MySQL8安全指南之账号控制与账户管理:使用角色

最新推荐文章于 2024-05-28 12:27:19 发布
最新推荐文章于 2024-05-28 12:27:19 发布
阅读量978 收藏
点赞数
分类专栏: mysql 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Suubyy/article/details/119238891
版权

文章目录

使用角色

MySQL 角色是一个命名的权限集合。与用户帐户一样,角色也可以被授予或撤消权限。

用户帐户可以被授予角色,角色将授予帐户与每个角色关联的权限。这允许将一组权限分配给帐户,并提供了授予单独权限的方便替代方案。

以下列表总结了 MySQL 提供的角色管理功能:

  • CREATE ROLE 和 DROP ROLE 创建和删除角色。

  • GRANTREVOKE 为账户和角色分配权限和撤销权限

  • SHOW GRANTS 显示用户帐户分配的角色以及角色的权限。

  • SET DEFAULT ROLE 默认情况下制定哪些账户角色是活跃的。

  • SET ROLE 更改当前会话中活跃的角色。

  • CURRENT_ROLE() 函数显示当前会话中的活跃角色。

  • 当用户登录到服务器时,mandatory_rolesactivate_all_roles_on_login 系统变量允许定义强制角色和自动激活授予的角色。

创建角色并为其授予权限

考虑这个场景:

  • 应用程序使用名为 app_db 的数据库。
  • 与应用程序相关联的帐户可以是创建和维护应用程序的开发人员的帐户,也可以是与应用程序交互的用户的帐户。
  • 开发人员需要完全访问数据库。有些用户只需要读权限,有些用户需要读/写权限。

若要避免单独向多个用户帐户授予权限,请创建角色作为所需权限集的名称。这使得通过授予适当的角色,可以很容易地向用户帐户授予所需的权限。

要创建角色,请使用 CREATE ROLE 语句:

CREATE ROLE 'app_developer', 'app_read', 'app_write';

角色名称与用户帐户名称非常相似,由'user_name'@'host_name'格式的用户部分和主机部分组成。主机部分,如果省略,默认为 '%'。用户和主机部分可以不加引号,除非它们包含特殊字符,例如 -%。与帐户名称不同,角色名称的用户部分不能为空。

要给角色分配权限,执行GRANT语句,语法与给用户帐户分配权限相同:

GRANT ALL ON app_db.* TO 'app_developer';
GRANT SELECT ON app_db.* TO 'app_read';
GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';

现在假设您需要一个开发者帐户、两个需要只读访问权限的用户帐户和一个需要读/写访问权限的用户帐户。使用 CREATE USER 创建账户:

CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';

为用户账户分配角色:

GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

rw_user1帐户的GRANT语句授予读写角色,这些角色组合起来提供所需的读写权限。

授予帐户角色的 GRANT 语法与授予权限的语法不同:分配权限有ON子句,分配角色没有ON语句。由于语法不同,您不能在同一语句中混合分配权限和角色。从 MySQL 8.0.16 开始,角色不能授予匿名用户。

角色在创建时被锁定,没有密码,并且被分配了默认的身份验证插件(具有全局CREATE USER权限的用户可以稍后使用ALTER USER语句更改这些角色属性)

锁定时,角色不能用于身份验证。如果未锁定,则可以使用角色进行认证。这是因为角色和用户都是授权标识符,它们有很多共同点,但几乎没有区别。

定义强制性角色

可以通过在mandatory_roles系统变量的值中命名角色,将它们指定为强制角色。服务器将强制角色视为授予所有用户的角色,因此不需要显式地授予任何帐户。

要在服务器启动时指定强制角色,请在服务器 my.cnf 文件中定义强制角色:

[mysqld]
mandatory_roles='role1,role2@localhost,r3@%.example.com'

在运行时设置和持久化mandatory_roles,,请使用以下语句:

SET PERSIST mandatory_roles = 'role1,role2@localhost,r3@%.example.com';

SET PERSIST为正在运行的MySQL实例设置值。它还保存该值,使其保留到后续服务器重新启动时。若要更改正在运行的MySQL实例的值,而不将其保留到后续重启中,请使用GLOBAL关键字而不是PERSIST

