MySQL 用户账号管理(Accounts Management)

最新推荐文章于 2024-09-12 17:24:50 发布
最新推荐文章于 2024-09-12 17:24:50 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: MySQL 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frostlulu/article/details/132907997
版权

用户需要通过账号连接到MySQL Server,本文总结了MySQL账号的常用管理操作。

目录

一、用户账号简介

二、账号创建

三、账号权限管理

3.1 权限赋予与回收

3.1.1 库级赋权

3.1.2 表级赋权

3.1.3 列级赋权

3.1.4 存储过程和函数赋权

3.1.5 权限查询

3.1.6 权限回收

3.2 通过角色集中管理权限

四、账号密码管理

4.1 修改账号密码

4.2 强制用户修改密码

4.3 强制密码复杂度

4.3.1 安装控制插件

4.3.2 设置强度控制变量

4.3.3 强度控制测试

一、用户账号简介

MySQL的账号信息存储在mysql.user表中,该表中包含了账号名称,密码,权限等相关信息,可以通过desc mysql.user命令来查看表的结构:

desc mysql.user;

注意该表的主键是Host,User组成的复合主键,这也代表了MySQL账号的组成结构,MySQL的账号由User和Host两部分组成,其格式为'User'@'Host',其中Host部分限制了用户可以登录的地址。这也意味着用户名相同并不代表是同一账号,'abc'@'host1'和'abc'@'host2'是两个完全无关的账号。

在登录的时候,MySQL需要对我们的账号进行验证,这个验证的操作是由专门的认证插件来完成的。通过show plugins我们可以看到MySQL的认证插件(Type为Authentication):

show plugins;

同时在我们创建账号时,认证插件会采用哈希算法对密码进行加密,并存储到mysql.user的authentication_string字段(如果是旧的MySQL版本,这个字段也可能是password):

select user,host,plugin,authentication_string from mysql.user where user='root';

上面查询中,plugin字段代表该账号登录时使用的验证插件。

MySQL的3种认证插件简介如下:

  • mysql_native_password:MySQL 8.0以前的默认认证插件,使用默认的哈希算法。
  • sha256_password:使用sha-256哈希算法,比mysql_native_password安全性更高。
  • caching_sha2_password:MySQL 8.0开始的默认认证插件,sha256_password的升级版,客户端必须配置使用SSL加密连接。

注意:如果MySQL从低版本升级到8.0时,由于默认认证插件的变化,可能导致之前的应用无法连接到数据库,此时可以配置SSL连接,或者将账号的认证插件降级到mysql_native_password保持兼容。

二、账号创建

用create user语句创建新的账号,通过identified by子句设置密码:

create user 'vincent'@'localhost' identified by 'password';

上述语句创建了一个用户名为vincent的账号,并且限制只能从本地(localhost)登录。这里的主机名也可以用IP地址、网段、域名等替代:

create user 'vincent'@'192.168.3.8' identified by 'password';

create user 'vincent'@'192.168.1.%' identified by 'password';

create user 'vincent'@'%.example.com' identified by 'password';

虽然账号名都是vincent,但他们都是独立的账号,只能从限定的Host登录,其中%代表通配符,如果主机名用%代替,那么则代表该用户可以从任何地方登录。

如果在创建账号时忽略了Host部分,则MySQL默认该账号可以从任何地方登录(host被设置为%):

create user 'vincent' identified by 'password';

select user,host from mysql.user where user='vincent';

在创建账号时,账号的认证插件会使用系统的默认设置(由参数 default_authentication_plugin控制):

show variables like 'default_authentication_plugin';

你也可以在创建账号时使用with ‘plugin’子句显式指定认证插件:

create user 'vincent'@'192.168.3.8' identified with 'sha256_password' by 'password';

上面显示指定了sha256_password作为改账号的认证插件。

三、账号权限管理

当账号刚创建时,默认只有一个USAGE权限,即仅可以连接到服务器。你还需要为账号进行赋权才可以使用,赋权时要遵循最小适用原则,即仅对用户赋予满足其需求的最小权限。

