碼上快樂

相關內容    簡體    繁體

MySQL 用戶與授權管理詳解

本文轉載自   查看原文   2016-12-13 21:29   1576    mysql體系結構

大綱

一、前言

二、創建用戶並授權

三、GRANT語句的種類

四、撤權並刪除用戶

一、前言

做為Mysql數據庫管理員管理用戶賬戶,是一件很重要的事,指出哪個用戶可以連接服務器,從哪里連接,連接后能做什么。Mysql從3.22.11開始引入兩個語句來做這件事,GRANT語句創建Mysql用戶並指定其權限,而REVOKE語句刪除權限。CREATE和REVOKE語句影響4個表,

  • user 能連接服務器的用戶以及他們擁有的任何全局權限

  • db 數據庫級權限

  • tables_priv 表級權限

  • columns_priv 列級權限

還有第5個授權表host,但它不受GRANT和REVOKE的影響,下面我們看一下mysql數據庫中的所有表,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
mysql> use mysql; 
Database changed  
mysql> show tables;  
+---------------------------+  
| Tables_in_mysql           |  
+---------------------------+  
| columns_priv              |  
| db                        |  
| event                     |  
| func                      |  
| general_log               |  
| help_category             |  
| help_keyword              |  
| help_relation             |  
| help_topic                |  
| host                      |  
| ndb_binlog_index          |  
| plugin                    |  
| proc                      |  
| procs_priv                |  
| proxies_priv              |  
| servers                   |  
| slow_log                  |  
| tables_priv               |  
| time_zone                 |  
| time_zone_leap_second     |  
| time_zone_name            |  
| time_zone_transition      |  
| time_zone_transition_type |  
| user                      |  
+---------------------------+  
24 rows  in  set  (0.00 sec)

當你對一個用戶發出一條GRANT語句時,在user表中為該用戶創建一條記錄。如果語句指定任何全局權限(管理權限或適用於所有數據庫的權限),這些也記錄在user表中。如果你指定數據庫、表和列級權限,他們被分別記錄在db、tables_priv和columns_priv表中。

二、創建用戶並授權

1.GRANT 語句的用法

1
2
3
4
5
6
7
8
9
10
11
mysql> ? grant 
Name:  'GRANT'  
Description:  
Syntax:  
GRANT  
     priv_type [(column_list)]  
       [, priv_type [(column_list)]] ...  
     ON [object_type] priv_level  
     TO user_specification [, user_specification] ...  
     [REQUIRE {NONE | ssl_option [[AND] ssl_option] ...}]  
     [WITH with_option ...]

GRANT語句的語法看上去像這樣,

GRANT privileges [columns] ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION;

注:紅顏色標識出來的,都是可以定義的,下面我們來一個一個說明!

2.權限分類 (privileges)

第一組:指定符適用於數據庫、表和列

  • ALTER 修改表和索引

  • CREATE 創建數據庫和表

  • DELETE 刪除表中已有的記錄

  • DROP 刪除數據庫和表

  • INDEX 創建或拋棄索引

  • INSERT 向表中插入新行

  • REFERENCE 未用

  • SELECT 檢索表中的記錄

  • UPDATE 修改現存表記錄

第二組:指定數據庫數管理權限

  • FILE 讀或寫服務器上的文件

  • PROCESS 查看服務器中執行的線程信息或殺死線程

  • RELOAD 重載授權表或清空日志、主機緩存或表緩存

  • SHUTDOWN 關閉服務器

第三組權限特殊:ALL意味着“所有權限”,UASGE意味着無權限,即創建用戶,但不授予權限

  • ALL 所有;ALL PRIVILEGES“所有權限”  

  • USAGE 特殊的“無權限”權限

3.columns   
權限運用的列,它是可選的,並且你只能設置列特定的權限。如果命令有多於一個列,應該用逗號分開它們。

4.what   
權限運用的級別。權限可以是全局的(適用於所有數據庫和所有表)、特定數據庫(適用於一個數據庫中的所有表)或特定表的。可以通過指定一個columns字句是權限是列特定的。

5.user   
權限授予的用戶,它由一個用戶名和主機名組成。在MySQL中,你不僅指定誰能連接,還有從哪里連接。這允許你讓兩個同名用戶從不同地方連接。MySQL讓你區分他們,並彼此獨立地賦予權限。    
MySQL中的一個用戶名就是你連接服務器時指定的用戶名,該名字不必與你的Unix登錄名或Windows名聯系起來。缺省地,如果你不明確指定一個名字,客戶程序將使用你的登錄名作為MySQL用戶名。這只是一個約定。你可以在授權表中將該名字改為nobody,然后以nobody連接執行需要超級用戶權限的操作。

6.password   
賦予用戶的口令,它是可選的。如果你對新用戶沒有指定IDENTIFIED BY子句,該用戶不賦給口令(不安全)。對現有用戶,任何你指定的口令將代替老口令。如果你不指定口令,老口令保持不變,當你用IDENTIFIED BY時,口令字符串用改用口令的字面含義,GRANT將為你編碼口令,不要象你用SET PASSWORD 那樣使用password()函數。

7.WITH GRANT OPTION子句是可選的。如果你包含它,用戶可以授予權限通過GRANT語句授權給其它用戶。你可以用該子句給與其它用戶授權的能力。

注:用戶名、口令、數據庫和表名在授權表記錄中是大小寫敏感的,而主機名和列名不是。

三、GRANT語句的種類

一般地,你可以通過詢問幾個簡單的問題來識別GRANT語句的種類:

  • 誰能連接,從那兒連接?