设置mandatory_roles需要ROLE_ADMIN权限,以及设置全局系统变量所需要的SYSTEM_VARIABLES_ADMIN权限。

强制角色与显式授予的角色一样,在激活之前不会生效。在登录时,如果activate_all_roles_on_login系统变量是启用的,则会对所有被授予的角色进行角色激活,或者对其他设置为默认角色的角色进行角色激活。在运行时,SET ROLE激活角色。

mandatory_roles命名的角色不能通过REVOKE撤销,也不能通过DROP ROLEDROP USER删除。

若要防止在默认情况下将会话设为系统会话,具有SYSTEM_USER权限的角色不能在mandatory_roles系统变量的值中列出:

  • 如果在启动时为mandatory_roles 分配了具有SYSTEM_USER 权限的角色,则服务器将一条消息写入错误日志并退出。

  • 如果在运行时为mandatory_roles 分配了具有SYSTEM_USER 权限的角色,则会发生错误并且mandatory_roles 值保持不变。

如果在mandatory_roles值中出现的角色名在mysql.user系统表中不存在,该角色不会授权给用户。当服务器尝试为用户激活角色时,它不会将不存在的角色视为强制性角色并将警告写入错误日志。如果该角色稍后创建并使其生效,则可能需要FLUSH PRIVILEGES才能使服务器将其视为强制角色。

检查角色权限

要验证分配给帐户的权限,请使用 SHOW GRANTS。例如:

mysql> SHOW GRANTS FOR 'dev1'@'localhost';
+-------------------------------------------------+
| Grants for dev1@localhost                       |
+-------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`        |
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |
+-------------------------------------------------+

但是,这仅仅显示了每个被授予的角色,而没有将其“扩展”为角色所代表的权限。要同时显示角色权限,请添加一个USING子句

mysql> SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';
+----------------------------------------------------------+
| Grants for dev1@localhost                                |
+----------------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`                 |
| GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |
| GRANT `app_developer`@`%` TO `dev1`@`localhost`          |
+----------------------------------------------------------+

类似地验证其他类型的用户:

mysql> SHOW GRANTS FOR 'read_user1'@'localhost' USING 'app_read';+--------------------------------------------------------+| Grants for read_user1@localhost                        |+--------------------------------------------------------+| GRANT USAGE ON *.* TO `read_user1`@`localhost`         || GRANT SELECT ON `app_db`.* TO `read_user1`@`localhost` || GRANT `app_read`@`%` TO `read_user1`@`localhost`       |+--------------------------------------------------------+mysql> SHOW GRANTS FOR 'rw_user1'@'localhost' USING 'app_read', 'app_write';+------------------------------------------------------------------------------+| Grants for rw_user1@localhost                                                |+------------------------------------------------------------------------------+| GRANT USAGE ON *.* TO `rw_user1`@`localhost`                                 || GRANT SELECT, INSERT, UPDATE, DELETE ON `app_db`.* TO `rw_user1`@`localhost` || GRANT `app_read`@`%`,`app_write`@`%` TO `rw_user1`@`localhost`               |+------------------------------------------------------------------------------+

激活角色

在帐户会话中,授予用户帐户的角色可以是活跃的,也可以是不活跃的。如果一个被授予的角色在一个会话中是活跃的,那么它的权限将被应用;否则,它们就不会被应用。要确定当前会话中哪些角色是活跃的,请使用CURRENT_ROLE()函数。

默认情况下,向帐户授予角色或在mandatory_roles 系统变量值中命名它不会自动导致该角色在帐户会话中变为活跃状态。例如,因为在前面的讨论中到目前为止还没有激活rw_user1角色,如果你以rw_user1的身份连接服务器并调用CURRENT_ROLE()函数,结果是NONE(没有激活的角色):

mysql> SELECT CURRENT_ROLE();+----------------+| CURRENT_ROLE() |+----------------+| NONE           |+----------------+

要指定每次用户连接到服务器并进行身份验证时应该激活哪些角色,请使用SET DEFAULT ROLE。要为之前创建的每个帐户设置默认角色,请使用以下语句:

SET DEFAULT ROLE ALL TO  'dev1'@'localhost',  'read_user1'@'localhost',  'read_user2'@'localhost',  'rw_user1'@'localhost';

现在,如果您以 rw_user1 身份连接,则 CURRENT_ROLE() 返回值为活跃的角色:

mysql> SELECT CURRENT_ROLE();+--------------------------------+| CURRENT_ROLE()                 |+--------------------------------+| `app_read`@`%`,`app_write`@`%` |+--------------------------------+

