原文:

 

MySQL权限级别
1)全局性的管理权限,作用于整个MySQL实例级别
2)数据库级别的权限,作用于某个指定的数据库上或者所有的数据库上
3)数据库对象级别的权限,作用于指定的数据库对象上(表、视图等)或 者所有的数据库对象上
权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中
授权表的内容有如下用途:
1) user表
user表列出可以连接服务器的用户及其口令,并且它指定他们有哪种全局(超级用户)权限。在user表启用的任何权限均是全局权限,并适用于所有数据库。例如,如果你启用了DELETE权限,在这里列出的用户可以从任何表中删除记录,所以在你这样做之前要认真考虑。
2) db表
db表列出数据库,而用户有权限访问它们。在这里指定的权限适用于一个数据库中的所有表。
3) host表
host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限,这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响,所以,你可能发觉你根本不是用它。
4)tables_priv表
tables_priv表指定表级权限,在这里指定的一个权限适用于一个表的所有列。
5)columns_priv表
columns_priv表指定列级权限。这里指定的权限适用于一个表的特定列。
MySQL权限级别介绍 
对比root用户在几个权限系统表中的数据 
mysql> select * from user where user=‘root’ and host=‘localhost’; ##都是’Y’ 
mysql> select * from db where user=‘root’ and host=‘localhost’; ##无记录 
mysql> select * from tables_priv where host=‘localhost’ and user=‘root’; ##无记录 
mysql> select * from columns_priv where user=‘root’ and host=‘localhost’; ##无记录 
mysql> select * from procs_priv where user=‘root’ and host=‘localhost’; ##无记录

MySQL权限详解(1)
All/All Privileges权限代表全局或者全数据库对象级别的所有权限
Alter权限代表允许修改表结构的权限,但必须要求有create和insert权 限配合。如果是rename表名,则要求有alter和drop原表,create和 insert新表的权限
Alter routine权限代表允许修改或者删除存储过程、函数的权限
Create权限代表允许创建新的数据库和表的权限
Createroutine权限代表允许创建存储过程、函数的权限
Createtablespace权限代表允许创建、修改、删除表空间和日志组的权 限
Create temporary tables权限代表允许创建临时表的权限
Createuser权限代表允许创建、修改、删除、重命名user的权限
Createview权限代表允许创建视图的权限

MySQL权限详解(2)
• Delete权限代表允许删除行数据的权限
• Drop权限代表允许删除数据库、表、视图的权限,包括truncatetable命令
• Event权限代表允许查询,创建,修改,删除MySQL事件
• Execute权限代表允许执行存储过程和函数的权限
• File权限代表允许在MySQL可以访问的目录进行读写磁盘文件操作,可使用 的命令包括load data infile,select ... into outfile,load file()函数
• Grant option权限代表是否允许此用户授权或者收回给其他用户你给予的权 限
• Index权限代表是否允许创建和删除索引
• Insert权限代表是否允许在表里插入数据,同时在执行analyze table,optimize table,repair table语句的时候也需要insert权限
• Lock权限代表允许对拥有select权限的表进行锁定,以防止其他链接对此表 的读或写

MySQL权限详解(3)
• Process权限代表允许查看MySQL中的进程信息,比如执行showprocesslist,
• Reference权限是在5.7.6版本之后引入,代表是否允许创建外键
• Reload权限代表允许执行flush命令,指明重新加载权限表到系统内存中, refresh命令代表关闭和重新开启日志文件并刷新所有的表
• Replication client权限代表允许执行show master status,show slave status,show binary logs命令
• Replication slave权限代表允许slave主机通过此用户连接master以便建立主从 复制关系
• Select权限代表允许从表中查看数据,某些不查询表数据的select执行则不需 要此权限,如Select 1+1,Select PI()+2;而且select权限在执行update/delete 语句中含有where条件的情况下也是需要的
• Showdatabases权限代表通过执行showdatabases命令查看所有的数据库名
• Show view权限代表通过执行show create view命令查看视图创建的语句mysqladmin processlist, show engine等命令