MySQL的权限有很多,可以通过show privileges命令查看所有的权限,权限后面有相应的注释:

show privileges;

上述命令查看的是权限明细,你也可以用关键字all来替代所有权限,all的权限非常高,慎用。即使要使用,也应限制在一定的范围内。

3.1 权限赋予与回收

权限的赋予是通过grant语句完成的,语句格式为:grant '权限' on '对象' to '账号';

我们先建一个测试数据库和表:

create database mydb;

use mydb;

create table mytable(id int primary key, name varchar(32));

下面演示几种常用的赋权操作:

3.1.1 库级赋权

可以用db_name.*来对某数据库下所有对象统一赋权:

grant select on mydb.* to 'vincent'@'localhost';

mydb.* 代表了mydb数据下所有的对象,上面语句赋予了查询该数据库下所有对象的权限。

如果有多项权限需要赋予,可以用逗号分隔:

grant insert,delete,update on mydb.* to 'vincent'@'localhost';

上述语句赋予了mydb数据库下所有对象的增、删、改权限。

给用户赋予数据库下所有对象(mydb.*)上的所有权限(all):

grant all on mydb.* to 'vincent'@'localhost';

权限all代表了数据库mydb下的所有权限,使用时要小心。

如果在赋权的语句后面跟上with grant option,则该用户可以继续为其他用户赋权,可能导致权限泛滥,不推荐使用:

grant all on mydb.* to 'vincent'@'localhost' with grant option;

3.1.2 表级赋权

有些时候,我可能想限制用户只能查询特定的表,我们可以用db_name.table来将权限限制在表级别:

给用户'vincent'@'localhost'赋予数据库mydb下mytable表的读取权限:

grant select on mydb.mytable to 'vincent'@'localhost';

3.1.3 列级赋权

如果我想将用户的选项限定到列,可以在相应的权限后指定列名:

给用户'vincent'@'localhost'赋予数据库mydb下mytable表name列的查询和更新权限:

grant select(id,name), update(name) on mydb.mytable to 'vincent'@'localhost';

上述select(id,name), update(name),将查询权限限定在id,name列,将更新权限限定在name列。

3.1.4 存储过程和函数赋权

如果要赋予存储过程或函数的相关权限,只需要带上procedure或function关键字即可:

grant execute on procedure sys.execute_prepared_stmt to 'vincent'@'localhost';

grant execute on function sys.version_patch to 'vincent'@'localhost';

3.1.5 权限查询

赋权后,我们可以通过show grants for '账号',来查询某账号被赋予权限:

show grants for 'vincent'@'localhost';

如果仅执行show grants; 命令(没有for子句),那么就是查询自己的权限。

3.1.6 权限回收

权限回收是通过revoke语句完成的,格式和赋权相同,只是将grant关键字替换为revoke,to关键字替换为from。格式为:revoke '权限' on '对象' from '账号';

revoke execute on procedure sys.execute_prepared_stmt from 'vincent'@'localhost';

3.2 通过角色集中管理权限

上面的示例都是针对账号直接赋权,如果有很多用户有相似的权限,那么为每个用户独立赋权就很麻烦了,这种场景可以利用角色(role)来集中管理权限。

角色(role)是权限的集合,你可以将权限赋给角色,然后将角色赋给账号,这会方便权限的集中管理,如果涉及通用权限调整,只需要调整角色的权限即可,部分用户如果需要特别的权限,可以单独赋予。

下面创建2个角色,分别对应普通用户组和管理员组:

create role user_group, admin_group;

普通组只有mydb下查询权限,管理员组具有所有权限:

grant select on mydb.* to user_group;

grant all on mydb.* to admin_group;

最后只要将角色赋给相应的账号即可:

grant user_group to 'vincent'@'localhost';

