MySQL 用户账号管理(Accounts Management)

最新推荐文章于 2024-04-22 20:02:08 发布
最新推荐文章于 2024-04-22 20:02:08 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: MySQL 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frostlulu/article/details/132907997
版权

用户需要通过账号连接到MySQL Server,本文总结了MySQL账号的常用管理操作。

目录

一、用户账号简介

二、账号创建

三、账号权限管理

3.1 权限赋予与回收

3.1.1 库级赋权

3.1.2 表级赋权

3.1.3 列级赋权

3.1.4 存储过程和函数赋权

3.1.5 权限查询

3.1.6 权限回收

3.2 通过角色集中管理权限

四、账号密码管理

4.1 修改账号密码

4.2 强制用户修改密码

4.3 强制密码复杂度

4.3.1 安装控制插件

4.3.2 设置强度控制变量

4.3.3 强度控制测试

一、用户账号简介

MySQL的账号信息存储在mysql.user表中,该表中包含了账号名称,密码,权限等相关信息,可以通过desc mysql.user命令来查看表的结构:

desc mysql.user;

注意该表的主键是Host,User组成的复合主键,这也代表了MySQL账号的组成结构,MySQL的账号由User和Host两部分组成,其格式为'User'@'Host',其中Host部分限制了用户可以登录的地址。这也意味着用户名相同并不代表是同一账号,'abc'@'host1'和'abc'@'host2'是两个完全无关的账号。

在登录的时候,MySQL需要对我们的账号进行验证,这个验证的操作是由专门的认证插件来完成的。通过show plugins我们可以看到MySQL的认证插件(Type为Authentication):

show plugins;

同时在我们创建账号时,认证插件会采用哈希算法对密码进行加密,并存储到mysql.user的authentication_string字段(如果是旧的MySQL版本,这个字段也可能是password):

select user,host,plugin,authentication_string from mysql.user where user='root';

上面查询中,plugin字段代表该账号登录时使用的验证插件。

MySQL的3种认证插件简介如下:

  • mysql_native_password:MySQL 8.0以前的默认认证插件,使用默认的哈希算法。
  • sha256_password:使用sha-256哈希算法,比mysql_native_password安全性更高。
  • caching_sha2_password:MySQL 8.0开始的默认认证插件,sha256_password的升级版,客户端必须配置使用SSL加密连接。

注意:如果MySQL从低版本升级到8.0时,由于默认认证插件的变化,可能导致之前的应用无法连接到数据库,此时可以配置SSL连接,或者将账号的认证插件降级到mysql_native_password保持兼容。

二、账号创建

用create user语句创建新的账号,通过identified by子句设置密码:

create user 'vincent'@'localhost' identified by 'password';

上述语句创建了一个用户名为vincent的账号,并且限制只能从本地(localhost)登录。这里的主机名也可以用IP地址、网段、域名等替代:

create user 'vincent'@'192.168.3.8' identified by 'password';

create user 'vincent'@'192.168.1.%' identified by 'password';

create user 'vincent'@'%.example.com' identified by 'password';

虽然账号名都是vincent,但他们都是独立的账号,只能从限定的Host登录,其中%代表通配符,如果主机名用%代替,那么则代表该用户可以从任何地方登录。

如果在创建账号时忽略了Host部分,则MySQL默认该账号可以从任何地方登录(host被设置为%):

create user 'vincent' identified by 'password';

select user,host from mysql.user where user='vincent';

在创建账号时,账号的认证插件会使用系统的默认设置(由参数 default_authentication_plugin控制):

show variables like 'default_authentication_plugin';

你也可以在创建账号时使用with ‘plugin’子句显式指定认证插件:

create user 'vincent'@'192.168.3.8' identified with 'sha256_password' by 'password';

上面显示指定了sha256_password作为改账号的认证插件。

三、账号权限管理

当账号刚创建时,默认只有一个USAGE权限,即仅可以连接到服务器。你还需要为账号进行赋权才可以使用,赋权时要遵循最小适用原则,即仅对用户赋予满足其需求的最小权限。

