技術文章 » 一起聊聊mysql中的賬戶和許可權

一起聊聊mysql中的賬戶和許可權

2022-01-14 19:01:04
本篇文章給大家帶來了mysql中賬戶的許可權的相關問題,當使用者執行任何資料庫操作時,伺服器將會驗證使用者是否具有相應的許可權,例如查詢表需要 SELECT 許可權,刪除物件需要 DROP 許可權。希望對大家有幫助。

當用戶端連線 MySQL 伺服器時,必須提供有效的身份認證,例如使用者名稱和密碼。當使用者執行任何資料庫操作時,伺服器將會驗證使用者是否具有相應的許可權,例如查詢表需要 SELECT 許可權,刪除物件需要 DROP 許可權。

為了方便使用者許可權的管理,MySQL 8.0 提供了角色的功能。角色(Role)是一組許可權的集合。

21.png

本篇我們討論 MySQL 中的賬戶和許可權的管理。

5.1 管理使用者

5.1.1 建立使用者

MySQL 使用 CREATE USER 語句建立使用者,基本語法如下:

CREATE USER [IF NOT EXISTS] account_name
IDENTIFIED BY 'password';

其中,account_name 是賬戶名稱;賬戶名稱分為兩個部分:使用者名稱(user_name)和主機名(host_name),使用 % 連線。IDENTIFIED BY 用於指定使用者的密碼。IF NOT EXISTS 用於避免建立重名賬戶時產生錯誤資訊。

以下語句建立一個新的使用者 dev01,它可以從本機登入(localhost):

mysql> CREATE USER dev01@localhost IDENTIFIED BY 'Dev01@mysql';
Query OK, 0 rows affected (0.21 sec)

MySQL 中的賬戶由使用者名稱和主機名共同決定,主機 office.example.com 上的 dev01 和主機 home.example.com 上的 dev01 是兩個賬戶。如果不指定主機名,表示使用者可以從任何主機登入:

user_name
user_name@%

% 是萬用字元,表示任何字串;另外,_ 表示任意單個字元。

如果使用者名稱或主機名中包含特殊字元,例如空格或者 - ,需要使用引號分別參照這兩部分內容:

'user-name'@'host-name'

除了單引號之外,也可以使用反引號(`)或者雙引號(")。

MySQL 中的賬戶資訊儲存在系統資料庫 mysql 的 user 表中:

mysql> select host, user from mysql.user;
+-----------+------------------+
| host      | user             |
+-----------+------------------+
| localhost | dev01            |
| localhost | mysql.infoschema |
| localhost | mysql.session    |
| localhost | mysql.sys        |
| localhost | root             |
+-----------+------------------+
5 rows in set (0.00 sec)

除了 dev01@localhost 之外,其他 4 個使用者都是初始化建立的系統使用者。

除了基本語法之外,建立使用者時還可以指定更多選項:

resource_option: {
    MAX_QUERIES_PER_HOUR count
  | MAX_UPDATES_PER_HOUR count
  | MAX_CONNECTIONS_PER_HOUR count
  | MAX_USER_CONNECTIONS count
}

resource_option 用於限制該使用者對系統資源的使用:

  • MAX_QUERIES_PER_HOUR,每小時允許執行的查詢次數。預設為 0 ,表示沒有限制;

  • MAX_UPDATES_PER_HOUR,每小時允許執行的更新次數。預設為 0 ,表示沒有限制;

  • MAX_CONNECTIONS_PER_HOUR,每小時允許執行的連線次數。預設為 0 ,表示沒有限制;

  • MAX_USER_CONNECTIONS,該使用者並行連線的數量。預設為 0 ,表示沒有限制;此時使用者的並行連線數由系統變數 max_user_connections 決定。

以下語句建立一個新的賬戶 dev02,允許從任何主機登入。同時限制該使用者每小時最多執行 1000 次查詢和 100 次更新:

mysql> CREATE USER 'dev02'@'%'
    -> WITH MAX_QUERIES_PER_HOUR 1000 MAX_UPDATES_PER_HOUR 100;
Query OK, 0 rows affected (0.01 sec)