四、账号密码管理

在建立账号时,我们会指定密码,有时候这可能是一个初始密码,需要用户自己去修改。

4.1 修改账号密码

修改自己的密码通过set password语句来修改自己的密码,语句格式为:set password='密码';

下面的语句将自己账号的密码修改为vincent:

set password='vincnet';

如果你有权限替别人修改密码,可以用set password for或者alter user语句来修改别人的密码:

set password for 'vincent'@'localhost'='password';

alter user 'vincent'@'localhost' identified by 'password';

上面两个语句的效果是相同的,任意选择一种即可。

4.2 强制用户修改密码

某些场景我们需要强制用户修改密码,只需要将用户密码的状态设置为"过期",当密码的状态为过期时,账号允许连接至数据库,但是在修改密码前不会允许其他操作,由此来强制用户修改密码。

将单一账号密码状态设置为过期:

alter user 'vincent'@'localhost' password expire;

如果需要将一批账号同时设置为过期,可以通过update语句将myql.user表的password_expired字段批量设置为'Y',效果是一样的:

update mysql.user set password_expired='Y' where user='vincent' and host='localhost';

flush privileges;

update之后记得flush privileges重载权限表,否则不会生效。如果用alter user则不需要。

'vincent'@'localhost'密码失效后,执行其他语句报错(提示修改密码),只有修改密码后,限制才解除:

show databases;

set password='password';

show databases;

4.3 强制密码复杂度

通常情况下,MySQL是不会要求密码强度的,用户可以任意输入简单密码。如果要限制密码满足一定的强度规则,我们可以利用MySQL自带的validate_password插件来控制。

4.3.1 安装控制插件

默认该插件是没有安装的,我们要先安装该插件:

install plugin validate_password soname 'validate_password.so';


插件的目录可以通过变量plugin_dir来查看,在操作系统的该目录下,我们可以搜到该插件:

select @@plugin_dir;

cd /usr/local/mysql/lib/plugin/

ll | grep validate_password

4.3.2 设置强度控制变量

插件安装好之后,我们就可以查看相关的控制变量了,通过修改变量的值,可以控制修改密码的强度要求:

show variables like 'validate_password%';

各个变量含义说明如下:

  • validate_password_check_user_name:检查密码是否和用户名相似,默认就是打开的。
  • validate_password_dictionary_file:密码字典值,用来排除部分密码。
  • validate_password_length: 密码的最小长度。
  • validate_password_mixed_case_count:密码字母大小写混合数量,默认1代表至少1个大小字母和1个小写字母。
  • validate_password_mixed_number_count:密码必须包含的数字数量,默认1代表至少1个数字。
  • validate_password_special_char_count:密码至少包含的特殊字符数量,默认1代表至少1个特殊字符。
  • validate_password_policy:强度检测等级,有low, medium, strong共3个等级,默认为medium。

值为low时,仅检测一项密码长度。

值为medium时,检查密码长度,混合大小写,数字数量和特殊字符4项。

值为strong时,还会额外增加限制,密码不能与字典值文件(validate_password_dictionary_file)中密码相同,用来排除设置某些密码。

我们可以根据自己的需要修改这些,变量的值:

set global validate_password_length=10;

set global validate_password_mixed_case_count=2;

set global validate_password_number_count=2;

这里我修改了密码最小长度为10,必须有2个大小写混合,2个数字。

为了防止重启后丢失,推荐将其放到配置文件[mysqld]模块中:

[mysqld]
plugin-load-add=validate_password.so
validate_password_length=10
validate_password_mixed_case_count=2
validate_password_number_count=2
validate_password_special_char_count=1

4.3.3 强度控制测试

完成上面的配置后,密码强度控制就已经生效了。这些规则只会影响未来修改密码或者新建用户的操作,并不影响已有账户。

给vincent账号改一个简单的密码,提示密码不满足当前策略:

set password for 'vincent'@'localhost'='weakpassword';

可以通过函数validate_password_strength来评估密码的强度(0最弱,100最强):

select validate_password_strength('abc');

select validate_password_strength('Asda@#9asC7U');

