共計(jì) 6372 個(gè)字符,預(yù)計(jì)需要花費(fèi) 16 分鐘才能閱讀完成。
這篇文章將為大家詳細(xì)講解有關(guān) MySQL 中用戶與授權(quán)管理的示例分析,丸趣 TV 小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考,希望大家閱讀完這篇文章后可以有所收獲。
一、前言
做為 Mysql 數(shù)據(jù)庫管理員管理用戶賬戶,是一件很重要的事,指出哪個(gè)用戶可以連接服務(wù)器,從哪里連接,連接后能做什么。Mysql 從 3.22.11 開始引入兩個(gè)語句來做這件事,GRANT 語句創(chuàng)建 Mysql 用戶并指定其權(quán)限,而 REVOKE 語句刪除權(quán)限。CREATE 和 REVOKE 語句影響 4 個(gè)表,
·
user 能連接服務(wù)器的用戶以及他們擁有的任何全局權(quán)限
·
db 數(shù)據(jù)庫級(jí)權(quán)限
·
tables_priv 表級(jí)權(quán)限
·
columns_priv 列級(jí)權(quán)限
還有第 5 個(gè)授權(quán)表 host,但它不受 GRANT 和 REVOKE 的影響,下面我們看一下 mysql 數(shù)據(jù)庫中的所有表,
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
mysql use mysql;
Database changed
mysql show
tables;
+—————————+
|
Tables_in_mysql
|
+—————————+
|
columns_priv
|
|
db
|
|
event
|
|
func
|
| general_log
|
|
help_category
|
|
help_keyword
|
|
help_relation
|
|
help_topic
|
|
host
|
|
ndb_binlog_index
|
|
plugin
|
|
proc
|
|
procs_priv
|
|
proxies_priv
|
|
servers
|
|
slow_log
|
|
tables_priv
|
|
time_zone
|
|
time_zone_leap_second |
| time_zone_name
|
|
time_zone_transition |
| time_zone_transition_type
|
|
user
|
+—————————+
24 rows in set (0.00 sec)
當(dāng)你對(duì)一個(gè)用戶發(fā)出一條 GRANT 語句時(shí),在 user 表中為該用戶創(chuàng)建一條記錄。如果語句指定任何全局權(quán)限(管理權(quán)限或適用于所有數(shù)據(jù)庫的權(quán)限),這些也記錄在 user 表中。如果你指定數(shù)據(jù)庫、表和列級(jí)權(quán)限,他們被分別記錄在 db、tables_priv 和 columns_priv 表中。
二、創(chuàng)建用戶并授權(quán)
1.GRANT 語句的用法
1
2
3
4
5
6
7
8
9
10
11
mysql ? grant
Name: GRANT
Description:
Syntax:
GRANT
priv_type
[(column_list)]
[,
priv_type [(column_list)]] …
ON
[object_type] priv_level
TO
user_specification [, user_specification] …
[REQUIRE
{NONE | ssl_option [[AND] ssl_option] …}]
[WITH
with_option …]
GRANT 語句的語法看上去像這樣,
GRANT privileges
[columns] ON what TO user IDENTIFIED BY
password WITH GRANT OPTION;
注:紅顏色標(biāo)識(shí)出來的,都是可以定義的,下面我們來一個(gè)一個(gè)說明!