MySQL权限详解(4)
• Shutdown权限代表允许关闭数据库实例,执行语句包括mysqladmin shutdown
• Super权限代表允许执行一系列数据库管理命令,包括kill强制关闭某个连接 命令,change master to创建复制关系命令,以及create/alter/drop server等命 令
• Trigger权限代表允许创建,删除,执行,显示触发器的权限
• Update权限代表允许修改表中的数据的权限
• Usage权限是创建一个用户之后的默认权限,其本身代表连接登录权限

系统权限表
• 权限存储在mysql库的user,db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中
• User表:存放用户账户信息以及全局级别(所有数据库)权限,决定了 来自哪些主机的哪些用户可以访问数据库实例,如果有全局权限则意味
着对所有数据库都有此权限
• Db表:存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访 问此数据库
• Tables_priv表:存放表级别的权限,决定了来自哪些主机的哪些用户可以 访问数据库的这个表
• Columns_priv表:存放列级别的权限,决定了来自哪些主机的哪些用户可 以访问数据库表的这个字段
• Procs_priv表:存放存储过程和函数级别的权限
• User和db权限表结构
• User权限表结构中的特殊字段
• Plugin,password,authentication_string三个字段存放用户认证信息
• Password_expired设置成’Y’则表明允许DBA将此用户的密码设置成过期而 且过期后要求用户的使用者重置密码(alter user/set password重置密码)
• Password_last_changed作为一个时间戳字段代表密码上次修改时间,执 行create user/alter user/set password/grant等命令创建用户或修改用户密 码时此数值自动更新
• Password_lifetime代表从password_last_changed时间开始此密码过期的天 数
• Account_locked代表此用户被锁住,无法使用
• Tables_priv和columns_priv权限表结构
• Timestamp和grantor两个字段暂时没用
• Tables_priv和columns_priv权限值
• procs_priv权限表结构
• Routine_type是枚举类型,代表是存储过程还是函数
• Timestamp和grantor两个字段暂时没用
• 系统权限表字段长度限制表
• 权限认证中的大小写敏感问题
• 字段user,password,authencation_string,db,table_name大小写敏感
• 字段host,column_name,routine_name大小写不敏感
• User用户大小写敏感

mysql> create user abc@localhost;
ERROR 1396 (HY000): Operation CREATE USER failed for 'abc'@'localhost' 
mysql> create user Abc@localhost;
Query OK, 0 rows affected (0.01 sec)
• Host主机名大小写不敏感

mysql> create user abc@Localhost;
ERROR 1396 (HY000): Operation CREATE USER failed for 'abc'@'localhost'
MySQL授权用户
• MySQL的授权用户由两部分组成:用户名和登录主机名
• 表达用户的语法为‘user_name’@‘host_name’
• 单引号不是必须,但如果其中包含特殊字符则是必须的
• ‘’@‘localhost’代表匿名登录的用户
• Host_name可以使主机名或者ipv4/ipv6的地址。Localhost代表本机,127.0.0.1代表ipv4的 本机地址,::1代表ipv6的本机地址
• Host_name字段允许使用%和_两个匹配字符,比如’%’代表所有主机,’%.mysql.com’代表 来自mysql.com这个域名下的所有主机,‘192.168.1.%’代表所有来自192.168.1网段的主机

MySQL修改权限的生效
• 执行Grant,revoke,setpassword,renameuser命令修改权限之后,MySQL会自动将修改后的权限信息同步加载到系统内存中
• 如果执行insert/update/delete操作上述的系统权限表之后,则必须再执行刷 新权限命令才能同步到系统内存中,
 刷新权限命令包括:flush privileges/mysqladmin flush-privileges/mysqladmin reload
• 如果是修改tables和columns级别的权限,则客户端的下次操作新权限就会生 效
• 如果是修改database级别的权限,则新权限在客户端执行use database命令后 生效
• 如果是修改global级别的权限,则需要重新创建连接新权限才能生效
• --skip-grant-tables可以跳过所有系统权限表而允许所有用户登录,只在特殊 情况下暂时使用