只能设置满足强度的密码:

set password for 'vincent'@'localhost'='12aaAA@890';

密码'12aaAA@890',长度10位,包含5个数字,2个小写字母,2个小写字母,一个特殊字符,满足强度要求,修改成功。

V1ncent Chen
关注
专栏目录
MySQL·账号管理
ghvfghnnnh的博客
06-29 265
一、什么是MySQL数据库? 概念:MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的RDBMS应用软件之一;1、Mysql连接工具 因为几乎所有的数据库都是没有界面的,如果没有连接工具我们一般都是通过DOS命令来使用,但是这个通过命令行的方式不太方便,意味着我们要记下很多命令符; 例:Oracle可以直接搜索数据库,因为它只有一个数据库,分的是表空间,因此可以直接使用
MySQL账号管理
qq_62331938的博客
07-01 283
目录一、SQL简述1.SQL的概述2.SQL的优点 二、数据库的三大范式 三、 账号管理 四、SQL基础语句 五、案例 四、SQL基础语句 建表 表的修改 表删除 表复制 五、案例 1、一月每笔消费满20元的总消费数 2、一月只点了麻辣烫和汉堡的人...
MySql账号管理
qq_57391513的博客
05-20 882
mysql MySQL是什么 MySQL 是最流行的数据库之一,是一个免费开源的关系型数据库管理系统,但也不意味着该数据库是完全免费的。MySQL 由瑞典 MySQL AB 公司开发,目前属于 Oracle 公司。MySQL 适合中小型软件,被个人用户以及中小企业青睐。 sql server oracle mysql 都是关系型数据管理系统 MySQL的优势 MySQL 数据库管理系统具有很多的优势,下面总结了其中几种。 MySQL 是开放源代码的数据库 MySQL 是开放源代码的数据库,任
MySQL——数据库的高级操作(二)用户管理(1)uer表
最新发布
PAP
09-12 1317
MySQL——数据库的高级操作(二)用户管理(1)uer表
MySQL 账号管理
MakChiKin
05-27 368
1.使用root登录 mysql -uroot -p # 回车后输入密码 2. 创建账户并授予所有权限 grant select on *.* to 'mak'@'localhost' identified by '12345678' 3.更改root密码 update user set authentication_string=password('12345678') wher...
mysql 账户管理_MySQL用户账户管理
weixin_42202078的博客
01-27 122
1、开启MySQL远程连接1、sudo -i2、cd /etc/mysql/mysql.conf.d/3、vim mysqld.cnf#bind-address = 127.0.0.1把前面#去掉,保存退出。4、/etc/init.d/mysql restart2、添加授权用户1、用root用户登录mysqlmysql -u用户名 -p密码2、授权grant 权限列表 on 库.表 to "用户名...
MySQL用户密码过期功能详解
jhfyuf的博客
02-18 576
MySQL用户密码过期功能详解
详解MySQL用户密码过期功能
xianda 的专栏
05-25 2120
MySQL版本5.6.6版本起,添加了password_expired功能,它允许设置用户的过期时间。 这个特性已经添加到mysql.user数据表,但是它的默认值是”N”。可以使用ALTER USER语句来修改这个值。 下面是关于如何设置MySQL用户账号的到期日期一个简单例子:mysql> ALTER USER 'testuser'@'localhost' PASSWORD EXPIRE;
mysql高级知识点
samsung_samsung的专栏
12-26 981
外键约束用于在一个表中创建对另一个表中数据的引用,从而确保关联表中的数据与主表中的数据保持一致。外键约束可以限制插入、更新和删除操作,防止关联表中出现无效的引用或不一致的数据。外键约束可以在创建表时定义,也可以在已有的表上添加或删除。创建表时定义外键约束的示例: 下面是一个在创建表时定义外键约束的示例,假设我们有两个表orders和customers,其中orders表中有一个字段,用于关联customers表中的id字段。在上面的示例中,我们在创建orders表时定义了一个外键约束,将。
MySQL数据库管理与SQL语句基础
