MySQL/MariaDB用户权限及权限管理

1、MySQL权限级别介绍

管理对象权限说明
全局可以管理整个MySQL
可以管理指定的数据库
可以管理指定数据库的指定表
字段可以管理指定数据库的指定表的指定字段

权限存储在MySQL库的user, db, tables_priv, columns_priv, procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中。

2、查看用户权限

2.1、查看所有用户(用户名、给谁授权)
MariaDB [(none)]> SELECT user, host, authentication_string FROM mysql.user;
+----------+--------------+-------------------------------------------+
| user     | host         | authentication_string                     |
+----------+--------------+-------------------------------------------+
| root     | localhost    |                                           |
| admin    | localhost    |                                           |
| admin    | %            | *9D59E8AF06195817B4585B0045A6601BBE64259F |
| jeffrey  | %            |                                           |
| jeffreys | localhost    |                                           |
| wang     | %            |                                           |
| wang1    | localhost    |                                           |
| wang3    | 192.168.1.59 |                                           |
| wang4    | localhost    |                                           |
| lyshark  | localhost    |                                           |
| lyshark  | %            |                                           |
+----------+--------------+-------------------------------------------+
11 rows in set (0.000 sec)
2.2、查看单个用户所有情况
MariaDB [(none)]> SELECT * FROM mysql.user WHERE user='wang'\G
*************************** 1. row ***************************
                  Host: %
                  User: wang
              Password: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257
           Select_priv: Y
           Insert_priv: Y
           Update_priv: Y
           Delete_priv: Y
           Create_priv: Y
             Drop_priv: Y
           Reload_priv: Y
         Shutdown_priv: Y
          Process_priv: Y
             File_priv: Y
            Grant_priv: N
       References_priv: Y
            Index_priv: Y
            Alter_priv: Y
          Show_db_priv: Y
            Super_priv: Y
 Create_tmp_table_priv: Y
      Lock_tables_priv: Y
          Execute_priv: Y
       Repl_slave_priv: Y
      Repl_client_priv: Y
      Create_view_priv: Y
        Show_view_priv: Y
   Create_routine_priv: Y
    Alter_routine_priv: Y
      Create_user_priv: Y
            Event_priv: Y
          Trigger_priv: Y
Create_tablespace_priv: Y
   Delete_history_priv: Y
              ssl_type:
            ssl_cipher:
           x509_issuer:
          x509_subject:
         max_questions: 0
           max_updates: 0
       max_connections: 0
  max_user_connections: 0
                plugin:
 authentication_string:
      password_expired: N
               is_role: N
          default_role:
    max_statement_time: 0.000000
1 row in set (0.000 sec)

\G 使每个字段打印到单独的行,也有’;'的作用。

Host: %  # 授权用户,% 代表所有
User: wang  # 用户名
authentication_string: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257  # 密码,MD5加密
Select_priv:确定用户是否可以通过SELECT命令选择数据
Insert_priv:确定用户是否可以通过INSERT命令插入数据
Update_priv:确定用户是否可以通过UPDATE命令修改现有数据
Delete_priv:确定用户是否可以通过DELETE命令删除现有数据
Create_priv:确定用户是否可以创建新的数据库和表
Drop_priv:确定用户是否可以删除现有数据库和表
Reload_priv:确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令,包括日志、权限、主机、查询和表
Shutdown_priv:确定用户是否可以关闭MySQL服务器,将此权限提供给root账户之外的任何用户时,都应当非常谨慎
Process_priv:确定用户是否可以通过SHOW
File_priv:确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令
Grant_priv:确定用户是否可以将已经授予给该用户自己的权限再授予其他用户,例如,如果用户可以插入、选择和删除foo数据库中的信息,并且授予了GRANT权限,则该用户就可以将其任何或全部权限授予系统中的任何其他用户
References_priv:目前只是某些未来功能的占位符,现在没有作用
Index_priv:确定用户是否可以创建和删除表索引
Alter_priv:确定用户是否可以重命名和修改表结构
Show_db_priv:确定用户是否可以查看服务器上所有数据库的名字,包括用户拥有足够访问权限的数据库,可以考虑对所有用户禁用这个权限,除非有特别不可抗拒的原因
Super_priv:确定用户是否可以执行某些强大的管理功能,例如通过KILL命令删除用户进程,使用SET GLOBAL修改全局MySQL变量,执行关于复制和日志的各种命令
Create_tmp_table_priv:确定用户是否可以创建临时表
Lock_tables_priv:确定用户是否可以使用LOCK
Execute_priv:确定用户是否可以执行存储过程,此权限只在MySQL 5.0及更高版本中有意义
Repl_slave_priv:确定用户是否可以读取用于维护复制数据库环境的二进制日志文件,此用户位于主系统中,有利于主机和客户机之间的通信
Repl_client_priv:确定用户是否可以确定复制从服务器和主服务器的位置
Create_view_priv:确定用户是否可以创建视图,此权限只在MySQL 5.0及更高版本中有意义
Show_view_priv:确定用户是否可以查看视图或了解视图如何执行,此权限只在MySQL 5.0及更高版本中有意义 Create_routine_priv:确定用户是否可以更改或放弃存储过程和函数,此权限是在MySQL 5.0中引入的 Alter_routine_priv:确定用户是否可以修改或删除存储函数及函数,此权限是在MySQL 5.0中引入的 Create_user_priv:确定用户是否可以执行CREATE
Event_priv:确定用户能否创建、修改和删除事件,这个权限是MySQL 5.1.6新增的
Trigger_priv:确定用户能否创建和删除触发器,这个权限是MySQL 5.1.6新增的
Create_tablespace_priv: 创建表的空间