MySQL用户登录
mysql --user=finley --password db_name
mysql -u finley -p db_name
mysql --user=finley --password=password db_name 
shell> mysql -u finley -ppassword db_name

创建MySQL用户
有两种方式创建MySQL授权用户
• 执行createuser/grant命令(推荐方式)
• 通过insert语句直接操作MySQL系统权限表

1) 推荐方式:
mysql> CREATE USER 'finley'@'localhost' IDENTIFIED BY 'some_pass'; 
mysql>GRANTALLPRIVILEGESON*.*TO'finley'@'localhost' WITH
GRANT OPTION;
mysql> CREATE USER 'finley'@'%' IDENTIFIED BY 'some_pass';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'finley'@'%‘ WITH GRANT OPTION;
mysql> CREATE USER 'admin'@'localhost' IDENTIFIED BY 'admin_pass';
mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost';
mysql> grant select(id) on test.temp to cdq@localhost;

创建MySQL用户
mysql> CREATE USER 'custom'@'localhost' IDENTIFIED BY 'obscure'; 
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
-> ON bankaccount.*
-> TO 'custom'@'localhost';

mysql> CREATE USER 'custom'@'host47.example.com' IDENTIFIED BY 'obscure'; 
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
-> ON expenses.*
-> TO 'custom'@'host47.example.com';

mysql> CREATE USER 'custom'@'%.example.com' IDENTIFIED BY 'obscure'; 
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP


回收MySQL用户权限
• 通过revoke命令收回用户权限
mysql> revoke select on `sys`.`sys_config` from 'mysql.sys'@localhost; 

删除MySQL用户
• 通过执行drop user命令删除MySQL用户
mysql> DROP USER 'jeffrey'@'localhost';

设置MySQL用户资源限制
• 通过设置全局变量max_user_connections可以限制所有用户在同一时 间连接MySQL实例的数量,但此参数无法对每个用户区别对待,所以 MySQL提供了对每个用户的资源限制管理
• MAX_QUERIES_PER_HOUR:一个用户在一个小时内可以执行查询的次 数(基本包含所有语句)
• MAX_UPDATES_PER_HOUR:一个用户在一个小时内可以执行修改的次 数(仅包含修改数据库或表的语句)
• MAX_CONNECTIONS_PER_HOUR:一个用户在一个小时内可以连接 MySQL的时间
• MAX_USER_CONNECTIONS:一个用户可以在同一时间连接MySQL实例 的数量
• 从5.0.3版本开始,对用户‘user’@‘%.example.com’的资源限制是指所有 通过example.com域名主机连接user用户的连接,而不是分别指从 host1.example.com和host2.example.com主机过来的连接

设置MySQL用户资源限制
• 通过执行createuser/alteruser设置/修改用户的资源限制

mysql> CREATE USER 'francis'@'localhost' IDENTIFIED BY 'frank'
-> -> -> ->
WITH MAX_QUERIES_PER_HOUR 20 MAX_UPDATES_PER_HOUR 10 MAX_CONNECTIONS_PER_HOUR 5 MAX_USER_CONNECTIONS 2;
mysql> ALTER USER 'francis'@'localhost' WITH MAX_QUERIES_PER_HOUR 100;
• 取消某项资源限制既是把原先的值修改成0

mysql> ALTER USER 'francis'@'localhost' WITH MAX_CONNECTIONS_PER_HOUR 0;
• 当针对某个用户的max_user_connections非0时,则忽略全局系统参数 max_user_connections,反之则全局系统参数生效
设置MySQL用户的密码
• 执行create user创建用户和密码
mysql> CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';

