mysql之权限验证

最新推荐文章于 2021-10-13 16:24:13 发布
最新推荐文章于 2021-10-13 16:24:13 发布
阅读量148 收藏
点赞数
文章标签: 数据库

帐户权限信息存放在mysql数据库中的user/db/host/tables_priv/columns_priv/procs_priv表中,在服务器启动时将其读入内存以供使用;

oracle不同,mysql的帐户由用户名和主机名两部分组成,如不显示指定主机名则等同于’username’@’%’

一个数据库会话从发起连接到执行sql,经历两个阶段的权限验证:数据库连接验证和sql请求验证

数据库连接验证

一个数据库连接由user表里的Host/user/password三个列进行验证,但user/password列都可能为空;

Mysql在服务器启动时将user表记录排序读入内存,当user表里有多条记录都匹配数据库连接时,则选择第一条;

排序规则:先排序host列,空值排在最后,%次之;然后是user列,空值排在最后

1

--user表原始记录

+-----------+----------+-

| Host      | User     | ...

+-----------+----------+-

| %         | root     | ...

| %         | jeffrey  | ...

| localhost | root     | ...

| localhost |          | ...

+-----------+----------+-

读入内存排序后的记录

+-----------+----------+-

| Host      | User     | ...

+-----------+----------+-

| localhost | root     | ...

| localhost |          | ...

| %         | jeffrey  | ...

| %         | root     | ...

+-----------+----------+-

这种规则可能会产生问题,即使客户端连接时显示指定了user名,也有可能最终以其他用户登陆进入mysql

2

假定mysql服务器的localhostthomas.loc.gov,从localhostjeffrey为用户名尝试连接mysql

--user表记录

+----------------+----------+-

| Host           | User     | ...

+----------------+----------+-

| %              | jeffrey  | ...

| thomas.loc.gov |          | ...

+----------------+----------+-

--内存排序后

+----------------+----------+-

| Host           | User     | ...

+----------------+----------+-

| thomas.loc.gov |          | ...

| %              | jeffrey  | ...

+----------------+----------+-

则该连接会以anonymous匿名用户登录进入mysql

mysql> SELECT CURRENT_USER();

+----------------+

| CURRENT_USER() |

+----------------+

| @localhost     |

+----------------+

 

Sql请求验证

连接进入mysql服务器后,执行的每个sql都需要经过权限检查,相关表为user/db/host/tables_priv/columns_priv/procs_priv

user表是全局性的,比如user表赋给一个用户delete权限,则该用户可以删除任何表的记录;所以最好只赋给管理员用户;

db/host则是数据库级别的,两表的host/db列均可使用通配符;对于db表,其host列若为%则表示所有主机,为空则需联系host表进一步查看;对于host表,%或空值代表所有主机;对两表而言,db列为%或空值代表所有数据库;

db/host表同user表一起在服务器启动时读入内存并排序,db表基于host/db/user列,而host表则基于host/db列;当有多行匹配时以第一行为准;

另外三个表从其名称即可看出其适用范围,只有host列可以使用通配符%_

每当服务器接受到请求时,便查询这7个表以验证其权限;

当收到管理员命令诸如shutdown/reload时,只查询user表;

当收到数据库相关请求insert/update时,首先检查user表,没有相应global权限时再去检查db/host表;检查db表的host/user/db列,如无返回行则请求被拒绝,若返回行的host列为空,则需进一步查找host表验证,若host表有返回行则交集匹配,即两个表的权限列都须为Y(此功能允许将数据库操作权限只赋给特定host发起的用户连接)

用户权限计算规则类似下面的表达式

global privileges

OR (database privileges AND host privileges)

OR table privileges

OR column privileges

OR routine privileges

 

注:

Grant/revoke操作不会对host表产生影响,但可以用来维护特定的安全server列表,反之亦然;

比如,假定公共网络的public.your.domain不完全,可通过如下设置来自禁止该域名的机器访问

+--------------------+----+-

| Host               | Db | ...