MySQL的权限有很多,可以通过show privileges命令查看所有的权限,权限后面有相应的注释:

show privileges;

上述命令查看的是权限明细,你也可以用关键字all来替代所有权限,all的权限非常高,慎用。即使要使用,也应限制在一定的范围内。

3.1 权限赋予与回收

权限的赋予是通过grant语句完成的,语句格式为:grant '权限' on '对象' to '账号';

我们先建一个测试数据库和表:

create database mydb;

use mydb;

create table mytable(id int primary key, name varchar(32));

下面演示几种常用的赋权操作:

3.1.1 库级赋权

可以用db_name.*来对某数据库下所有对象统一赋权:

grant select on mydb.* to 'vincent'@'localhost';

mydb.* 代表了mydb数据下所有的对象,上面语句赋予了查询该数据库下所有对象的权限。

如果有多项权限需要赋予,可以用逗号分隔:

grant insert,delete,update on mydb.* to 'vincent'@'localhost';

上述语句赋予了mydb数据库下所有对象的增、删、改权限。

给用户赋予数据库下所有对象(mydb.*)上的所有权限(all):

grant all on mydb.* to 'vincent'@'localhost';

权限all代表了数据库mydb下的所有权限,使用时要小心。

如果在赋权的语句后面跟上with grant option,则该用户可以继续为其他用户赋权,可能导致权限泛滥,不推荐使用:

grant all on mydb.* to 'vincent'@'localhost' with grant option;

3.1.2 表级赋权

有些时候,我可能想限制用户只能查询特定的表,我们可以用db_name.table来将权限限制在表级别:

给用户'vincent'@'localhost'赋予数据库mydb下mytable表的读取权限:

grant select on mydb.mytable to 'vincent'@'localhost';

3.1.3 列级赋权

如果我想将用户的选项限定到列,可以在相应的权限后指定列名:

给用户'vincent'@'localhost'赋予数据库mydb下mytable表name列的查询和更新权限:

grant select(id,name), update(name) on mydb.mytable to 'vincent'@'localhost';

上述select(id,name), update(name),将查询权限限定在id,name列,将更新权限限定在name列。

3.1.4 存储过程和函数赋权

如果要赋予存储过程或函数的相关权限,只需要带上procedure或function关键字即可:

grant execute on procedure sys.execute_prepared_stmt to 'vincent'@'localhost';

grant execute on function sys.version_patch to 'vincent'@'localhost';

3.1.5 权限查询

赋权后,我们可以通过show grants for '账号',来查询某账号被赋予权限:

show grants for 'vincent'@'localhost';

如果仅执行show grants; 命令(没有for子句),那么就是查询自己的权限。

3.1.6 权限回收

权限回收是通过revoke语句完成的,格式和赋权相同,只是将grant关键字替换为revoke,to关键字替换为from。格式为:revoke '权限' on '对象' from '账号';

revoke execute on procedure sys.execute_prepared_stmt from 'vincent'@'localhost';

3.2 通过角色集中管理权限

上面的示例都是针对账号直接赋权,如果有很多用户有相似的权限,那么为每个用户独立赋权就很麻烦了,这种场景可以利用角色(role)来集中管理权限。

角色(role)是权限的集合,你可以将权限赋给角色,然后将角色赋给账号,这会方便权限的集中管理,如果涉及通用权限调整,只需要调整角色的权限即可,部分用户如果需要特别的权限,可以单独赋予。

下面创建2个角色,分别对应普通用户组和管理员组:

create role user_group, admin_group;

普通组只有mydb下查询权限,管理员组具有所有权限:

grant select on mydb.* to user_group;

grant all on mydb.* to admin_group;

最后只要将角色赋给相应的账号即可:

grant user_group to 'vincent'@'localhost';

四、账号密码管理

在建立账号时,我们会指定密码,有时候这可能是一个初始密码,需要用户自己去修改。

4.1 修改账号密码

修改自己的密码通过set password语句来修改自己的密码,语句格式为:set password='密码';

下面的语句将自己账号的密码修改为vincent:

set password='vincnet';