2. 權(quán)限分類(privileges)
第一組:指定符適用于數(shù)據(jù)庫、表和列
·
ALTER 修改表和索引
·
CREATE 創(chuàng)建數(shù)據(jù)庫和表
·
DELETE 刪除表中已有的記錄
·
DROP 刪除數(shù)據(jù)庫和表
·
INDEX 創(chuàng)建或拋棄索引
·
INSERT 向表中插入新行
·
REFERENCE 未用
·
SELECT 檢索表中的記錄
·
UPDATE 修改現(xiàn)存表記錄
第二組:指定數(shù)據(jù)庫數(shù)管理權(quán)限
·
FILE 讀或?qū)懛?wù)器上的文件
·
PROCESS 查看服務(wù)器中執(zhí)行的線程信息或殺死線程
·
RELOAD 重載授權(quán)表或清空日志、主機(jī)緩存或表緩存
·
SHUTDOWN 關(guān)閉服務(wù)器
第三組權(quán)限特殊:ALL 意味著“所有權(quán)限”,UASGE 意味著無權(quán)限,即創(chuàng)建用戶,但不授予權(quán)限
·
ALL 所有;ALL PRIVILEGES“所有權(quán)限”
·
USAGE 特殊的“無權(quán)限”權(quán)限
3.columns
權(quán)限運(yùn)用的列,它是可選的,并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個(gè)列,應(yīng)該用逗號(hào)分開它們。
4.what
權(quán)限運(yùn)用的級(jí)別。權(quán)限可以是全局的(適用于所有數(shù)據(jù)庫和所有表)、特定數(shù)據(jù)庫(適用于一個(gè)數(shù)據(jù)庫中的所有表)或特定表的。可以通過指定一個(gè) columns 字句是權(quán)限是列特定的。
5.user
權(quán)限授予的用戶,它由一個(gè)用戶名和主機(jī)名組成。在 MySQL 中,你不僅指定誰能連接,還有從哪里連接。這允許你讓兩個(gè)同名用戶從不同地方連接。MySQL 讓你區(qū)分他們,并彼此獨(dú)立地賦予權(quán)限。
MySQL 中的一個(gè)用戶名就是你連接服務(wù)器時(shí)指定的用戶名,該名字不必與你的 Unix 登錄名或 Windows 名聯(lián)系起來。缺省地,如果你不明確指定一個(gè)名字,客戶程序?qū)⑹褂媚愕牡卿浢鳛?MySQL 用戶名。這只是一個(gè)約定。你可以在授權(quán)表中將該名字改為 nobody,然后以 nobody 連接執(zhí)行需要超級(jí)用戶權(quán)限的操作。
6.password
賦予用戶的口令,它是可選的。如果你對(duì)新用戶沒有指定 IDENTIFIED BY 子句,該用戶不賦給口令(不安全)。對(duì)現(xiàn)有用戶,任何你指定的口令將代替老口令。如果你不指定口令,老口令保持不變,當(dāng)你用 IDENTIFIED BY 時(shí),口令字符串用改用口令的字面含義,GRANT 將為你編碼口令,不要象你用 SET PASSWORD 那樣使用 password() 函數(shù)。
7.WITH GRANT
OPTION 子句是可選的。如果你包含它,用戶可以授予權(quán)限通過 GRANT 語句授權(quán)給其它用戶。你可以用該子句給與其它用戶授權(quán)的能力。
注:用戶名、口令、數(shù)據(jù)庫和表名在授權(quán)表記錄中是大小寫敏感的,而主機(jī)名和列名不是。
三、GRANT 語句的種類
一般地,你可以通過詢問幾個(gè)簡(jiǎn)單的問題來識(shí)別 GRANT 語句的種類:
·
誰能連接,從那兒連接?
·
用戶應(yīng)該有什么級(jí)別的權(quán)限,他們適用于什么?
·
用戶應(yīng)該允許管理權(quán)限嗎?
1. 誰能連接,從那兒連接?
(1). 你可以允許一個(gè)用戶從特定的或一系列主機(jī)連接。
1
GRANT ALL ON db.*
TO free@localhost IDENTIFIED BY 123456
說明:db.* 意思是“db 數(shù)據(jù)庫的所有表
(2). 你可能有一個(gè)經(jīng)常外出并需要能從任何主機(jī)連接的用戶 free。在這種情況下,你可以允許他無論從哪里連接:
1
GRANT ALL ON db.*
TO free@% IDENTIFIED BY 123456
說明:“%”字符起通配符作用,與 LIKE 模式匹配的含義相同。在上述語句中,它意味著“任何主機(jī)”。所以 free 和 free@% 等價(jià)。這是建立用戶最簡(jiǎn)單的方法,但也是最不安全的。
(3). 你可以允許一個(gè)用戶從一個(gè)受限的主機(jī)集合訪問。例如,要允許 mary 從 free.net 域的任何主機(jī)連接,用一個(gè) %.free.net 主機(jī)指定符:
1
GRANT ALL ON db.* TO
mary@%.free.net IDENTIFIED BY 123456
(4). 如果你喜歡,用戶標(biāo)識(shí)符的主機(jī)部分可以用 IP 地址而不是一個(gè)主機(jī)名來給定。你可以指定一個(gè) IP 地址或一個(gè)包含模式字符的地址,而且,從 MySQL 3.23,你還可以指定具有指出用于網(wǎng)絡(luò)號(hào)的位數(shù)的網(wǎng)絡(luò)掩碼的 IP 號(hào):
1
2
3
GRANT ALL ON db.*
TO free@192.168.12.10 IDENTIFIED BY 123456
GRANT ALL ON db.*
TO free@192.168.12.% IDENTIFIED BY 123456
GRANT ALL ON db.*
TO free@192.168.12.0/24 IDENTIFIED
BY 123456
說明:第一個(gè)例子指出用戶能從其連接的特定主機(jī),第二個(gè)指定對(duì)于 C 類子網(wǎng) 192.168.12 的 IP 模式,而第三條語句中,192.168.12.0/24 指定一個(gè) 24 位網(wǎng)絡(luò)號(hào)并匹配具有 192.168.12 頭 24 位的 IP 地址。
(5). 如果你指定的用戶值報(bào)錯(cuò),你可能需要使用引號(hào)(只將用戶名和主機(jī)名部分分開加引號(hào))。
1
GRANT ALL ON db.*
TO free @ test.free.net IDENTIFIED
BY 123456
2. 用戶應(yīng)該有什么級(jí)別的權(quán)限和它們應(yīng)該適用于什么?
