MySQL 用戶與受權管理詳解

時間 2020-07-06

標籤 mysql 用戶受權管理詳解欄目 MySQL 简体版

原文原文鏈接

大綱mysql

1、前言sql

2、建立用戶並受權數據庫

3、GRANT語句的種類緩存

4、撤權並刪除用戶安全

1、前言bash

作爲Mysql數據庫管理員管理用戶帳戶，是一件很重要的事，指出哪一個用戶能夠鏈接服務器，從哪裏鏈接，鏈接後能作什麼。Mysql從3.22.11開始引入兩個語句來作這件事，GRANT語句建立Mysql用戶並指定其權限，而REVOKE語句刪除權限。CREATE和REVOKE語句影響4個表，服務器

user 能鏈接服務器的用戶以及他們擁有的任何全局權限網絡
db 數據庫級權限ide
tables_priv 表級權限函數
columns_priv 列級權限

還有第5個受權表host，但它不受GRANT和REVOKE的影響，下面咱們看一下mysql數據庫中的全部表，

mysql> use mysql;  
Database changed   
mysql> show tables;   
+---------------------------+   
| Tables_in_mysql           |   
+---------------------------+   
| columns_priv              |   
| db                        |   
| event                     |   
| func                      |   
| general_log               |   
| help_category             |   
| help_keyword              |   
| help_relation             |   
| help_topic                |   
| host                      |   
| ndb_binlog_index          |   
| plugin                    |   
| proc                      |   
| procs_priv                |   
| proxies_priv              |   
| servers                   |   
| slow_log                  |   
| tables_priv               |   
| time_zone                 |   
| time_zone_leap_second     |   
| time_zone_name            |   
| time_zone_transition      |   
| time_zone_transition_type |   
| user                      |   
+---------------------------+   
24 rows in set (0.00 sec)

當你對一個用戶發出一條GRANT語句時，在user表中爲該用戶建立一條記錄。若是語句指定任何全局權限（管理權限或適用於全部數據庫的權限），這些也記錄在user表中。若是你指定數據庫、表和列級權限，他們被分別記錄在db、tables_priv和columns_priv表中。

2、建立用戶並受權

1.GRANT 語句的用法

mysql> ? grant  
Name: 'GRANT'   
Description:   
Syntax:   
GRANT   
    priv_type [(column_list)]   
      [, priv_type [(column_list)]] ...   
    ON [object_type] priv_level   
    TO user_specification [, user_specification] ...   
    [REQUIRE {NONE | ssl_option [[AND] ssl_option] ...}]   
    [WITH with_option ...]

GRANT語句的語法看上去像這樣,

GRANT privileges [columns] ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION;

注：紅顏色標識出來的，都是能夠定義的，下面咱們來一個一個說明！

2.權限分類（privileges）

第一組：指定符適用於數據庫、表和列

ALTER 修改表和索引
CREATE 建立數據庫和表
DELETE 刪除表中已有的記錄
DROP 刪除數據庫和表
INDEX 建立或拋棄索引
INSERT 向表中插入新行
REFERENCE 未用
SELECT 檢索表中的記錄
UPDATE 修改現存表記錄

第二組：指定數據庫數管理權限

FILE 讀或寫服務器上的文件
PROCESS 查看服務器中執行的線程信息或殺死線程
RELOAD 重載受權表或清空日誌、主機緩存或表緩存
SHUTDOWN 關閉服務器

第三組權限特殊：ALL意味着「全部權限」，UASGE意味着無權限，即建立用戶，但不授予權限

ALL 全部；ALL PRIVILEGES「全部權限」
USAGE 特殊的「無權限」權限

3.columns
權限運用的列，它是可選的，而且你只能設置列特定的權限。若是命令有多於一個列，應該用逗號分開它們。

4.what
權限運用的級別。權限能夠是全局的（適用於全部數據庫和全部表）、特定數據庫（適用於一個數據庫中的全部表）或特定表的。能夠經過指定一個columns字句是權限是列特定的。

5.user
權限授予的用戶，它由一個用戶名和主機名組成。在MySQL中，你不只指定誰能鏈接，還有從哪裏鏈接。這容許你讓兩個同名用戶從不一樣地方鏈接。MySQL讓你區分他們，並彼此獨立地賦予權限。
MySQL中的一個用戶名就是你鏈接服務器時指定的用戶名，該名字沒必要與你的Unix登陸名或Windows名聯繫起來。缺省地，若是你不明確指定一個名字，客戶程序將使用你的登陸名做爲MySQL用戶名。這只是一個約定。你能夠在受權表中將該名字改成nobody，而後以nobody鏈接執行須要超級用戶權限的操做。