如果你有权限替别人修改密码,可以用set password for或者alter user语句来修改别人的密码:

set password for 'vincent'@'localhost'='password';

alter user 'vincent'@'localhost' identified by 'password';

上面两个语句的效果是相同的,任意选择一种即可。

4.2 强制用户修改密码

某些场景我们需要强制用户修改密码,只需要将用户密码的状态设置为"过期",当密码的状态为过期时,账号允许连接至数据库,但是在修改密码前不会允许其他操作,由此来强制用户修改密码。

将单一账号密码状态设置为过期:

alter user 'vincent'@'localhost' password expire;

如果需要将一批账号同时设置为过期,可以通过update语句将myql.user表的password_expired字段批量设置为'Y',效果是一样的:

update mysql.user set password_expired='Y' where user='vincent' and host='localhost';

flush privileges;

update之后记得flush privileges重载权限表,否则不会生效。如果用alter user则不需要。

'vincent'@'localhost'密码失效后,执行其他语句报错(提示修改密码),只有修改密码后,限制才解除:

show databases;

set password='password';

show databases;

4.3 强制密码复杂度

通常情况下,MySQL是不会要求密码强度的,用户可以任意输入简单密码。如果要限制密码满足一定的强度规则,我们可以利用MySQL自带的validate_password插件来控制。

4.3.1 安装控制插件

默认该插件是没有安装的,我们要先安装该插件:

install plugin validate_password soname 'validate_password.so';


插件的目录可以通过变量plugin_dir来查看,在操作系统的该目录下,我们可以搜到该插件:

select @@plugin_dir;

cd /usr/local/mysql/lib/plugin/

ll | grep validate_password

4.3.2 设置强度控制变量

插件安装好之后,我们就可以查看相关的控制变量了,通过修改变量的值,可以控制修改密码的强度要求:

show variables like 'validate_password%';

各个变量含义说明如下:

  • validate_password_check_user_name:检查密码是否和用户名相似,默认就是打开的。
  • validate_password_dictionary_file:密码字典值,用来排除部分密码。
  • validate_password_length: 密码的最小长度。
  • validate_password_mixed_case_count:密码字母大小写混合数量,默认1代表至少1个大小字母和1个小写字母。
  • validate_password_mixed_number_count:密码必须包含的数字数量,默认1代表至少1个数字。
  • validate_password_special_char_count:密码至少包含的特殊字符数量,默认1代表至少1个特殊字符。
  • validate_password_policy:强度检测等级,有low, medium, strong共3个等级,默认为medium。

值为low时,仅检测一项密码长度。

值为medium时,检查密码长度,混合大小写,数字数量和特殊字符4项。

值为strong时,还会额外增加限制,密码不能与字典值文件(validate_password_dictionary_file)中密码相同,用来排除设置某些密码。

我们可以根据自己的需要修改这些,变量的值:

set global validate_password_length=10;

set global validate_password_mixed_case_count=2;

set global validate_password_number_count=2;

这里我修改了密码最小长度为10,必须有2个大小写混合,2个数字。

为了防止重启后丢失,推荐将其放到配置文件[mysqld]模块中:

[mysqld]
plugin-load-add=validate_password.so
validate_password_length=10
validate_password_mixed_case_count=2
validate_password_number_count=2
validate_password_special_char_count=1

4.3.3 强度控制测试

完成上面的配置后,密码强度控制就已经生效了。这些规则只会影响未来修改密码或者新建用户的操作,并不影响已有账户。

给vincent账号改一个简单的密码,提示密码不满足当前策略:

set password for 'vincent'@'localhost'='weakpassword';

可以通过函数validate_password_strength来评估密码的强度(0最弱,100最强):

select validate_password_strength('abc');

select validate_password_strength('Asda@#9asC7U');

只能设置满足强度的密码:

set password for 'vincent'@'localhost'='12aaAA@890';

