当前会话自己用户密码的方式包括:
mysql> ALTER USER USER() IDENTIFIED BY 'mypass';
mysql> SET PASSWORD = PASSWORD('mypass');
2.2.8 设置MySQL用户密码过时策略
设置系统参数default_password_lifetime做用于全部的用户帐户
-
default_password_lifetime=180 设置180天过时
-
default_password_lifetime=0 设置密码不过时
若是为每一个用户设置了密码过时策略,则会覆盖上述系统参数
ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE NEVER; 密码不过时 ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE DEFAULT; 默认过时策略
手动强制某个用户密码过时
ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE;
2.2.9 mysql 用户 lock
经过执行create user/alter user命令中带account lock/unlock子句设置用户的lock状态
Create user语句默认的用户是unlock状态
# 建立的时候给用户锁定 mysql> create user abc2@localhost identified by 'mysql' account lock;
Alter user语句默认不会修改用户的lock/unlock状态
# 修改用户为unlock mysql> alter user abc2@'localhost' account unlock;
当客户端使用lock状态的用户登陆MySQL时,会收到如此报错
Access denied for user ‘user_name’@’host_name’.
Account is locked.
官方文档:https://dev.mysql.com/doc/refman/5.7/en/privilege-system.html
- 1. mysql 用户权限管理
- 2. MySQL用户权限管理
- 3. mysql用户权限管理
- 4. Mysql 用户权限管理
- 5. Mysql用户管理和权限管理
- 6. MySQL权限管理 - mysql 帐户权限管理
- 7. MYSQL用户权限管理GRANT使用
- 8. MySQL(管理)01 -- 用户User和权限Privileges<B.用户管理权限设置>
- 9. MySQL13 DCL 管理用户 管理权限
- 10. 用户的管理 权限管理 用户权限 文件权限
- 更多相关文章...
- • MySQL删除用户权限(REVOKE) - MySQL教程
- • MySQL用户授权(GRANT) - MySQL教程
- • 漫谈MySQL的锁机制
- • Java Agent入门实战(三)-JVM Attach原理与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 融合阿里云,牛客助您找到心仪好工作
- 2. 解决jdbc(jdbctemplate)在测试类时不报错在TomCatb部署后报错
- 3. 解决PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE无法输入中文
- 4. vue+ant design中关于图片请求不显示的问题。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解决IDEA用Maven创建的Web工程不能创建Java Class文件的问题
- 7. [已解决] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea让java文件夹正常使用
- 9. Eclipse启动提示“subversive connector discovery”
- 10. 帅某-技巧-快速转帖博主文章(article_content)