注意第二行的->是使用者端的提示符,不是輸入的內容。查詢系統使用者表可以顯示以上設定:

mysql> select host, user, max_questions, max_updates from mysql.user;
+-----------+------------------+---------------+-------------+
| host      | user             | max_questions | max_updates |
+-----------+------------------+---------------+-------------+
| %         | dev02            |          1000 |         100 |
| localhost | dev01            |             0 |           0 |
| localhost | mysql.infoschema |             0 |           0 |
| localhost | mysql.session    |             0 |           0 |
| localhost | mysql.sys        |             0 |           0 |
| localhost | root             |             0 |           0 |
+-----------+------------------+---------------+-------------+
6 rows in set (0.00 sec)

以下是密碼管理選項:

password_option: {
    PASSWORD EXPIRE [DEFAULT | NEVER | INTERVAL N DAY]
  | PASSWORD HISTORY {DEFAULT | N}
  | PASSWORD REUSE INTERVAL {DEFAULT | N DAY}
  | PASSWORD REQUIRE CURRENT [DEFAULT | OPTIONAL]
}

密碼管理選項可以用於設定密碼的過期策略、重用策略和修改密碼時的驗證:

  • PASSWORD EXPIRE,將密碼立即設定為過期;PASSWORD EXPIRE DEFAULT,使用全域性的密碼過期策略,由系統變數 default_password_lifetime 決定;PASSWORD EXPIRE NEVER,密碼永不過期;PASSWORD EXPIRE INTERVAL N DAY 密碼每隔 N 天過期;

  • PASSWORD HISTORY DEFAULT,使用全域性的密碼重用策略,由系統變數 password_history 決定;PASSWORD HISTORY N,新密碼與最近 N 次密碼不能重複;

  • PASSWORD REUSE INTERVAL DEFAULT,使用全域性的密碼重用策略(按照時間間隔指定),由系統變數 password_reuse_interval 決定;PASSWORD REUSE INTERVAL N DAY,新密碼與最近 N 天內的密碼不能重複;

  • PASSWORD REQUIRE CURRENT,使用者修改密碼時需要輸入當前密碼;PASSWORD REQUIRE CURRENT OPTIONAL,使用者修改密碼時不需要輸入當前密碼;PASSWORD REQUIRE CURRENT DEFAULT,使用全域性策略,由系統變數 password_require_current 決定。

賬戶的密碼選項同樣可以通過 mysql.user 表檢視:

mysql> select host,user,
    -> password_expired, password_last_changed,
    -> password_lifetime, password_reuse_history,
    -> password_reuse_time, password_require_current
    -> from mysql.user;
+-----------+------------------+------------------+-----------------------+-------------------+------------------------+---------------------+--------------------------+
| host      | user             | password_expired | password_last_changed | password_lifetime | password_reuse_history | password_reuse_time | password_require_current |
+-----------+------------------+------------------+-----------------------+-------------------+------------------------+---------------------+--------------------------+
| %         | dev02            | N                | 2019-09-23 15:02:47   |              NULL |                   NULL |                NULL | NULL                     |
| localhost | dev01            | N                | 2019-09-23 14:23:39   |              NULL |                   NULL |                NULL | NULL                     |
| localhost | mysql.infoschema | N                | 2019-08-28 10:07:39   |              NULL |                   NULL |                NULL | NULL                     |
| localhost | mysql.session    | N                | 2019-08-28 10:07:39   |              NULL |                   NULL |                NULL | NULL                     |
| localhost | mysql.sys        | N                | 2019-08-28 10:07:39   |              NULL |                   NULL |                NULL | NULL                     |
| localhost | root             | N                | 2019-08-28 10:07:44   |              NULL |                   NULL |                NULL | NULL                     |
+-----------+------------------+------------------+-----------------------+-------------------+------------------------+---------------------+--------------------------+
6 rows in set (0.00 sec)

以下是賬戶鎖定選項:

lock_option: {
    ACCOUNT LOCK
  | ACCOUNT UNLOCK
}

該選項用於指定是否鎖定賬戶,鎖定的賬戶無法使用;預設為 ACCOUNT UNLOCK,不鎖定賬戶。

5.1.2 修改使用者

ALTER USER 語句可以修改使用者的屬性,修改使用者的選項和建立使用者相同。

首先是修改使用者的密碼。以下語句用於修改使用者 dev01 的密碼:

mysql> ALTER USER dev01@localhost IDENTIFIED BY 'Dev01@2019';
Query OK, 0 rows affected (0.25 sec)

