chapter12_安全性

• 添加新用户

    CREATE USER 'bochen'@'localhost' IDENTIFIED BY '123456';
  

• 删除用户

    DROP USER 'bochen'@'localhost';
  

• 设置用户的权限GRANT

  (1) 简单的GRANT语句

    GRANT SELECT ON clown_info TO bochen;
  

  给bochen用户授予在clown_info表上的SELECT权限

  (2) 可以用同一个GRANT语句为多个用户设定权限

    GRANT DELETE ON chores TO bochen, kunwang;
  

  (3) 可以为同一个用户设定多个权限

    GRANT SELECT, INSERT, UPDATE ON chores TO bochen;
  

  (4) 授予权限的既可以是表Table，也可以是视图View

    GRANT SELECT ON chores_view TO bochen;
  

  其中，chores_view是一个视图

  (5) GRANT ALL 可以把SELECT, INSERT, UPDATE, DELETE权限一并授予

    GRANT ALL ON chores_view TO bochen;
  

  (6) GRANT ALL PRIVILEGES 表示可以授予子用户所有当前用户的权限

    GRANT ALL PRIVILEGES ON chores_view TO bochen;
  

  (7) 使用 database_name.table_name可以指定授予权限的某个具体数据库的某个表，且可以使用通配符*

    GRANT ALL PRIVILEGES ON *.* TO bochen;
  

  代表把所有数据库的所有表的所有权限都授予给bochen

  (8) WITH GRANT OPTION 代表可以让用户将获得的权限授予其他用户

    GRANT ALL PRIVILEGES ON chores_view TO bochen WITH GRANT OPTION;
  

  代表 bochen可以把他拥有的权限授予给其他用户

• 撤销权限

  (1) 操作几乎与授予权限相同，只是把 GRANT 替换为 REVOKE，TO 替换为 FROM

    REVOKE UPDATE ON clown_info FROM bochen;
  

  撤销bochen用户对clown_info表的UPDATE权限（他可能还保留着SELECT权限没撤回）

  (2) 撤销 WITH GRANT OPTION

    REVOKE GRANT OPTION ON DELETE ON clown_info FROM bochen;
  

  撤销bochen用户继续授予其他用户DELETE权限的权力

  (3) 在最后添加 CASCADE 代表连锁反应，撤销该用户及其授予出去的其他用户的权限；

  在最后添加 RESTRICT 代表只影响当前用户，如果当前用户已经把权限授予出去会报错

• 当用户数量不多时，可以为每个用户设定它们的权限；当用户数量多时，通过设置角色的方式统一授予权限

• 角色

  (1) 创建角色

    CREATE ROLE role_user;
  

  (2) 对角色授予权限时，直接把它当成一个用户即可

    GRANT ALL PRIVILEGES ON *.* TO role_user;
  

  (3) 把角色赋予给用户:用角色名称替换表名与权限

    GRANT role_user TO bochen
  

  (4) 卸除角色

    DROP ROLE role_user;
  

  (5) WITH ADMIN OPTION: 允许用户将自己的角色授予其他用户

    GRANT role_user TO bochen WITH ADMIN OPTION;
  

  (6) 撤销角色的操作与授予类似, CASCADE和RESTRICT的用法和授予权限时相同

    REVOKE role_user FROM bochen (CASCADE/RESTRICT);
  

  (7) 一个用户可以被授予多个角色，但是要注意这些权限不能冲突