+--------------------+----+-

| public.your.domain | %  | ... (all privileges set to 'N')

| %.your.domain      | %  | ... (all privileges set to 'Y')

+--------------------+----+-

                                                                                                 

如何使修改的权限生效

如果通过调用grant/revoke/set password/rename user等命令修改权限,则服务器会立即刷新并将grant表重新载入内存;

若通过insert/update/delete直接修改grant表,则需要手工重载这些表(flush privileges/mysqladmin flush-privileges/mysqladmin reload),否则只有在服务器重启后才能生效;

修改权限并重载grant表,会对现有的连接产生如下影响:

/列权限改动会在客户端下一次请求时生效;数据库权限改动在客户端下次执行use db_name时生效;global权限和密码只对新发起的连接生效;

当服务器使用—skip-grant-tables启动时,则不会读取grant表,任何用户都可以登录并进行任何操作

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/15480802/viewspace-751456/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/15480802/viewspace-751456/

congdiku5262
关注
mysql数据库基础与权限认证
weixin_38777734的博客
07-23 425
关系型数据库:是一种建立在关系模型(数学模型)上的数据库 关系模型:一种所谓建立在关系上的模型. 数据结构:数据存储的问题,二维表(有行和列) 操作指令集合:所有sql语句 完整性约束:表内数据约束(字段与字段),表与表之间约束(外键) 2.关系型数据库的设计 关系型数据库:从需要存储的数据需求中分析,如果是一类数据(实体)应该设计成一张二维表:表与表头(字段名:用来规定 数据的名字)和数据部分组...
MySQL玩转指南:探秘Server层组件及权限校验实践
最新发布
weixin_64403990的博客
07-20 185
本文将带你揭开MySQL Server层的神秘面纱,逐一剖析连接器、查询缓存、分析器、优化器、执行器等关键组件的功能和作用。同时,还将重点介绍这些组件在权限校验方面的精彩表现。
检查mysql权限_mysql权限验证
weixin_42465140的博客
01-19 923
帐户权限信息存放在mysql数据库中的user/db/host/tables_priv/columns_priv/procs_priv表中,在服务器启动时将其读入内存以供使用;与oracle不同,mysql的帐户由用户名和主机名两部分组成,如不显示指定主机名则等同于’username’@’%’;一个数据库会话从发起连接到执行sql,经历两个阶段的权限验证数据库连接验证和sql请求验证数据库连接验...
MySQL连接器原理_mysql | 连接器
weixin_36391973的博客
01-19 1448
mysql 的连接器是msyql server层的第一个模块。当我们用mysql 客户端来连接mysql服务器的时候,处理这个连接请求的就是连接器模块。mysql客户端和服务器端的连接使用的是TCP协议,在完成TCP握手之后,连接器开始进行身份认证。如果用户名或密码不对,那么连接器会抛出一个 "Access denied for user"的错误,客户端结束执行。如果用户名密码认证通过,那么连接器...
使用数据库进行用户身份认证
qq_44212985的博客
04-28 2183
//使用数据库进行用户身份认证 //1、加载驱动程序 Class.forName(“com.mysql.jdbc.Driver”); System.out.println(“已经加载了数据库驱动!”); //2、连接数据库 String url=“jdbc:mysql://127.0.0.1:3306/yychat”; //中文用户名必须用下面的url(如果用中文用户名String url=“jd...
mysql验证_MySQL验证用户权限的方法
weixin_35733790的博客
02-08 586
知识归纳因为MySQL是使用User和Host两个字段来确定用户身份的,这样就带来一个问题,就是一个客户端到底属于哪个host。如果一个客户端同时匹配几个Host,对用户的确定将按照下面的优先级来排基本观点越精确的匹配越优先Host列上,越是确定的Host越优先,[localhost, 192.168.1.1, wiki.yfang.cn] 优先于[192.168.%, %.yfang.cn],优...
MySQL权限
辛明辉的专栏
07-21 212
创建用户 CREATE USER 'ua'@'%' IDENTIFIED BY 'pa'; 用户名+地址才表示一个用户,ua@ip1和ua@ip2代表的是两个不同的用户 在磁盘上,往mysql.user表里插入一行,由于没有指定权限,所有表示权限的字段都是N 在内存里,往数组acl_users里插入一个acl_user对象,该对象的access字段的值为0 mysql> SELECT * FROM mysql.user WHERE user = 'ua'\G; ******************