MySQL 提供了 RENAME USER 語句,用於修改使用者名稱:

mysql> RENAME USER dev02 TO dev03;
Query OK, 0 rows affected (0.26 sec)

使用者 dev02 被重新命名為 dev03。

RENAME USER 語句自動將舊使用者的許可權授予新使用者,但是不會自動解決舊使用者上的物件依賴。例如,某個儲存過程的定義者為舊的使用者名稱,並且使用定義者許可權執行時,將會產生錯誤。

另一個常見的使用者修改操作就是鎖定賬戶和解鎖賬戶:

mysql> ALTER USER dev01@localhost ACCOUNT LOCK;
Query OK, 0 rows affected (0.13 sec)

使用者 dev01 被鎖定,此時無法使用該使用者進行連線:

"C:\Program Files\MySQL\MySQL Server 8.0\bin\mysql.exe" -u dev01 -p
Enter password: **********
ERROR 3118 (HY000): Access denied for user 'dev01'@'localhost'. Account is locked.

系統變數 Locked_connects 用於記錄鎖定賬戶嘗試登入的次數:

mysql> SHOW GLOBAL STATUS LIKE 'Locked_connects';
+-----------------+-------+
| Variable_name   | Value |
+-----------------+-------+
| Locked_connects | 1     |
+-----------------+-------+
1 row in set (0.00 sec)

最後我們將 dev01 進行解鎖:

mysql> ALTER USER dev01@localhost ACCOUNT UNLOCK;
Query OK, 0 rows affected (0.10 sec)

5.1.3 刪除使用者

DROP USER 語句用於刪除一個使用者。以下語句將會刪除用 dev03:

mysql> DROP USER dev03;
Query OK, 0 rows affected (0.14 sec)

如果被刪除的使用者已經連線到 MySQL 伺服器,使用者可以繼續執行操作;但是無法建立新的連線。

5.2 管理許可權

新建立的使用者預設只有 USAGE 許可權,只能連線資料庫,而沒有任何操作許可權。使用 SHOW GRANTS 命令可以檢視使用者的許可權:

mysql> SHOW GRANTS FOR dev01@localhost;
+-------------------------------------------+
| Grants for dev01@localhost                |
+-------------------------------------------+
| GRANT USAGE ON *.* TO `dev01`@`localhost` |
+-------------------------------------------+
1 row in set (0.00 sec)

使用 GRANT 語句可以為使用者授予許可權。

5.2.1 授予許可權

GRANT 語句基本語法如下:

GRANT privilege, ... 
ON privilege_level 
TO account_name;

GRANT 語句支援一次授予多個許可權,使用逗號進行分隔。

privilege_level 指定許可權的作用級別,包括:

  • 全域性許可權,作用於 MySQL 伺服器中的所有資料庫。全域性許可權使用*.*表示,例如,以下語句授予 dev01@localhost 使用者查詢所有資料庫中的所有表的許可權:

mysql> GRANT SELECT
   -> ON *.*
   -> TO dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+--------------------------------------------+
| Grants for dev01@localhost                 |
+--------------------------------------------+
| GRANT SELECT ON *.* TO `dev01`@`localhost` |
+--------------------------------------------+
1 row in set (0.00 sec)

全域性許可權儲存在 mysql.user 表中。

  • 資料庫許可權,作用於指定資料庫中的所有物件。資料庫許可權使用db_name.*表示,例如,以下語句授予 dev01@localhost 使用者查詢資料庫 world 中的所有表的許可權:

mysql> GRANT ALL
    -> ON world.*
    -> TO dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+----------------------------------------------------------+
| Grants for dev01@localhost                               |
+----------------------------------------------------------+
| GRANT SELECT ON *.* TO `dev01`@`localhost`               |
| GRANT ALL PRIVILEGES ON `world`.* TO `dev01`@`localhost` |
+----------------------------------------------------------+
2 rows in set (0.00 sec)