(1). 你可以授權(quán)不同級(jí)別的權(quán)限,全局權(quán)限是最強(qiáng)大的,因?yàn)樗鼈冞m用于任何數(shù)據(jù)庫。要使 free 成為可做任何事情的超級(jí)用戶,包括能授權(quán)給其它用戶,發(fā)出下列語句:
1
GRANT ALL ON *.*
TO free@localhost IDENTIFIED BY 123456 WITH GRANT OPTION;
說明:ON 子句中的 *.* 意味著“所有數(shù)據(jù)庫、所有表”。從安全考慮,我們指定 free 只能從本地連接。限制一個(gè)超級(jí)用戶可以連接的主機(jī)通常是明智的,因?yàn)樗拗屏嗽噲D破解口令的主機(jī)。
有些權(quán)限(FILE、PROCESS、RELOAD 和 SHUTDOWN)是管理權(quán)限并且只能用 ON *.* 全局權(quán)限指定符授權(quán)。如果你愿意,你可以授權(quán)這些權(quán)限,而不授權(quán)數(shù)據(jù)庫權(quán)限。例如,下列語句設(shè)置一個(gè) flush 用戶,他只能發(fā)出 flush 語句。這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會(huì)有用:
1
GRANT RELOAD ON *.* TO
flushl@localhost IDENTIFIED BY 123456
一般地,你想授權(quán)管理權(quán)限,吝嗇點(diǎn),因?yàn)閾碛兴鼈兊挠脩艨梢杂绊懩愕姆?wù)器的操作。
(2). 數(shù)據(jù)庫級(jí)權(quán)限適用于一個(gè)特定數(shù)據(jù)庫中的所有表,它們可通過使用 ON db_name.* 子句授予:
1
2
GRANT ALL ON db
TO free@test.free.net INDETIFIED BY 123456
GRANT SELECT ON db
TO free@% INDETIFIED BY 123456
說明:第一條語句向 free 授權(quán) db 數(shù)據(jù)庫中所有表的權(quán)限,第二條創(chuàng)建一個(gè)嚴(yán)格限制訪問的用戶 free(只讀用戶),只能訪問 db 數(shù)據(jù)庫中的所有表,但只有讀取,即用戶只能發(fā)出 SELECT 語句。你可以列出一系列同時(shí)授予的各個(gè)權(quán)限。例如,如果你想讓用戶能讀取并能修改現(xiàn)有數(shù)據(jù)庫的內(nèi)容,但不能創(chuàng)建新表或刪除表,如下授予這些權(quán)限:GRANT SELECT,INSERT,DELETE,UPDATE ON db TO free@test.net INDETIFIED BY 123456
(3). 對(duì)于更精致的訪問控制,你可以在各個(gè)表上授權(quán),或甚至在表的每個(gè)列上。當(dāng)你想向用戶隱藏一個(gè)表的部分時(shí),或你想讓一個(gè)用戶只能修改特定的列時(shí),列特定權(quán)限非常有用。如:
1
2
GRANT SELECT ON db.member
TO free@localhost INDETIFIED BY 123456
GRANT UPDATE (expiration) ON
db. member TO free@localhost;
說明:第一條語句授予對(duì)整個(gè) member 表的讀權(quán)限并設(shè)置了一個(gè)口令,第二條語句增加了 UPDATE 權(quán)限,當(dāng)只對(duì) expiration 列。沒必要再指定口令,因?yàn)榈谝粭l語句已經(jīng)指定了。
(4). 如果你想對(duì)多個(gè)列授予權(quán)限,指定一個(gè)用逗號(hào)分開的列表。例如,對(duì) free 用戶增加 member 表的地址字段的 UPDATE 權(quán)限,使用如下語句,新權(quán)限將加到用戶已有的權(quán)限中:
1
GRANT UPDATE
(street,city,state,zip) ON db TO free@localhost ;