6.password
賦予用戶的口令，它是可選的。若是你對新用戶沒有指定IDENTIFIED BY子句，該用戶不賦給口令（不安全）。對現有用戶，任何你指定的口令將代替老口令。若是你不指定口令，老口令保持不變，當你用IDENTIFIED BY時，口令字符串用改用口令的字面含義，GRANT將爲你編碼口令，不要象你用SET PASSWORD 那樣使用password()函數。

7.WITH GRANT OPTION子句是可選的。若是你包含它，用戶能夠授予權限經過GRANT語句受權給其它用戶。你能夠用該子句給與其它用戶受權的能力。

注：用戶名、口令、數據庫和表名在受權表記錄中是大小寫敏感的，而主機名和列名不是。

3、GRANT語句的種類

通常地，你能夠經過詢問幾個簡單的問題來識別GRANT語句的種類：

誰能鏈接，從那兒鏈接？
用戶應該有什麼級別的權限，他們適用於什麼？
用戶應該容許管理權限嗎？

1.誰能鏈接，從那兒鏈接？

(1).你能夠容許一個用戶從特定的或一系列主機鏈接。

GRANT ALL ON db.* TO free@localhost  IDENTIFIED BY "123456";

說明：db.*意思是「db數據庫的全部表

(2).你可能有一個常常外出並須要能從任何主機鏈接的用戶free。在這種狀況下，你能夠容許他不管從哪裏鏈接：

GRANT ALL ON db.* TO free@% IDENTIFIED BY "123456";

說明：「%」字符起通配符做用，與LIKE模式匹配的含義相同。在上述語句中，它意味着「任何主機」。因此free和free@%等價。這是創建用戶最簡單的方法，但也是最不安全的。
(3).你能夠容許一個用戶從一個受限的主機集合訪問。例如，要容許mary從free.net域的任何主機鏈接，用一個%.free.net主機指定符：

GRANT ALL ON db.* TO mary@%.free.net IDENTIFIED BY "123456";

(4).若是你喜歡，用戶標識符的主機部分能夠用IP地址而不是一個主機名來給定。你能夠指定一個IP地址或一個包含模式字符的地址，並且，從MySQL 3.23，你還能夠指定具備指出用於網絡號的位數的網絡掩碼的IP號：

GRANT ALL ON db.* TO free@192.168.12.10  IDENTIFIED BY "123456";
GRANT ALL ON db.* TO free@192.168.12.% IDENTIFIED BY "123456";
GRANT ALL ON db.* TO free@192.168.12.0/24  IDENTIFIED BY "123456";

說明：第一個例子指出用戶能從其鏈接的特定主機，第二個指定對於C類子網192.168.12的IP模式，而第三條語句中，192.168.12.0/24指定一個24位網絡號並匹配具備192.168.12頭24位的IP地址。

(5).若是你指定的用戶值報錯，你可能須要使用引號（只將用戶名和主機名部分分開加引號）。

GRANT ALL ON db.* TO "free"@"test.free.net"  IDENTIFIED BY "123456";

2.用戶應該有什麼級別的權限和它們應該適用於什麼？

(1).你能夠受權不一樣級別的權限，全局權限是最強大的，由於它們適用於任何數據庫。要使free成爲可作任何事情的超級用戶，包括能受權給其它用戶，發出下列語句：

GRANT ALL ON *.* TO free@localhost IDENTIFIED BY "123456" WITH GRANT OPTION;

說明：ON子句中的*.*意味着「全部數據庫、全部表」。從安全考慮，咱們指定free只能從本地鏈接。限制一個超級用戶能夠鏈接的主機一般是明智的，由於它限制了試圖破解口令的主機。
有些權限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理權限而且只能用"ON *.*"全局權限指定符受權。若是你願意，你能夠受權這些權限，而不受權數據庫權限。例如，下列語句設置一個flush用戶，他只能發出flush語句。這可能在你須要執行諸如清空日誌等的管理腳本中會有用：

GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "123456";

通常地，你想受權管理權限，吝嗇點，由於擁有它們的用戶能夠影響你的服務器的操做。

(2).數據庫級權限適用於一個特定數據庫中的全部表，它們可經過使用ON db_name.*子句授予：

GRANT ALL ON db TO free@test.free.net INDETIFIED BY "123456";
GRANT SELECT ON db TO free@% INDETIFIED BY "123456";