資料庫許可權儲存在 mysql.db 表中。

  • 表許可權,作用於指定表的所有列。資料庫許可權使用db_name.table_name表示;如果不指定 db_name,使用預設資料庫;如果沒有預設資料庫,將會返回錯誤。例如,以下語句授予 dev01@localhost 使用者資料庫 world 中country 表的增刪改查許可權:

mysql> GRANT SELECT, INSERT, UPDATE, DELETE
    -> ON world.country
    -> TO dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+----------------------------------------------------------------------------------+
| Grants for dev01@localhost                                                       |
+----------------------------------------------------------------------------------+
| GRANT SELECT ON *.* TO `dev01`@`localhost`                                       |
| GRANT ALL PRIVILEGES ON `world`.* TO `dev01`@`localhost`                         |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `world`.`country` TO `dev01`@`localhost` |
+----------------------------------------------------------------------------------+
3 rows in set (0.00 sec)

表許可權儲存在 mysql.tables_priv 表中。

  • 列許可權,作用於指定表的指定列。每個列許可權都需要指定具體的列名。例如,以下語句授予 dev01@localhost 使用者在 world.country 表中 code 和 name 欄位的查詢許可權,以及 population 欄位的修改許可權:

mysql> GRANT SELECT(code, name), UPDATE(population)
    -> ON world.country
    -> TO dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+----------------------------------------------------------------------------------------------------------------------------------+
| Grants for dev01@localhost |
+----------------------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT ON *.* TO `dev01`@`localhost` |
| GRANT ALL PRIVILEGES ON `world`.* TO `dev01`@`localhost` |
| GRANT SELECT, SELECT (`code`, `name`), INSERT, UPDATE, UPDATE (`population`), DELETE ON `world`.`country` TO `dev01`@`localhost` |
+----------------------------------------------------------------------------------------------------------------------------------+
3 rows in set (0.00 sec)

列許可權儲存在 mysql.columns_priv 表中。

  • 儲存例程許可權,作用於儲存例程(函數和過程)。儲存例程許可權可以基於全域性、資料庫或者單個例程進行指定。以下語句授予 dev01@localhost 使用者在資料庫 world.country 中建立儲存例程的許可權:

mysql> GRANT CREATE ROUTINE
    -> ON world.*
    -> TO dev01@localhost;
Query OK, 0 rows affected (0.02 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for dev01@localhost |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT ON *.* TO `dev01`@`localhost`|
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, CREATE VIEW, SHOW VIEW, ALTER ROUTINE, EVENT, TRIGGER ON `world`.* TO `dev01`@`localhost` |
| GRANT SELECT, SELECT (`code`, `name`), INSERT, UPDATE, UPDATE (`population`), DELETE ON `world`.`country` TO `dev01`@`localhost` |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
3 rows in set (0.00 sec)

儲存例程許可權儲存在 mysql.procs_priv 表中。

  • 代理使用者許可權,允許使用者作為其他使用者的代理。代理使用者擁有被代理使用者的所有許可權。以下語句將 dev01@localhost 使用者設定為 root 用的代理:

mysql> GRANT PROXY
    -> ON root
    -> TO dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for dev01@localhost |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT SELECT ON *.* TO `dev01`@`localhost` |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, CREATE VIEW, SHOW VIEW, ALTER ROUTINE, EVENT, TRIGGER ON `world`.* TO `dev01`@`localhost` |
| GRANT SELECT, SELECT (`code`, `name`), INSERT, UPDATE, UPDATE (`population`), DELETE ON `world`.`country` TO `dev01`@`localhost` |
| GRANT PROXY ON 'root'@'%' TO 'dev01'@'localhost' |
+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
4 rows in set (0.00 sec)

代理使用者許可權儲存在 mysql.proxies_priv 表中。

5.2.2 復原許可權

REVOKE 語句執行與 GRANT 語句相反的操作,復原授予使用者的許可權。

REVOKE privilegee, ..
ON privilege_level
FROM account_name;

復原許可權的引數與授予許可權時類似,以下語句復原使用者 dev01@localhost 所有的許可權:

mysql> REVOKE ALL, GRANT OPTION
    -> FROM dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+--------------------------------------------------+
| Grants for dev01@localhost                       |
+--------------------------------------------------+
| GRANT USAGE ON *.* TO `dev01`@`localhost`        |
| GRANT PROXY ON 'root'@'%' TO 'dev01'@'localhost' |
+--------------------------------------------------+
2 rows in set (0.00 sec)

代理使用者許可權需要單獨復原:

mysql> REVOKE PROXY
    -> ON root
    -> FROM dev01@localhost;
Query OK, 0 rows affected (0.01 sec)
mysql> SHOW GRANTS FOR dev01@localhost;
+-------------------------------------------+
| Grants for dev01@localhost                |
+-------------------------------------------+
| GRANT USAGE ON *.* TO `dev01`@`localhost` |
+-------------------------------------------+
1 row in set (0.00 sec)