  • 用戶應該有什么級別的權限,他們適用於什么?

  • 用戶應該允許管理權限嗎?

1.誰能連接,從那兒連接?

(1).你可以允許一個用戶從特定的或一系列主機連接。   

1
GRANT ALL ON db.* TO  free @localhost  IDENTIFIED BY  "123456" ;

說明:db.*意思是“db數據庫的所有表

(2).你可能有一個經常外出並需要能從任何主機連接的用戶free。在這種情況下,你可以允許他無論從哪里連接:  

1
GRANT ALL ON db.* TO  free @% IDENTIFIED BY  "123456" ;

說明:“%”字符起通配符作用,與LIKE模式匹配的含義相同。在上述語句中,它意味着“任何主機”。所以free和free@%等價。這是建立用戶最簡單的方法,但也是最不安全的。    
(3).你可以允許一個用戶從一個受限的主機集合訪問。例如,要允許mary從free.net域的任何主機連接,用一個%.free.net主機指定符:    

1
GRANT ALL ON db.* TO mary@%. free .net IDENTIFIED BY  "123456" ;

(4).如果你喜歡,用戶標識符的主機部分可以用IP地址而不是一個主機名來給定。你可以指定一個IP地址或一個包含模式字符的地址,而且,從MySQL 3.23,你還可以指定具有指出用於網絡號的位數的網絡掩碼的IP號:    

1
2
3
GRANT ALL ON db.* TO  free @192.168.12.10  IDENTIFIED BY  "123456" ;
GRANT ALL ON db.* TO  free @192.168.12.% IDENTIFIED BY  "123456" ;
GRANT ALL ON db.* TO  free @192.168.12.0 /24   IDENTIFIED BY  "123456" ;

說明:第一個例子指出用戶能從其連接的特定主機,第二個指定對於C類子網192.168.12的IP模式,而第三條語句中,192.168.12.0/24指定一個24位網絡號並匹配具有192.168.12頭24位的IP地址。

(5).如果你指定的用戶值報錯,你可能需要使用引號(只將用戶名和主機名部分分開加引號)。

1
GRANT ALL ON db.* TO  "free" @ "test.free.net"   IDENTIFIED BY  "123456" ;

2.用戶應該有什么級別的權限和它們應該適用於什么?

(1).你可以授權不同級別的權限,全局權限是最強大的,因為它們適用於任何數據庫。要使free成為可做任何事情的超級用戶,包括能授權給其它用戶,發出下列語句:   

1
GRANT ALL ON *.* TO  free @localhost IDENTIFIED BY  "123456"  WITH GRANT OPTION;

說明:ON子句中的*.*意味着“所有數據庫、所有表”。從安全考慮,我們指定free只能從本地連接。限制一個超級用戶可以連接的主機通常是明智的,因為它限制了試圖破解口令的主機。    
有些權限(FILE、PROCESS、RELOAD和SHUTDOWN)是管理權限並且只能用"ON *.*"全局權限指定符授權。如果你願意,你可以授權這些權限,而不授權數據庫權限。例如,下列語句設置一個flush用戶,他只能發出flush語句。這可能在你需要執行諸如清空日志等的管理腳本中會有用:

1
GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY  "123456" ;

一般地,你想授權管理權限,吝嗇點,因為擁有它們的用戶可以影響你的服務器的操作。

(2).數據庫級權限適用於一個特定數據庫中的所有表,它們可通過使用ON db_name.*子句授予:  

1
2
GRANT ALL ON db TO  free @ test . free .net INDETIFIED BY  "123456" ;
GRANT SELECT ON db TO  free @% INDETIFIED BY  "123456" ;

說明:第一條語句向free授權db數據庫中所有表的權限,第二條創建一個嚴格限制訪問的用戶free(只讀用戶),只能訪問db數據庫中的所有表,但只有讀取,即用戶只能發出SELECT語句。你可以列出一系列同時授予的各個權限。例如,如果你想讓用戶能讀取並能修改現有數據庫的內容,但不能創建新表或刪除表,如下授予這些權限:GRANT SELECT,INSERT,DELETE,UPDATE ON db TO free@test.net INDETIFIED BY "123456";

