添加帐户、分配权限、删除帐户
要管理 MySQL 帐户,请使用用于该目的的 SQL 语句:
-
CREATE USER
和DROP USER
创建和删除帐户。 -
GRANT
和REVOKE
为帐户分配权限和撤销权限。 -
SHOW GRANTS
显示帐户权限分配。
创建帐户的另一个选择是使用GUI
工具MySQL Workbench。此外,还有一些第三方程序提供MySQL帐户管理功能。phpMyAdmin
就是这样一个程序。
创建帐户和授予权限
以下示例显示如何使用 mysql
客户端程序设置新帐户。这些示例假设MySQLroot
帐户拥有CREATE USER
权限以及它授予其他帐户的所有权限。
在命令行中,以 MySQL root
用户身份连接到服务器,在密码提示下输入正确密码:
shell> mysql -u root -p
Enter password: (enter root password here)
连接成功以后可以新增一个账户。
以下示例使用 CREATE USER 和 GRANT 语句来设置四个帐户(在您看到“password
”的地方,替换一个适当的密码):
CREATE USER 'finley'@'localhost'
IDENTIFIED BY 'password';
GRANT ALL
ON *.*
TO 'finley'@'localhost'
WITH GRANT OPTION;
CREATE USER 'finley'@'%.example.com'
IDENTIFIED BY 'password';
GRANT ALL
ON *.*
TO 'finley'@'%.example.com'
WITH GRANT OPTION;
CREATE USER 'admin'@'localhost'
IDENTIFIED BY 'password';
GRANT RELOAD,PROCESS
ON *.*
TO 'admin'@'localhost';
CREATE USER 'dummy'@'localhost';
由这些语句创建的帐户具有以下属性:
-
两个账户的用户名都是
finley
。两个账户都是具有全局权限的超级用户。 只有当本地主机连接的时候'finley'@'localhost'
账户才会被使用。'finley'@'%.example.com'
账户的主机部分使用了'%'
通配符,因此它可用于从example.com
域中的任何主机进行连接。如果
localhost
有一个匿名用户帐户,那么'finley'@'localhost'
帐户是必要的。如果没有'finley'@'localhost'
帐户,那么当finley
从本地主机连接并且finley
被视为匿名用户时,匿名用户帐户将优先使用。这样做的原因是,匿名用户帐户的Host
列值比'finley'@'%'
帐户更具体,因此在用户表排序顺序中出现得更早。 -
只用在本地通过
admin
连接的时候,'admin'@'localhost'
账户才会被使用。它被授予全局RELOAD
和PROCESS
管理权限。这些权限使admin
用户能够执行mysqladmin reload、mysqladmin refresh
和mysqladmin flush-xxx
命令,以及mysqladmin processlist
。没有授予访问任何数据库的权限。您可以使用GRANT
语句添加此类权限。 -
'dummy'@'localhost'
帐户没有密码(不安全,不建议使用)。该帐户只能用于从本地主机连接。不授予任何特权。
前面的示例在全局级别授予特权。下一个示例创建三个帐户,并授予它们较低级别的访问权限;也就是说,指向特定的数据库或数据库中的对象。每个帐户都有一个custom
用户名,但主机名部分不同:
CREATE USER 'custom'@'localhost'
IDENTIFIED BY 'password';
GRANT ALL
ON bankaccount.*
TO 'custom'@'localhost';
CREATE USER 'custom'@'host47.example.com'
IDENTIFIED BY 'password';
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
ON expenses.*
TO 'custom'@'host47.example.com';
CREATE USER 'custom'@'%.example.com'
IDENTIFIED BY 'password';
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
ON customer.addresses
TO 'custom'@'%.example.com';
这三个账户可以如下使用:
'custom'@'localhost'
帐户拥有访问bankaccount
数据库的所有数据库级权限。该帐户只能用于从本地主机连接到服务器。'custom'@'host47.example.com'
帐户具有访问expenses
数据库的特定数据库级权限。该帐户只能用于从主机host47.example.com
连接到服务器。'custom'@'%.example.com'
帐户具有特定的表级权限,可以从example.com
域中的任何主机访问customer
数据库中的addresses
表。
检查帐户权限和属性
要查看帐户的权限,请使用 SHOW GRANTS
:
mysql> SHOW GRANTS FOR 'admin'@'localhost';
+-----------------------------------------------------+
| Grants for admin@localhost |
+-----------------------------------------------------+
| GRANT RELOAD, PROCESS ON *.* TO 'admin'@'localhost' |
+-----------------------------------------------------+
要查看帐户的非权限属性,请使用 SHOW CREATE USER
:
mysql> SET print_identified_with_as_hex = ON;
mysql> SHOW CREATE USER 'admin'@'localhost'\G
*************************** 1. row ***************************
CREATE USER for admin@localhost: CREATE USER 'admin'@'localhost'
IDENTIFIED WITH 'caching_sha2_password'
AS 0x24412430303524301D0E17054E2241362B1419313C3E44326F294133734B30792F436E77764270373039612E32445250786D43594F45354532324B6169794F47457852796E32
REQUIRE NONE PASSWORD EXPIRE DEFAULT ACCOUNT UNLOCK
PASSWORD HISTORY DEFAULT
PASSWORD REUSE INTERVAL DEFAULT
PASSWORD REQUIRE CURRENT DEFAULT
启用print_identified_with_as_hex
系统变量(从MySQL 8.0.17开始提供)会导致SHOW CREATE USER
将包含不可打印字符的哈希值显示为十六进制字符串,而不是常规字符串文本。
撤销账户权限
要撤销帐户权限,请使用 REVOKE
语句。可以在不同级别撤销权限,就像可以在不同级别授予权限一样。
撤销全局权限:
REVOKE ALL
ON *.*
FROM 'finley'@'%.example.com';
REVOKE RELOAD
ON *.*
FROM 'admin'@'localhost';
撤销数据库级权限:
REVOKE INSERT,UPDATE,DELETE
ON customer.addresses
FROM 'custom'@'%.example.com';
撤销表级权限:
REVOKE INSERT,UPDATE,DELETE
ON customer.addresses
FROM 'custom'@'%.example.com';
要检查权限撤销的效果,请使用 SHOW GRANTS
:
mysql> SHOW GRANTS FOR 'admin'@'localhost';+---------------------------------------------+| Grants for admin@localhost |+---------------------------------------------+| GRANT PROCESS ON *.* TO 'admin'@'localhost' |+---------------------------------------------+
删除帐户
要删除帐户,请使用 DROP USER
语句。例如,删除之前创建的一些帐户:
DROP USER 'finley'@'localhost';DROP USER 'finley'@'%.example.com';DROP USER 'admin'@'localhost';DROP USER 'dummy'@'localhost';