MySQL是最流行的关系型数据库管理系统之一,在Web应用方面,MySQL是最好的RDBMS(Relational Database Management System,关系数据库管理系统)应用软件。 ## 1.1 MySQL的历史与发展 MySQL的开发始于1994年,最初是...
【ubuntu22.04~mysql-MHA-mycat】
qq_44637753的博客
06-06 900
#三台服务器之间相互免密。
Mysql-账户管理
weixin_43210603的博客
12-23 1310
授予权限 需要使用实例级账户登录后操作,以root为例 主要操作包括: 查看所有用户 修改密码 删除用户 1. 查看所有用户 所有用户及权限信息存储在mysql数据库的user表中 查看user表的结构 desc user; 主要字段说明: Host表示允许访问的主机 User表示用户名 authentication_string表示密码,为加密后的值 查看所有用...
MySQL(18)账户管理
redrose2100的博客
06-20 580
1、Mysql账户体系 服务实例级账号 启动一个mysqld,即为一个数据库实例,如果用户如root,拥有服务实例级奉陪的权限,name该账号就可以删除所有的数据库,连同数据库中的数据表 数据库级别账号 对特定数据库执行增删改查的所有操作 数据表级别账号 对特定表执行增删改查等所有操作 字段级别账号 对某一些表的特定字段进行操作 存储程序级别账号 对存储程序进行增删改查的操作 2、账户的操作 账户简介 用户信息都存放在mysql数据库中的user数据表中,通过如下命令可以查看当前的所有用户,其中Ho
MySQL账号管理
weixin_58670730的博客
09-03 218
1.数据库 概念:长期存放在计算机内,有组织,可共享的大量数据的集合,是一个数据"仓库" 作用:保存,并能安全管理数据(如:增删改查等),减少冗余...2.数据库总览: 关系型数据库 MySQL,Oracle,SQLServer, 关系型数据库通过外键关联来建立表与表之间的关系 非关系型数据库 Redis,MongoDB,... 非关系型数据库通常指数据以对象的形式存储在数据库中,而对象之间的关系通过每个对象自身的属性来决定4.MySQL中自带的比较重要的四张表 ...
MySQL 账户管理
weixin_30900589的博客
07-25 60
一、当前日期、当前用户、当前数据库版本 mysql> select curdate(),version(),database(),user(); +------------+------------+------------+----------------+ | curdate() | version() | database() | user() | +-...
MySQL用户账号
jeffery_love的博客
06-09 199
登录系统: #默认空密码登录 mysql –uroot –p(可以跟密码) 运行mysql命令: mysql>use mysql mysql>select user(); #查看当前用户 mysql>SELECT User,Host,Password FROM user; 范例: mysql的配置文件,修改提示符: #查看mysql版本 [root@centos8 ~]#mysql -V mysql Ver 15.1 Distrib 10.3.11-
mysql 账户管理_MySQL账户管理
weixin_39616090的博客
01-20 119
登陆/退出MySQL服务器登陆MySQL服务器时,可以使用MySQL命令并在后面指定登陆主机以及用户名和密码。MySQL命令的常用参数如下:-h主机名,该参数指定主机名或ip,如果不指定,默认是localhost。-u用户名,该参数指定用户名。-p密码,该参数指定登陆密码。如果该参数后面有字段,则该字段将作为密码直接去登陆。如果后面没有内容,则登陆的时候会提示输入密码。注意:该参数后面的字符串和-...
MySQL数据库用户管理
weixin_59629968的博客
10-20 473
mysql用户管理可以对用户权限进行设置远程登陆以及修改密码
mysql creating user accounts
03-16
MySQL创建用户账户 MySQL是一种流行的关系型数据库管理系统,它允许用户创建和管理数据库。...总之,MySQL创建用户账户是管理数据库的重要步骤之一。通过创建账户并授予适当的权限,可以确保数据库的安全性和完整性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值