3、权限表

image.png

4、授权

4.1、格式:
GRANT [权限] ON [库.表] TO [用户名]@[IP] IDENTIFIED BY [密码] 
# WITH GRANT OPTION;

GRANT命令说明:
(1)ALL PRIVILEGES表示所有权限,也可以使用SELECT、UPDATE等权限。
(2)ON用来指定权限针对哪些库和表。
(3)*.*中前面的号用来指定数据库名,后面的号用来指定表名。
(4)TO表示将权限赋予某个用户。
(5)@前面表示用户,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。
(6)IDENTIFIED BY指定用户的登录密码。
(7)WITH GRANT OPTION这个选项表示该用户可以将自己拥有的权限授权给别人。
注意:
在创建操作用户的时候不指定WITH GRANT OPTION选项会导致该用户不能使用GRANT命令创建用户或者给其它用户授权。
每次更新权限后记得刷新权限FLUSH PRIVILEGES;
备注:
使用GRANT重复给用户添加权限,权限叠加。
如先给用户添加一个SELECT权限,然后又给用户添加一个UPDATE权限,那么该用户就同时拥有了SELECT和UPDATE权限。

4.2、授权示例

1、全局授权
新建一个用户,给与全部权限

MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO 'wang5'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;
Query OK, 0 rows affected (0.000 sec)

MariaDB [(none)]> SELECT user, host, authentication_string FROM mysql.user;
+----------+--------------+-------------------------------------------+
| user     | host         | authentication_string                     |
+----------+--------------+-------------------------------------------+
| root     | localhost    |                                           |
| admin    | localhost    |                                           |
| admin    | %            | *9D59E8AF06195817B4585B0045A6601BBE64259F |
| jeffrey  | %            |                                           |
| jeffreys | localhost    |                                           |
| wang     | %            |                                           |
| wang1    | localhost    |                                           |
| wang3    | 192.168.1.59 |                                           |
| wang4    | localhost    |                                           |
| lyshark  | localhost    |                                           |
| lyshark  | %            |                                           |
| wang5    | %            |                                           |
+----------+--------------+-------------------------------------------+
12 rows in set (0.000 sec)

2、单个数据库授权

MariaDB [(none)]> GRANT ALL PRIVILEGES ON mysql.* TO 'wang6'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;
Query OK, 0 rows affected (0.000 sec)

MariaDB [(none)]> SELECT user, host, authentication_string FROM mysql.user;
+----------+--------------+-------------------------------------------+
| user     | host         | authentication_string                     |
+----------+--------------+-------------------------------------------+
| root     | localhost    |                                           |
| admin    | localhost    |                                           |
| admin    | %            | *9D59E8AF06195817B4585B0045A6601BBE64259F |
| jeffrey  | %            |                                           |
| jeffreys | localhost    |                                           |
| wang     | %            |                                           |
| wang1    | localhost    |                                           |
| wang3    | 192.168.1.59 |                                           |
| wang4    | localhost    |                                           |
| lyshark  | localhost    |                                           |
| lyshark  | %            |                                           |
| wang5    | %            |                                           |
| wang6    | %            |                                           |
+----------+--------------+-------------------------------------------+
13 rows in set (0.000 sec)

3、单个数据库单个表授权

MariaDB [(none)]> GRANT ALL PRIVILEGES ON mysql.user TO 'wang7'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;
Query OK, 0 rows affected (0.000 sec)

4、单个数据库单个表授权某些字段授权

MariaDB [(none)]> GRANT SELECT(host, user) ON mysql.user TO 'wang8'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;
Query OK, 0 rows affected (0.000 sec)

这样做的话,表是打不开的,只能通过查询语句,查出对我们开放的字段。

4、收回权限、删除用户

4.1、收回权限

REVOKE [权限] ON [库.表] FROM [用户名]@[IP];

MariaDB [(none)]> REVOKE SELECT(host, user) ON mysql.user FROM 'wang8'@'%';
Query OK, 0 rows affected (0.000 sec)
4.2、删除用户

DROP USER [用户名]@[IP];

MariaDB [(none)]> DROP USER IF EXISTS 'wang8'@'%';
Query OK, 0 rows affected (0.000 sec)

glc400
258 声望6 粉丝