使用者 dev01@localhost 又恢復了初始的許可權。

對於全域性級別的許可權,REVOKE 的效果在使用者下次登入時生效;對於資料庫級別的許可權,REVOKE 的效果在執行 USE 命令後生效;對於表級或者欄位級別的許可權,REVOKE 的效果隨後的查詢立即生效。

5.3 管理角色

當使用者越來越多時,許可權的管理也越來越複雜;而實際上,許多使用者需要相同或類似的許可權。為此,MySQL 8.0 引入了一個新的特性:角色(Role)。角色是一組許可權的集合。

與賬戶類似,角色也可以授予許可權;但是角色不能用於登入資料庫。通過角色為使用者授權的步驟如下:

  • 建立一個角色;

  • 為角色授權許可權;

  • 為使用者指定角色。

5.3.1 建立角色

假設我們的應用需要使用 world 資料庫。開發人員需要該資料庫的完全存取許可權,測試人員需要表的讀寫許可權,業務分析人員需要查詢資料的許可權。

首先,使用CREATE ROLE語句建立 3 個角色:

mysql> CREATE ROLE devp_role, read_role, write_role;
Query OK, 0 rows affected (0.02 sec)

角色名稱和賬戶名稱類似,也可以包含 role_name 和 host_name 兩部分,使用 @ 連線。

此時如果查詢使用者表:

mysql> SELECT host,user,authentication_string FROM mysql.user;
+-----------+------------------+------------------------------------------------------------------------+
| host      | user             | authentication_string                                                  |
+-----------+------------------+------------------------------------------------------------------------+
| %         | devp_role        |                                                                        |
| %         | read_role        |                                                                        |
| %         | write_role       |                                                                        |
| localhost | dev01            | $A$005$lw58QcU;QI|L`ktULChFhIVFxy5dsYrYmEhJkJqko4mezqefUFyT0zgyE2 |
| localhost | mysql.infoschema | $A$005$THISISACOMBINATIONOFINVALIDSALTANDPASSWORDTHATMUSTNEVERBRBEUSED |
| localhost | mysql.session    | $A$005$THISISACOMBINATIONOFINVALIDSALTANDPASSWORDTHATMUSTNEVERBRBEUSED |
| localhost | mysql.sys        | $A$005$THISISACOMBINATIONOFINVALIDSALTANDPASSWORDTHATMUSTNEVERBRBEUSED |
| localhost | root             | $A$005$kDqbW(q*0Uev;TyKgUe56D9KXiFzPtrSGVxKjvM23CYN5pgE9dLrO0eT8 |
+-----------+------------------+------------------------------------------------------------------------+
8 rows in set (0.00 sec)

可以看出,角色實際上也是一個使用者,但是沒有密碼。

5.3.2 為角色授權

為角色授權和使用者授權類似,也是使用 GRANT 語句。我們分別為上面的 3 個角色分配許可權:

mysql> GRANT ALL ON world.* TO devp_role;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT SELECT ON world.* TO read_role;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT INSERT, UPDATE, DELETE ON world.* TO write_role;
Query OK, 0 rows affected (0.01 sec)

檢視角色的許可權和查詢使用者的許可權類似:

mysql> SHOW GRANTS FOR devp_role;
+------------------------------------------------------+
| Grants for devp_role@%                               |
+------------------------------------------------------+
| GRANT USAGE ON *.* TO `devp_role`@`%`                |
| GRANT ALL PRIVILEGES ON `world`.* TO `devp_role`@`%` |
+------------------------------------------------------+
2 rows in set (0.00 sec)

5.3.2 為使用者指定角色

接下來我們建立幾個使用者,然後為他們分別指定角色。

mysql> CREATE USER devp1 IDENTIFIED BY 'Devp1@2019';
Query OK, 0 rows affected (0.01 sec)
mysql> CREATE USER read1 IDENTIFIED BY 'Read1@2019';
Query OK, 0 rows affected (0.01 sec)
mysql> CREATE USER test1 IDENTIFIED BY 'Test1@2019';
Query OK, 0 rows affected (0.04 sec)