• 修改用户密码的方式包括:
mysql> ALTER USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';
mysql> SET PASSWORD FOR 'jeffrey'@'localhost' = PASSWORD('mypass');
mysql> GRANT USAGE ON *.* TO 'jeffrey'@'localhost' IDENTIFIED BY 'mypass'; 
shell> mysqladmin -u user_name -h host_name password "new_password";

• 修改本身用户密码的方式包括:
mysql> ALTER USER USER() IDENTIFIED BY 'mypass'; 
mysql> SET PASSWORD = PASSWORD('mypass');


设置MySQL用户密码过期策略
• 设置系统参数default_password_lifetime作用于所有的用户账户
• default_password_lifetime=180 设置180天过期
• default_password_lifetime=0 设置密码不过期
• 如果为每个用户设置了密码过期策略,则会覆盖上述系统参数

ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE INTERVAL90DAY;
ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE INEVER;密码不过期
ALTER USER‘jeffrey’@‘localhost’ PASSWORD EXPIRE DEFAULT;默认过期策略
• 手动强制某个用户密码过期

ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE;
mysql> SELECT 1;
ERROR 1820 (HY000): You must SET PASSWORD before executing this statement 
mysql> ALTER USER USER() IDENTIFIED BY 'new_password';
Query OK, 0 rows affected (0.01 sec)
mysql> SELECT 1;
|1|

MySQL用户lock
通过执行create user/alter user命令中带account lock/unlock子句设 置用户的lock状态
Createuser语句默认的用户是unlock状态
mysql>create user abc2@localhost identified by 'mysql' account lock; 
QueryOK,0rowsaffected(0.01sec)

Alter user语句默认不会修改用户的lock/unlock状态 
mysql>alter user 'mysql.sys'@localhost account lock;
Query OK,0 row saffected(0.00sec)
mysql>alter user 'mysql.sys'@localhost account unlock;
Query OK,0 row saffected(0.00sec)


-- 当客户端使用lock状态的用户登录MySQL时,会收到如此报错 Access denied for user 'user_name'@'host_name'.
Account is locked.
企业应用中的常规MySQL用户
• 企业生产系统中MySQL用户的创建通常由DBA统一协调创建,而且按需
创建
• DBA通常直接使用root用户来管理数据库
• 通常会创建指定业务数据库上的增删改查、临时表、执行存储过程的权限给应 用程序来连接数据库

Create user app_full identified by ‘mysql’;
Grant select,update,insert,delete,create temporary tables,execute on esn.* to
app_full@’10.0.0.%’;
mysql>show grants for app_full@'10.0.0.%';
+------------------------------------------------------------------------------------------------------------+
|Grantsforapp_full@10.0.0.% |
+------------------------------------------------------------------------------------------------------------+
|GRANTUSAGEON*.*TO'app_full'@'10.0.0.%' |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES, EXECUTE ON `esn`.* TO 'app_full'@'10.0.0.%' |
• 通常也会创建指定业务数据库上的只读权限给特定应用程序或某些高级别人员 来查询数据,防止数据被修改

Create user app_readonly identified by ‘mysql’;
Grant select on esn.* to app_readonly identified by ‘mysq’;

 

常用权限设置的语句:

1. 查看目前mysql中的用户、主机、密码等

  select user,host,password from user;

+------------+-------------------+-------------------------------------------+
| user       | host              | password                                  |
+------------+-------------------+-------------------------------------------+
| root       | vm\_0\_11\_centos | *111111111111111111111111111111111111113C|
| root       | 127.0.0.1         | *111111111111111111111111111111111111113C|
| root       | ::1               | *111111111111111111111111111111111111113C|
|            | localhost         |                                           |
|            | vm\_0\_11\_centos |                                           |
| test1      | %                 | *111111111111111111111111111111111111113C|
| root       | localhost         | *111111111111111111111111111111111111113C |
| test2      | %                 | *111111111111111111111111111111111111113C|
| test2      | localhost         | *111111111111111111111111111111111111113C|
| test1      | localhost         | *111111111111111111111111111111111111113C|
+------------+-------------------+-------------------------------------------+

 