說明:通常,你不想授予任何比用戶確實(shí)需要的權(quán)限寬的權(quán)限。然而,當(dāng)你想讓用戶能創(chuàng)建一個(gè)臨時(shí)表以保存中間結(jié)果,但你又不想讓他們?cè)谝粋€(gè)包含他們不應(yīng)修改內(nèi)容的數(shù)據(jù)庫中這樣做時(shí),發(fā)生了要授予在一個(gè)數(shù)據(jù)庫上的相對(duì)寬松的權(quán)限。你可以通過建立一個(gè)分開的數(shù)據(jù)庫(如 tmp)并授予開數(shù)據(jù)庫上的所有權(quán)限來進(jìn)行。例如,如果你想讓來自 test.net 域中主機(jī)的任何用戶使用 tmp 數(shù)據(jù)庫,你可以發(fā)出這樣的 GRANT 語句:
1
GRANT ALL ON tmp.*
TO @test.net;
在你做完之后,用戶可以創(chuàng)建并用 tmp.tb_name 形式引用 tmp 中的表(在用戶指定符中的 創(chuàng)建一個(gè)匿名用戶,任何用戶均匹配空白用戶名)。
3 用戶應(yīng)該被允許管理權(quán)限嗎?
你可以允許一個(gè)數(shù)據(jù)庫的擁有者通過授予數(shù)據(jù)庫上的所有擁有者權(quán)限來控制數(shù)據(jù)庫的訪問,在授權(quán)時(shí),指定 WITH GRANT OPTION。例如:如果你想讓 free 能從 big.free.com 域的任何主機(jī)連接并具有 sales 數(shù)據(jù)庫中所有表的管理員權(quán)限,你可以用如下 GRANT 語句:
1
GRANT ALL ON sales.*
TO free@%.big.free.com INDETIFIED BY 123456 WITH GRANT OPTION;
在效果上 WITH GRANT OPTION 子句允許你把訪問授權(quán)的權(quán)利授予另一個(gè)用戶。要注意,擁有 GRANT 權(quán)限的兩個(gè)用戶可以彼此授權(quán)。如果你只給予了第一個(gè)用戶 SELECT 權(quán)限,而另一個(gè)用戶有 GRANT 加上 SELECT 權(quán)限,那么第二個(gè)用戶可以是第一個(gè)用戶更“強(qiáng)大”。
四、撤權(quán)并刪除用戶
要取消一個(gè)用戶的權(quán)限,使用 REVOKE 語句。REVOKE 的語法非常類似于 GRANT 語句,除了 TO 用 FROM 取代并且沒有 INDETIFED BY 和 WITH GRANT OPTION 子句:
1
2
3
4
5
6
7
8
9
mysql ? REVOKE
Name: REVOKE
Description:
Syntax:
REVOKE
priv_type
[(column_list)]
[,
priv_type [(column_list)]] …
ON
[object_type] priv_level
FROM
user [, user] …
REVOKE 語句的語法看上去像這樣,
REVOKE privileges (columns) ON what FROM user;
下面我們對(duì)紅色部分進(jìn)行具體說明,
1.user 部分必須匹配原來 GRANT 語句的你想撤權(quán)的用戶的 user 部分。
2.privileges 部分不需匹配,你可以用 GRANT 語句授權(quán),然后用 REVOKE 語句只撤消部分權(quán)限。
3.REVOKE 語句只刪除權(quán)限,而不刪除用戶。即使你撤銷了所有權(quán)限,在 user 表中的用戶記錄依然保留,這意味著用戶仍然可以連接服務(wù)器。要完全刪除一個(gè)用戶,你必須用一條 DELETE 語句明確從 user 表中刪除用戶記錄,具體操作如下:
1
2
3
mysql -u root -p 123456
mysql
mysql DELETE FROM user
WHERE User= user_name and
Host= host_name
mysql FLUSH PRIVILEGES;
DELETE 語句刪除用戶記錄,而 FLUSH 語句告訴服務(wù)器重載授權(quán)表。(當(dāng)你使用 GRANT 和 REVOKE 語句時(shí),表自動(dòng)重載,而你直接修改授權(quán)表時(shí)不是)。
關(guān)于“MySQL 中用戶與授權(quán)管理的示例分析”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,使各位可以學(xué)到更多知識(shí),如果覺得文章不錯(cuò),請(qǐng)把它分享出去讓更多的人看到。