MySQL验证用户权限的方法
09-10
在了解MySQL验证用户权限的方法之前,首先需要了解MySQL是如何确定用户身份的。MySQL通过两个字段——User和Host来确定用户的登录身份。在配置MySQL用户权限时,会根据Host和User字段的匹配程度来赋予用户不同的权限...
MySQL权限管理
12-14
本文将深入探讨MySQL权限管理的各个方面,包括其意义、验证过程以及如何进行权限分配和管理。 首先,数据库权限的意义在于保护业务数据的安全。通过用户身份鉴别、存取权限控制和管理制度,可以有效地防止未授权的...
MySQL查询用户权限的方法总结
09-08
MySQL数据库系统是当前应用非常广泛的关系型数据库管理系统之一,其安全性与权限管理一直备受关注。用户权限的管理是保证数据库安全的重要环节,因此,了解如何查询用户权限成为了数据库管理员(DBA)的一个必备技能...
基于sql标准权限验证 修改添加自己的权限验证
wangwenting2016的博客
12-24 2711
由于sql 的权限认证可能不能满足自己的需求,修改来满足自己需求 添加自己的FACTORY package com.bfd.dw.plugin.hive.security; import org.apache.hadoop.hive.conf.HiveConf; import org.apache.hadoop.hive.ql.security.HiveAuthenticationP
MYSQL数据库管理之权限管理
weixin_33805557的博客
06-23 480
经常遇到有网友在QQ群或者论坛上问关于mysql权限的问题,今天抽空总结一下关于这几年使用MYSQL的时候关于MYSQL数据库权限管理的经验,也希望能对使用mysql的网友有所帮助! 一、MYSQL权限简介 关于mysql权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作,那么你就不能执行update操作。只允许你从某台...
数据权限技术验证
coolmsn8786的博客
08-28 573
数据权限技术验证. 数据权限本质就是根据用户的信息,固定的拼接一些SQL 基于阿里开源的Druid的SQL Parse模块 ,做了一些动态拼接SQL的技术验证. ...
MySQL 基础模块的面试题总结
凯凯的博客
09-26 1049
说一下 MySQL 执行一条查询语句的内部执行过程? 客户端先通过连接器连接到 MySQL 服务器。 连接器权限验证通过之后,先查询是否有查询缓存,如果有缓存(之前执行过此语句)则直接返回缓存数据,如果没有缓存则进入分析器。 分析器会对查询语句进行语法分析和词法分析,判断 SQL 语法是否正确,如果查询语法错误会直接返回给客户端错误信息,如果语法正确则进入优化器。 优化器是对查询语句进行优化处理...
MySQL权限连接
eagle89的专栏
10-13 1758
MySQL权限连接 一、 MySQL的连接登录 1. Linux下MySQL登录方式 2. 免密码登录 二、权限管理 1.USER + IP的概念 2. 用户权限管理 3. 基本操作 4. 撤销权限 三、授权实战 1.常规授权 2.授权表和列的访问方式 四、MySQL模拟角色 五、SSL连接 1. 开启SSL (5.7.18) 2. 开启证书认证(5.7.18) ​ 一、 MySQL的连接登录 1. Linux下MySQL登录方式 方式一 Unix Socket mysql -p 该方法默...
shiro框架---通过系统介绍shiro框架中的实现逻辑
凌大大的博客
02-13 7267
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(一) 本篇主要通过一个已经实现用户登录和权限验证的系统,结合sql,展示一下我的实现。 首先我设置的权限,即功能表,其中func_type 字段分为四类(系统、模块、菜单、操作)。 一、系统的展示   下边对于同一个系统内,一个用户,我在不同授权下的展示情况:   不好意思,公司系统,我还是不要全贴出来了。...
sql 语句设置sql sever权限验证
weixin_33850015的博客
08-10 923
sql sever对用户访问数据中的表有三层验证,登录sql sever有登录账户,要通过验证才能够登录sql sever,再次就是要通过数据库用户的验证,最后sql sever还要通过表单权限的的验证,所以对sql的权限管理就尤其重要了。 下面,我们新建sql登录账户: ...
权限验证的方法(补充中)
qq_42112979的博客
10-11 824
最近写个自己的网站玩可能会用到权限验证,先在网上找点方法。 文章目录前言一、方法一二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、方法一 用二进制验证 可以推荐你使用 按位与 一般符号是 & 来进行操作。 具体举例:操作1=1,操作2=2,操作3=4,操作4=8,操作5=16 为什
MySQL权限验证与管理深度解析:实例操作与权限列表
MySQL用户权限验证与管理是数据库安全管理的核心组成部分,它确保只有授权的用户能够访问和操作特定的数据。在MySQL中,权限验证分为两个阶段进行: 1. **服务器级权限检查**:首先,当用户尝试连接到MySQL服务器时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值