(3).對於更精致的訪問控制,你可以在各個表上授權,或甚至在表的每個列上。當你想向用戶隱藏一個表的部分時,或你想讓一個用戶只能修改特定的列時,列特定權限非常有用。如:  

1
2
GRANT SELECT ON db.member TO  free @localhost INDETIFIED BY  "123456" ;
GRANT UPDATE (expiration) ON db. member TO  free @localhost;

說明:第一條語句授予對整個member表的讀權限並設置了一個口令,第二條語句增加了UPDATE權限,當只對expiration列。沒必要再指定口令,因為第一條語句已經指定了。    

(4).如果你想對多個列授予權限,指定一個用逗號分開的列表。例如,對free用戶增加member表的地址字段的UPDATE權限,使用如下語句,新權限將加到用戶已有的權限中:    

1
GRANT UPDATE (street,city,state,zip) ON db TO  free @localhost ;

說明:通常,你不想授予任何比用戶確實需要的權限寬的權限。然而,當你想讓用戶能創建一個臨時表以保存中間結果,但你又不想讓他們在一個包含他們不應修改內容的數據庫中這樣做時,發生了要授予在一個數據庫上的相對寬松的權限。你可以通過建立一個分開的數據庫(如tmp)並授予開數據庫上的所有權限來進行。例如,如果你想讓來自test.net域中主機的任何用戶使用tmp數據庫,你可以發出這樣的GRANT語句:

1
GRANT ALL ON tmp.* TO  "" @ test .net;

在你做完之后,用戶可以創建並用tmp.tb_name形式引用tmp中的表(在用戶指定符中的""創建一個匿名用戶,任何用戶均匹配空白用戶名)。

3 用戶應該被允許管理權限嗎?

你可以允許一個數據庫的擁有者通過授予數據庫上的所有擁有者權限來控制數據庫的訪問,在授權時,指定WITH GRANT OPTION。例如:如果你想讓free能從big.free.com域的任何主機連接並具有sales數據庫中所有表的管理員權限,你可以用如下GRANT語句:   

1
GRANT ALL ON sales.* TO  free @%.big. free .com INDETIFIED BY  "123456"  WITH GRANT OPTION;

在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個用戶。要注意,擁有GRANT權限的兩個用戶可以彼此授權。如果你只給予了第一個用戶SELECT權限,而另一個用戶有GRANT加上SELECT權限,那么第二個用戶可以是第一個用戶更“強大”。

四、撤權並刪除用戶   
要取消一個用戶的權限,使用REVOKE語句。REVOKE的語法非常類似於GRANT語句,除了TO用FROM取代並且沒有INDETIFED BY和WITH GRANT OPTION子句:

1
2
3
4
5
6
7
8
9
mysql> ? REVOKE 
Name:  'REVOKE'  
Description:  
Syntax:  
REVOKE  
     priv_type [(column_list)]  
       [, priv_type [(column_list)]] ...  
     ON [object_type] priv_level  
     FROM user [, user] ...

REVOKE 語句的語法看上去像這樣,   
REVOKE privileges (columns) ON what FROM user;  

下面我們對紅色部分進行具體說明,  

1.user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。

2.privileges部分不需匹配,你可以用GRANT語句授權,然后用REVOKE語句只撤消部分權限。   
3.REVOKE語句只刪除權限,而不刪除用戶。即使你撤銷了所有權限,在user表中的用戶記錄依然保留,這意味着用戶仍然可以連接服務器。要完全刪除一個用戶,你必須用一條DELETE語句明確從user表中刪除用戶記錄,具體操作如下:

1
2
3
mysql -u root -p 123456 mysql
mysql>DELETE FROM user WHERE User= "user_name"  and Host= "host_name" ;
mysql>FLUSH PRIVILEGES;

DELETE語句刪除用戶記錄,而FLUSH語句告訴服務器重載授權表。(當你使用GRANT和REVOKE語句時,表自動重載,而你直接修改授權表時不是)。

五、總結

經過上面的說明我想大家應該對用戶授權應該很清楚了,嘿嘿! ^_^……

 

本文出自 “Share your knowledge …” 博客,請務必保留此出處http://freeloda.blog.51cto.com/2033581/1253898


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 mysql(mariadb)新建用戶及用戶授權管理 Mysql用戶管理(遠程連接、授權) mysql用戶授權、數據庫權限管理、sql語法詳解 MySQL用戶管理:添加用戶、授權、刪除用戶 MySQL用戶管理:添加用戶、授權、刪除用戶 MySQL用戶管理:添加用戶、授權、刪除用戶 MongoDB用戶授權和管理 mysql-管理命令【創建用戶、授權、修改密碼、刪除用戶和授權、忘記root密碼】 MySQL用戶授權 和 bin-log日志 詳解和實戰 MySQL用戶管理及SQL語句詳解
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM