MYSQL8.0权限新特色-Role

MySQL 的角色（Role）功能自 MySQL 8.0 起正式引入，极大简化了用户权限管理。角色是一组预定义的权限集合，可以一次性分配给多个用户，方便统一权限管理和维护。以下是 MySQL Role 功能的详细介绍：

1. 什么是角色（Role）

角色是 MySQL 中一组权限的集合，类似于权限模板。通过创建角色并分配一组权限，可以将该角色分配给不同用户，使用户继承角色的权限。这种机制减少了重复操作，也方便随时调整用户权限。

2. Role 的优势

• 简化管理：一次性定义角色并分配权限，减少了逐一分配权限的繁琐。
• 动态调整：可以随时增删权限，并影响所有拥有该角色的用户。
• 安全性：通过角色统一管理权限，降低了手动操作的出错概率。
• 提高可维护性：方便为不同用户组配置统一权限，便于将来权限审计和调整。

3. 角色的主要操作

（1）角色管理功能：

• CREATE ROLE 和 DROP ROLE：用于创建和删除角色。
• GRANT 和 REVOKE：可将权限赋予或撤销给角色，并通过角色赋予用户权限。
• SHOW GRANTS：显示用户或角色的权限分配情况。
• SET DEFAULT ROLE：设置用户登录时的默认活动角色。
• SET ROLE：修改当前会话中活动的角色。
• CURRENT_ROLE()：查询当前会话中活动的角色。

（2）创建角色

使用 CREATE ROLE 命令创建角色。语法如下：

CREATE ROLE 'role_name';

例如，创建一个名为 developer 的角色：

CREATE ROLE 'developer';

（3）为角色分配权限

使用 GRANT 命令为角色分配权限，这与分配权限给用户的方式相同。

GRANT SELECT, INSERT ON database_name.* TO 'developer';

（4）将角色分配给用户

将角色分配给用户，使用户自动继承该角色的权限。

GRANT 'developer' TO 'username'@'host';

多个角色可以赋予同一用户，用户权限为所有分配角色的权限总和。

（5）激活和停用角色

分配角色后，用户可以选择激活（启用）或停用指定角色，以控制当前会话中的权限。

• 激活角色：

  SET ROLE 'role_name';

• 停用角色：

  SET ROLE NONE;

用户可以用 SET DEFAULT ROLE 设置会话启动时的默认激活角色。

（6）删除角色

使用 DROP ROLE 删除不再需要的角色。

DROP ROLE 'developer';

（7）查看角色和用户权限

通过以下查询可以查看当前用户的角色和权限：

• 查看分配的角色：

  SHOW GRANTS FOR 'username'@'host';

• 查看当前会话中激活的角色：

  SHOW ACTIVE ROLES;

1. 创建和分配角色权限的示例：

   • 角色的创建可以通过 CREATE ROLE 实现，例如，创建 app_developer（开发者）、app_read（只读用户）、app_write（读写用户）等角色。

     CREATE ROLE 'app_developer', 'app_read', 'app_write';

   • 然后通过 GRANT 命令为这些角色分配权限：

     GRANT ALL ON app_db.* TO 'app_developer';
     GRANT SELECT ON app_db.* TO 'app_read';
     GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';

2. 用户角色授权：

   • 为用户创建和分配角色：

     CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
     GRANT 'app_developer' TO 'dev1'@'localhost';

   • 同样可以将多个角色分配给同一用户，实现灵活的权限组合：

     GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

3. 设置默认角色：

   • 使用 SET DEFAULT ROLE 指定用户登录时的默认活动角色：

     SET DEFAULT ROLE ALL TO 'dev1'@'localhost', 'rw_user1'@'localhost';

   • 默认情况下，角色不会自动激活。可以通过设置 activate_all_roles_on_login 变量使所有角色在用户登录时自动激活。

4. 检查和激活角色：

   • 使用 SHOW GRANTS 命令显示用户的角色权限，同时可以使用 USING 关键字查看角色内的具体权限：

     SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';

   • 使用 SET ROLE 语句在会话中动态激活或停用角色，例如：

     SET ROLE NONE; -- 停用所有角色
     SET ROLE DEFAULT; -- 恢复默认角色

5. 强制角色：

   • 强制角色由 mandatory_roles 系统变量定义，这些角色会强制分配给所有用户：

     SET PERSIST mandatory_roles = 'role1,role2@localhost';

   • 强制角色无需显式授予，无法撤销，且在用户登录时会被自动激活。

6. 撤销角色权限：

   • 使用 REVOKE 撤销分配给角色的权限，自动影响所有已获得该角色的用户权限。例如，撤销 app_write 角色的修改权限，使其变成只读角色：

     REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

4. Role 功能的实际应用

在数据库开发和运维场景中，角色通常用于不同职位或职责用户权限的快速配置。例如：

• 开发者角色：可以授予 SELECT、INSERT 等数据操作权限，但不允许 DROP 或 ALTER 等破坏性操作。
• 分析师角色：授予 SELECT 和数据导出权限，方便数据分析，但不允许修改数据。
• 管理员角色：授予所有权限，以便进行数据库配置、用户管理等操作。

5. Role 的权限继承和覆盖

当用户拥有多个角色时，其最终权限是所有角色权限的合集。此外，如果用户直接获得特定权限，它将与角色权限合并。因此，权限在角色间是叠加的，而直接分配的权限对角色权限有更高优先级。

6. 其他注意事项

• 权限变化即时生效：对于分配的角色，一旦更改权限，所有分配该角色的用户会立刻反映新权限。
• 兼容性：角色特性在 MySQL 8.0 及以上版本可用，对于低版本需要单独分配权限。

总结

MySQL 8.0 引入的 Role 功能显著提升了权限管理的灵活性和简易性。它不仅帮助简化了用户权限分配流程，也提升了数据库的安全性与可维护性。在团队协作或多人管理的数据库环境中，使用角色能大大降低权限管理的复杂度。

本文由mdnice多平台发布