2. 查看某个用户的权限

show grants for sorder@localhost;

+-------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for sorder@localhost                                                                                                               |
+-------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'test1'@'localhost' IDENTIFIED BY PASSWORD '*111111111111111111111111111111111111113C' | 
| GRANT SELECT, INSERT, UPDATE, DELETE, INDEX, CREATE TEMPORARY TABLES, EXECUTE ON `test1`.* TO 'sorder'@'localhost' WITH GRANT OPTION | 
+-------------------------------------------------------------------------------------------------------------------------------------------+ 

2 rows in set (0.00 sec)

 

3. 默认数据库权限

 1)程序上 连接数据库的用户权限(不会赋予远程登录的权限,即主机包括%):

  增、删、改、查表数据,创建临时表,执行存储过程,创建索引  权限

 2)root不提供远程登录访问,而且必须设置复杂的密码

 3)当需要远程连接时,临时创建用户并授权,使用完即删除用户或关闭

grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利。
grant select on testdb.* to common_user@’%’
grant insert on testdb.* to common_user@’%’
grant update on testdb.* to common_user@’%’
grant delete on testdb.* to common_user@’%’
或者,用一条 MySQL 命令来替代:
grant select, insert, update, delete on testdb.* to common_user@’%’
grant 数据库开发人员,创建表、索引、视图、存储过程、函数。。。等权限。
grant 创建、修改、删除 MySQL 数据表结构权限。
grant create on testdb.* to developer@’192.168.0.%’;
grant alter on testdb.* to developer@’192.168.0.%’;
grant drop on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 外键权限。
grant references on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 临时表权限。
grant create temporary tables on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 索引权限。
grant index on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 视图、查看视图源代码 权限。
grant create view on testdb.* to developer@’192.168.0.%’;
grant show view on testdb.* to developer@’192.168.0.%’;
grant 操作 MySQL 存储过程、函数 权限。
grant create routine on testdb.* to developer@’192.168.0.%’; -- now, can show procedure status
grant alter routine on testdb.* to developer@’192.168.0.%’; -- now, you can drop a procedure
grant execute on testdb.* to developer@’192.168.0.%’;
grant 普通 DBA 管理某个 MySQL 数据库的权限。
grant all privileges on testdb to dba@’localhost’
其中,关键字 “privileges” 可以省略。
grant 高级 DBA 管理 MySQL 中所有数据库的权限。
grant all on *.* to dba@’localhost’

MySQL grant 权限,分别可以作用在多个层次上。
1. grant 作用在整个 MySQL 服务器上:
grant select on *.* to dba@localhost; -- dba 可以查询 MySQL 中所有数据库中的表。
grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有数据库
2. grant 作用在单个数据库上:
grant select on testdb.* to dba@localhost; -- dba 可以查询 testdb 中的表。
3. grant 作用在单个数据表上:
grant select, insert, update, delete on testdb.orders to dba@localhost;
4. grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost;
5. grant 作用在存储过程、函数上:
grant execute on procedure testdb.pr_add to ’dba’@’localhost’
grant execute on function testdb.fn_add to ’dba’@’localhost’



#资阳iwinpark
create database test DEFAULT CHARSET utf8 COLLATE utf8_general_ci;
#程序使用的用户
CREATE USER 'root'@'localhost' IDENTIFIED BY 'jzpEHmMJqdUGI03XXNkUf3hL77wYqUML'; 
CREATE USER 'test1'@'%' IDENTIFIED BY 'jzpEHmMJqdUGI03XXNkUf3hL77wYqUML'; 
#权限,不能加 WITH GRANT OPTION,不允许该用户授权给其他用户
#grant all privileges on `test1`.* to 'zyiwinpark'@'%'  WITH GRANT OPTION;
grant select,update,insert,delete,create temporary tables,execute,index  on test.* to root@'localhost';
grant select,update,insert,delete,create temporary tables,execute,index  on test.* to test1@'%';
#刷新MySQL的权限
flush privileges;