密码'12aaAA@890',长度10位,包含5个数字,2个小写字母,2个小写字母,一个特殊字符,满足强度要求,修改成功。

V1ncent Chen
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决MySQL安装过程中出现Accounts and Roles
weixin_44602888的博客
04-05 2万+
解决MySQL安装过程中出现Accounts and Roles问题 由于重装MySQL的时候遇到一点问题,在此记录一下 安装到一半的时候出现了这个界面,不管输入什么密码都没啥用 解决方法: 先关闭上述界面 打开开始菜单 再点击上图红框的内容,显示下图界面,点击Remove 全部勾上,一把删除 回到原来的页面,点击add,就可以重新装上MySQL了 顺便提一下改MySQL路径出现的提示问题 不要在文件夹里加目录 直接在路径后面添加目录 就没有警告了 ...
5.7以上mysql.user表中各个字段的解释
GuiMa005的博客
09-02 1568
5.7以上mysql.user表中各个字段的解释 1 Select_priv:用户可以通过SELECT命令选择数据。 2 Insert_priv:用户可以通过INSERT命令插入数据; 3 Update_priv:用户可以通过UPDATE命令修改现有数据; 4 Delete_priv:用户可以通过DELETE命令删除现有数据; 5 Create_priv:用户可以创建新的数据库和表; 6 Drop_priv: 用户可以删除现有数据库和表; 7 Reload_priv.
MySQLMySQL里的用户账户和角色是什么?如何管理
m0_60511809的博客
08-30 1464
通过合理的用户管理,可以控制谁能够访问数据库以及访问数据库的权限。通过将权限分配给角色,然后将角色分配给用户,可以更方便地管理大量用户和权限设置。下面这个示例表示我们创建一个名为 webuser 的用户,这个用户将从 localhost 本机连接服务器,并且使用口令Abc123。角色是被锁定的,也就是说无法登录,同时在创建的时候也没有口令。注意:这里提到的主机名是用户所在的客户机的主机名,不是前面在连接时提到的服务器主机名。和创建用户一样,如果省略主机名,默认为 '%‘。语句重命名用户帐户和角色。
MySQL账户和权限管理
一叶知春秋
08-04 2398
MySQL账户和权限管理 Cmd方式进入mysql >> mysql\bin目录 >> mysql -u root -p 1.MySQL权限设计 在MySQL最新的版本中,将权限分为:全局级别 > 数据库级别 > 表级别 > 列级别。在用户发起操作数据库请求的时候会鉴别数据库权限,从最大级别往下搜索。 1.1user表 User表示MySQ...
MySQL的创建用户以及用户权限
最新发布
a15766649633的博客
04-22 3230
这将是MySQL的一个小结了,感兴趣的可以观看咯~
MySQL用户及权限
GOOGXVII的博客
11-26 269
MySQL的权限怎么授权?MySQL入门
基于ssm+mysql高校就业管理系统设计与实现.docx
07-19
In the context of the college employment management system, MySQL would be used to store and manage various data entities, such as job listings, company profiles, user accounts, and communication ...
webapp2-user-accounts:使用webapp2进行用户帐户管理的示例实现
03-06
这是使用webapp2进行用户帐户管理的基本实现。 您将需要注意以下事项: 实施用户注册 编写代码以处理登录 设置电子邮件验证和密码恢复(这已经为您完成了) 通过电子邮件发送电子邮件验证和密码恢复消息 登录名和...
Java财务管理系统,包含mysql数据库脚本文件.zip
12-27
例如,"accounts"表可能存储账户信息,"transactions"表记录所有收入和支出,而"budgets"表则用于设定和跟踪预算。 系统可能还使用了Spring框架进行依赖注入和管理,以简化开发和测试过程。Spring JDBC或MyBatis等...
user-accounts:用户帐户经理
05-19
用户帐号网址 代码覆盖率-79.7%环境Java 8 服务框架-Apache CXF 应用服务器-Tomcat 8 数据库-MySQL 持久性-Eclipselink 可排序网格-jQuery DataTables CSS框架-Bootstrap 3设置Connector / j mysql驱动程序应安装在...
deis-accounts:Deis 的多账户管理
06-14
