MySQL权限管理
权限系统工作原理:
MySQL权限系统通过下面两个阶段进行认证:
(1)对连接的用户进行身份认证,合法的用户通过认证、不合法的用户拒绝连接。
(2)对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。
对于身份,MySQL是通过IP地址和用户名联合进行确认的,例如MySQL安装默认创建的用户root@localhost
表示用户root只能从本地(localhost)进行连接才可以通过认证,此用户从其他任何主机对数据库进行的连接都将被拒绝。
也就是说,同样的一个用户名,如果来自不同的IP地址,则MySQL将其视为不同的用户。MySQL的权限表在数据库启动地时候
就载入内存,当用户通过身份认证后,就在内存中进行相应权限的存取,这样,此用户就可以在数据库中做权限范围内的各
种操作了。权限表
在权限存取的两个过程中,系统会用到“mysql”数据库(安装MySQL时被创建,数据库名字叫“mysql”)中user、host和db这3个最重要的权限表表名 | user | db | host |
用户列 | User | Host | Host |
| Password | Db | Db |
权限列 | Select_priv | User | Select_priv |
| Insert_priv | Select_priv | Insert_priv |
| Update_priv | Insert_priv | Update_priv |
| Delete_priv | Update_priv | Delete_priv |
| Create_priv | Delete_priv | Create_priv |
| Drop_priv | Create_priv | Drop_priv |
| Reload_priv | Drop_priv | Grant_priv |
| Shutdown_priv | Grant_priv | References_priv |
| Process_priv | References_priv | Index_priv |
| File_priv | Index_priv | Alter_priv |
| Grant_priv | Alter_priv | Create_tmp_table_priv |
| References_priv | Create_tmp_table_priv | Lock_tables_priv |
| Index_priv | Lock_tables_priv | Create_view_priv |
| Alter_priv | Create_view_priv | Show_view_priv |
| Show_db_priv | Show_view_priv | Create_routine_priv |
| Super_priv | Create_routine_priv | Alter_routine_priv |
| Create_tmp_table_priv | Alter_routine_priv | Execute_priv |
| Lock_tables_priv | Execute_priv | Trigger_priv |
| Execute_priv | Event_priv |
|
| Repl_slave_priv | Trigger_priv |
|
| Repl_client_priv |
|
|
| Create_view_priv |
|
|
| Show_view_priv |
|
|
| Create_routine_priv |
|
|
| Alter_routine_priv |
|
|
| Create_user_priv |
|
|
| Event_priv |
|
|
| Trigger_priv |
|
|
| Create_tablespace_priv |
|
|
安全列 | ssl_type |
|
|
| ssl_cipher |
|
|
| x509_issuer |
|
|
| x509_subject |
|
|
| max_questions |
|
|
| max_updates |
|
|
| max_connections |
|
|
| max_user_connections |
|
|
当用户进行连接的时候,权限表的存取过程有以下现个阶段。
• 先从user表中的host、user和passwd这3个字段中判断连接的IP、用户名和密码是否存在于表中,如果存在,则通过身份验证,否则拒绝连接。
• 如果通过身份验证,则按照以下权限表的顺序得到数据库权限:user->db->tables_priv->coloumns_priv。
• 在这几个权限表中,权限范围依次递减,全局权限覆盖局部权限。权限说明
创建用户a3 并授权数据库和操作权限
a.使用create方法创建用户然后单独授权权限
create user 'a3'@'%' identified by '123456';
grant all on enterprise.* to a3;
grant all on enterpriseuser.* to a3;b.使用 GRANT方式创建
grant all privileges on *.* to a3@172.29.4.10;授予权限:
(%代表所有其他远程机器都可登陆,localhost代表仅本台机器可以登陆,具体ip地址则代表具体哪台机器可登录)
授予单个权限(select权限)
#不包括 grant option权限
grant select on *.* to a3@'%';
#包括 grant option权限,这样被授权的用户可以吧这些权限再
grant select on *.* to a3@'%' with grant option;授权给其他用户
授予所有权限:
#不包括 grant option权限
grant all on *.* to a3@'%';
#包括 grant option权限,这样被授权的用户可以吧这些权限再授权给其他用户
grant all on *.* to a3@'%' with grant option;撤销权限:
撤销所有权限
#不包括 grant option权限
revoke all on *.*from a3@'%' ;
#包括 grant option权限
revoke all,grant option from a3@'%';撤销单个权限
#包括 grant option权限
revoke select on *.* from a3@'%';授权某个库下所有表的所有权限a3 用户
grant all on enterprise.* to a3@'%';修改后刷新权限
flush privileges;
注意,授权后必须FLUSH PRIVILEGES;否则无法立即生效