為使用者指定角色和授予許可權類似,也是使用GRANT語句:

mysql> GRANT devp_role TO devp1;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT read_role TO read1;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT read_role, write_role TO test1;
Query OK, 0 rows affected (0.01 sec)

再次查詢使用者的許可權:

mysql> SHOW GRANTS FOR devp1;
+--------------------------------------+
| Grants for devp1@%                   |
+--------------------------------------+
| GRANT USAGE ON *.* TO `devp1`@`%`    |
| GRANT `devp_role`@`%` TO `devp1`@`%` |
+--------------------------------------+
2 rows in set (0.00 sec)

如果想要知道使用者通過角色獲得的具體許可權,可以使用USING選項:

mysql> SHOW GRANTS FOR devp1 USING devp_role;
+--------------------------------------------------+
| Grants for devp1@%                               |
+--------------------------------------------------+
| GRANT USAGE ON *.* TO `devp1`@`%`                |
| GRANT ALL PRIVILEGES ON `world`.* TO `devp1`@`%` |
| GRANT `devp_role`@`%` TO `devp1`@`%`             |
+--------------------------------------------------+
3 rows in set (0.00 sec)

另外,也可以通過將一個使用者授予另一個使用者,實現許可權的複製:

mysql> GRANT read1 TO test1;
Query OK, 0 rows affected (0.09 sec)

使用者是具有登入許可權的角色,角色是不能登入的使用者。

5.3.4 設定預設角色

使用 devp1 連線資料庫:

"C:\Program Files\MySQL\MySQL Server 8.0\bin\mysql.exe" -u devp1 -p
Enter password: **********
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 14
Server version: 8.0.17 MySQL Community Server - GPL
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> use world;
ERROR 1044 (42000): Access denied for user 'devp1'@'%' to database 'world'

我們已經為使用者 devp1 授予了 devp_role 角色,該角色擁有資料庫 world 上的所有許可權;錯誤的原因在於該角色沒有自動啟用。使用CURRENT_ROLE()函數檢視當前啟動的角色:

mysql> SELECT current_role();
+----------------+
| current_role() |
+----------------+
| NONE           |
+----------------+
1 row in set (0.00 sec)

結果顯示沒有任何角色。SET DEFAULT ROLE命令可以設定使用者預設的活動角色:

mysql> SET DEFAULT ROLE ALL
    -> TO devp1;
Query OK, 0 rows affected (0.01 sec)

再次使用 devp1 連線資料庫後,將會啟用該使用者所有的角色:

"C:\Program Files\MySQL\MySQL Server 8.0\bin\mysql.exe" -u devp1 -p
Enter password: **********
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 15
Server version: 8.0.17 MySQL Community Server - GPL
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> SELECT current_role();
+-----------------+
| current_role()  |
+-----------------+
| `devp_role`@`%` |
+-----------------+
1 row in set (0.00 sec)
mysql> use world;
Database changed
mysql> select * from city limit 1;
+----+-------+-------------+----------+------------+
| ID | Name  | CountryCode | District | Population |
+----+-------+-------------+----------+------------+
|  1 | Kabul | AFG         | Kabol    |    1780000 |
+----+-------+-------------+----------+------------+
1 row in set (0.00 sec)

另一種方式就是使用SET ROLE命令設定當前對談的活動角色:

SET ROLE NONE;
SET ROLE ALL;
SET ROLE DEFAULT;

以上語句分別表示不設定任何角色、設定所有角色以及設定預設的角色。

5.3.5 復原角色的許可權

復原角色的許可權與復原使用者的許可權類似,復原角色的許可權同時會影響到具有該角色的使用者。

以下語句復原角色 write_role 的 DELETE 許可權:

mysql> REVOKE DELETE
    -> ON world.*
    -> FROM write_role;
Query OK, 0 rows affected (0.14 sec)

此時,使用者 test1 上的相應許可權也被複原。

5.3.6 刪除角色

DROP ROLE語句可以刪除角色:

DROP ROLE role_name, ...;

刪除角色的同時會復原為使用者指定的角色。以下語句將會刪除角色 read_role 和 write_role:

mysql> DROP ROLE read_role, write_role;
Query OK, 0 rows affected (0.10 sec)

推薦學習:

以上就是一起聊聊mysql中的賬戶和許可權的詳細內容,更多請關注TW511.COM其它相關文章!