要在用户连接到服务器时自动激活所有明确授予和强制的角色,请启用 activate_all_roles_on_login 系统变量。默认情况下,禁用自动角色激活。

在会话中,用户可以执行 SET ROLE 来更改活跃的角色集。例如,对于 rw_user1

mysql> SET ROLE NONE; SELECT CURRENT_ROLE();+----------------+| CURRENT_ROLE() |+----------------+| NONE           |+----------------+mysql> SET ROLE ALL EXCEPT 'app_write'; SELECT CURRENT_ROLE();+----------------+| CURRENT_ROLE() |+----------------+| `app_read`@`%` |+----------------+mysql> SET ROLE DEFAULT; SELECT CURRENT_ROLE();+--------------------------------+| CURRENT_ROLE()                 |+--------------------------------+| `app_read`@`%`,`app_write`@`%` |+--------------------------------+

第一个SET ROLE语句禁用所有角色。第二种方法使rw_user1是只读的。第三个恢复默认角色。

撤销角色或角色权限

正如可以向帐户授予角色一样,它们也可以从帐户中撤销:

REVOKE role FROM user;

mandatory_roles 系统变量值中命名的角色不能被撤销。

还可以对角色应用REVOKE来修改授予它的权限。这不仅影响角色本身,还影响授予该角色的任何帐户。假设您想暂时将所有应用程序用户设为只读。为此,请使用REVOKEapp_write角色中撤消修改权限:

REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

删除角色

删除角色将会从授予该角色的每个帐户中撤销该角色。

mandatory_roles 系统变量值中命名的角色不能被删除。

666呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql中set role_MySQL8.0——role功能
weixin_35531726的博客
01-19 620
MySQL8.0新增了role功能:role可以看做一个权限的集合,这个集合有一个统一的名字role名。可以给多个账户统一的某个role的权限权限的修改直接通过修改role来实现,不需要每个账户一个一个的grant权限,方便运维和管理。role可以创建、删除、修改并作用到他管理账户上。(和Oracle数据库中的角色差不多)官方文档:https://dev.mysql.com/doc/refman...
MySQL 8新特性--角色
Expec-乐的博客
01-28 961
3.角色MySQL8.0开始支持角色,和Oracle中的角色一样,角色就是权限的集合。 MySQL中当前支持的关于角色的相关操作和变量: CREATE ROLE和DROP ROLE GRANT和REVOKE SHOW GRANTS SET DEFAULT FOLE SET ROLE CURRENT_ROLE() mandatory_roles和activate_all_roles_on_lo...
深入解析MySQL 8中的角色与用户管理
最新发布
todoitbo的博客
05-28 698
本文将深入探讨MySQL 8中的角色和用户管理功能。MySQL 8引入了角色(Role)的概念,使得权限管理变得更加灵活和高效。通过本文,读者将了解如何创建和管理用户,如何定义和分配角色,以及如何利用这些功能提升数据库的安全性和管理效率。具体示例将帮助读者在实际工作中应用这些知识。
MySQL8角色管理
识途老码
04-26 1249
MySQL8角色管理
mysql 角色权限设置 自动激活
Yu980808的博客
07-05 406
mysql 角色权限设置 自动激活
mysql创建角色并授权给用户
blood_Z的博客
03-30 4417
mysql创建角色并授权给用户
Windows下MySQL安装指南.zip_MYSQL
09-14
2. 使用MySQL Workbench连接到本地MySQL服务器,验证安装是否成功。在Workbench中,创建新的连接,输入主机名(localhost或127.0.0.1)、用户名(root)和密码。 3. 接下来,你可以通过Workbench或命令行工具创建...
以普通权限运行MySQL的操作说明
04-13
### 以普通权限运行MySQL的操作指南 在网络安全日益受到重视的今天,确保系统中的每一项服务都以最小必要的权限运行显得尤为重要。对于MySQL这样的数据库服务来说,若其以最高权限(system)运行,一旦出现安全漏洞...
WIN2000 Apache php mysql 安装及安全手册
10-01
3. 配置MySQL:更改默认的root账户密码,创建独立的用户账号进行数据库操作,启用二进制日志以跟踪数据库变动,同时限制只允许本地连接。 5. 使用工具:安装ZendOptimizer以优化PHP性能,使用MySQL-Front图形界面...
Mysql-三级测评指导书.doc
08-11
本文档旨在为 MySQL 数据库管理员提供一份详细的安全配置与评估指南,涵盖身份鉴别、访问控制、敏感信息资源保护等关键方面,以确保 MySQL 数据库的安全性和可靠性。 一、身份鉴别 1. 身份鉴别: MySQL 数据库管理...
## 忠义JSP交友 ###Description: jsp+mysql数据库编写的交友程序
09-21
项目中的`readme.md`文件可能是项目简介或者使用指南,提供了项目的基本信息和如何运行此交友程序的说明。`source.rar`文件则包含了源代码,解压后可以看到JSP页面、Java类文件以及可能的配置文件和数据库脚本。 ##...
MySQLMySQL权限管理
m0_60511809的博客
08-31 297
在上一篇文章中,我们了解了MySQL中用户与角色的基本管理,包括创建、删除、查看等操作。这篇文章我们来看下MySQL里对用户和角色的权限管理
mysql高级学习笔记(一)
qq_44733777的博客
01-25 1606
mysql高级学习笔记(一)
mysql怎么设置角色_MySQL用户管理角色授权设置
weixin_39917811的博客
02-02 964
前言开发过程中,经常会需要创建数据库,比较安全的做法是对每一个数据库使用自己的用户授权和密码,而不是root走天下。在开发过程中养成这样的好习惯,对于系统上生产环境部署也是大有裨益的。本文记录了开发过程中常用的创建数据库、创建用户、用户授权相关的SQL,方便自己平时使用时查阅,也希望给有需要的人提供参考。以创建数据库 lryx_nest为例,授权访问用户名为 lryx_user,授权访问密码为 m...
MySql(21)用户与权限管理
gtd54789的博客
10-15 1071
可以为角色添加或移除权限。用户可以被赋予角色,同事也被授予角色包含的权限。对角色进行操作需要较高的权限,并且像用户账户一样,角色可以拥有授予和撤销的权限。root用户是超级管理员,所拥有的权限,包括创建、删除、修改密码等所有权限。drop会将user的对应的权限也删除,但delete不会。如果密码使用的时间大于允许时间,服务器会自动设置为过期,不需要手动设置。MySQL数据库系统会根据这些权限表的内容为每个用户赋予相应的权限。恰当的权限设定,可以确保数据的安全性,这是至关重要的。
MySQLMySQL8用户与角色管理
OceanStar的博客
02-21 2692
已经知道 CREATE TABLE IF NOT EXISTS `arguse`.`userinfo` ( `uid` BIGINT(20) NOT NULL AUTO_INCREMENT, `uname` VARCHAR(45) NOT NULL, `ugrant` INT(11) NOT NULL, `ukind` ENUM('Y', 'N') NOT NULL DEFAULT...
MySQL的用户和角色基本使用
热门推荐
KeYY的博客
08-23 1万+
User Names and Passwords mysql账户存储在mysql数据库中的user表里,一个account是由用户名加上允许连接的host决定的,账户可以有密码,且mysql也支持其他的使用别的插件的认证方式。 1. 账户 mysql账户和系统账户的关系 两个账户没有必然相关性,因为mysql允许使用-u来指定具体的mysql账户来连接服务 mysql的用户账户允许...
MySQL8.0——role功能
weixin_33752045的博客
07-23 852
MySQL8.0新增了role功能: role可以看做一个权限的集合,这个集合有一个统一的名字role名。可以给多个账户统一的某个role的权限权限的修改直接通过修改role来实现,不需要每个账户一个一个的grant权限,方便运维和管理。role可以创建、删除、修改并作用到他管理账户上。(和Oracle数据库中的角色差不多)官方文档:https://dev.mysql....
mysql创建角色集_mysql8之新增角色
weixin_36409041的博客
02-02 1484
mysql8在之前的版本中并没有角色(role)的概念,在角色概念出现之前,mysql对用户授权是一个用户起码一条授权记录,假如有多个用户需要同样的权限,那只能增加多个授权记录,同理,如果需要对多个相同权限用户进行权限调整,只能逐个操作。现在则可以简化这一流程,只需调整角色权限即可,不再需要对每个用户做维护。图示变化: ​一、角色的日常使用1、创建角色,和创建用户一样,默认host后缀是%,可以看...
MySQL数据库操作指南:创建与管理
MySQL的权限管理允许添加、删除和修改用户账户。`GRANT`和`REVOKE`命令用于分配和撤销权限,而`CREATE USER`和`DROP USER`用于创建和删除用户。 以上就是MySQL的一些基础操作,涵盖了数据库管理的基本流程,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值