說明：第一條語句向free受權db數據庫中全部表的權限，第二條建立一個嚴格限制訪問的用戶free（只讀用戶），只能訪問db數據庫中的全部表，但只有讀取，即用戶只能發出SELECT語句。你能夠列出一系列同時授予的各個權限。例如，若是你想讓用戶能讀取並能修改現有數據庫的內容，但不能建立新表或刪除表，以下授予這些權限：GRANT SELECT,INSERT,DELETE,UPDATE ON db TO free@test.net INDETIFIED BY "123456";

(3).對於更精緻的訪問控制，你能夠在各個表上受權，或甚至在表的每一個列上。當你想向用戶隱藏一個表的部分時，或你想讓一個用戶只能修改特定的列時，列特定權限很是有用。如：

GRANT SELECT ON db.member TO free@localhost INDETIFIED BY "123456";
GRANT UPDATE (expiration) ON db. member TO free@localhost;

說明：第一條語句授予對整個member表的讀權限並設置了一個口令，第二條語句增長了UPDATE權限，當只對expiration列。不必再指定口令，由於第一條語句已經指定了。

(4).若是你想對多個列授予權限，指定一個用逗號分開的列表。例如，對free用戶增長member表的地址字段的UPDATE權限，使用以下語句，新權限將加到用戶已有的權限中：

GRANT UPDATE (street,city,state,zip) ON db TO free@localhost ;

說明：一般，你不想授予任何比用戶確實須要的權限寬的權限。然而，當你想讓用戶能建立一個臨時表以保存中間結果，但你又不想讓他們在一個包含他們不該修改內容的數據庫中這樣作時，發生了要授予在一個數據庫上的相對寬鬆的權限。你能夠經過創建一個分開的數據庫（如tmp）並授予開數據庫上的全部權限來進行。例如，若是你想讓來自test.net域中主機的任何用戶使用tmp數據庫，你能夠發出這樣的GRANT語句：

GRANT ALL ON tmp.* TO ""@test.net;

在你作完以後，用戶能夠建立並用tmp.tb_name形式引用tmp中的表（在用戶指定符中的""建立一個匿名用戶，任何用戶均匹配空白用戶名）。

3 用戶應該被容許管理權限嗎？

你能夠容許一個數據庫的擁有者經過授予數據庫上的全部擁有者權限來控制數據庫的訪問，在受權時，指定WITH GRANT OPTION。例如：若是你想讓free能從big.free.com域的任何主機鏈接並具備sales數據庫中全部表的管理員權限，你能夠用以下GRANT語句：

GRANT ALL ON sales.* TO free@%.big.free.com INDETIFIED BY "123456" WITH GRANT OPTION;

在效果上WITH GRANT OPTION子句容許你把訪問受權的權利授予另外一個用戶。要注意，擁有GRANT權限的兩個用戶能夠彼此受權。若是你只給予了第一個用戶SELECT權限，而另外一個用戶有GRANT加上SELECT權限，那麼第二個用戶能夠是第一個用戶更「強大」。

4、撤權並刪除用戶
要取消一個用戶的權限，使用REVOKE語句。REVOKE的語法很是相似於GRANT語句，除了TO用FROM取代而且沒有INDETIFED BY和WITH GRANT OPTION子句：

mysql> ? REVOKE  
Name: 'REVOKE'   
Description:   
Syntax:   
REVOKE   
    priv_type [(column_list)]   
      [, priv_type [(column_list)]] ...   
    ON [object_type] priv_level   
    FROM user [, user] ...

REVOKE 語句的語法看上去像這樣,
REVOKE privileges (columns) ON what FROM user;

下面咱們對紅色部分進行具體說明，

1.user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。

2.privileges部分不需匹配，你能夠用GRANT語句受權，而後用REVOKE語句只撤消部分權限。
3.REVOKE語句只刪除權限，而不刪除用戶。即便你撤銷了全部權限，在user表中的用戶記錄依然保留，這意味着用戶仍然能夠鏈接服務器。要徹底刪除一個用戶，你必須用一條DELETE語句明確從user表中刪除用戶記錄，具體操做以下：

mysql -u root -p 123456 mysql
mysql>DELETE FROM user WHERE User="user_name" and Host="host_name";
mysql>FLUSH PRIVILEGES;

DELETE語句刪除用戶記錄，而FLUSH語句告訴服務器重載受權表。（當你使用GRANT和REVOKE語句時，表自動重載，而你直接修改受權表時不是）。

5、總結

通過上面的說明我想你們應該對用戶受權應該很清楚了，嘿嘿！ ^_^……

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。