deis-accounts 是 Deis 客户端的插件,用于帮助管理多个帐户。 安装 asciidoc -accounts 需要asciidoc和xmlto工具。 $ apt-get install asciidoc xmlto || # on Ubuntu Linux, or > brew install asciidoc xmlto #...
MySQL用户账号
jeffery_love的博客
06-09 178
登录系统: #默认空密码登录 mysql –uroot –p(可以跟密码) 运行mysql命令: mysql>use mysql mysql>select user(); #查看当前用户 mysql>SELECT User,Host,Password FROM user; 范例: mysql的配置文件,修改提示符: #查看mysql版本 [root@centos8 ~]#mysql -V mysql Ver 15.1 Distrib 10.3.11-
MySQL创建读写账号
mitrichev86的专栏
08-20 1181
一、创建只读账号 GRANT Select ON *.* TO **readuser**@"%" IDENTIFIED BY "**readuser_123456**" %如果替换成ip,则为只有对应的ip可以连接 二、创建增删改查账号 GRANT Select,Update,insert,delete ON *.* TO **writeuser**@"%" IDENTIFIED BY "**writeuser_123456**" %如果替换成ip,则为只有对应的ip可以连接 三、删除账号 drop u
mysql 账户管理_如何用MySQL 命令来实现账户管理
weixin_42347465的博客
01-25 107
今天我们要学习的是如何用MySQL 命令的方式来对账号进行管理,我们大家都知道在实际应用中MySQL 命令可以完成多种任务,以下的文章主要是对用MySQL 命令的方式来对账号进行管理的具体内容介绍。手册上说 “GRANT语句允许系统管理员创建MySQL用户账户,授予权限。”。但我无论怎么样也没有办法用这个命令创建用户账号。我想增加一个新的测试用户,命令如下:MySQL>GRANTALLO...
MySQL数据库管理基本操作(一)
一两风的博客
09-12 585
用于创建数据库对象,如库、表、索引等create 创建数据库和表drop 删除数据库和表alter。
mysql用户管理(account management)创建/删除/权限配置
zyc_love_study的博客
07-05 2096
本文将比较全面详细的介绍mysql数据库上面关于user的各种设置. 一: 查看当前所有用户list以及状态 mysql> select user from mysql.user; +----------------+ | user() | +----------------+ | root@localhost | +----------------+ 1 row in set
Mysql用户与权限操作
海盗船长y的博客
09-23 6375
用户与权限概述 用户数据库的使用者和管理者。 MySQL通过用户的设置来控制数据库操作人员的访问与操作范围。 服务器中名为mysqI的数据库,用于维护数据库用户以及权限的控制和管理MySQL中的所有用户信息都保存在mysql.user数据表中。 根据mysql.user表字段的功能可将其分为6类 客户端访问服务器的账号字段 Host和User字段共同组成的复合主键用于区分MySQL中的账户。 User字段用于代表用户的名称。 Host字段表示允许访问的客户端IP地址或主机地址。 当Host的值
Mysql账户管理命令使用说明
求天下者,积少成多
04-26 403
Mysql 账户管理 1、创建账户 CREATE USER 'kess'@'localhost' IDENTIFIED BY 'mypass(用户密码)';2、删除账户(删除账户同时会删除其所有权限) DROP USER 'kess'@'localhost';3、分配权限 GRANT ALL ON *.*(*更改授权的数据库名) TO 'kess'@'localhost';GRANT
MySQL用户及权限管理
weixin_42373127的博客
03-28 4752
01.了解mysql的默认用户 02.权限的分类 03.用户的创建 04.给用户授权 05.废除用户权限 mysql认证方式: root(用户名)@localhost(登录主机的地址–客户端) 密码 客户端: 要通过什么用户通过什么密码登录服务器 我们要关注:用户名 密码 要登录的服务器的ip地址 服务器提供的mysql服务的端口号 服务器: 验证客户端的登录信息是否在用户表里 验证:用户名(...
mysql creating user accounts
03-16
MySQL创建用户账户 MySQL是一种流行的关系型数据库管理系统,它允许用户创建和管理数据库。...总之,MySQL创建用户账户是管理数据库的重要步骤之一。通过创建账户并授予适当的权限,可以确保数据库的安全性和完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值