MySQL针对单库开放单独的用户管理,避免开放root账号给应用系统。
一、新建用户
首先使用root账号登录MySQL,原则上应该开放本地账号和远程访问账号,
例如我要创建一个账号为kid,密码为givemecandy,如下所示:
CREATE USER 'kid'@'localhost' IDENTIFIED BY 'givemecandy'; #创建本地登录账号
CREATE USER 'kid'@'%' IDENTIFIED BY 'givemecandy'; #创建远程登录账号
或者我不想让所有远程用户都能够登录这个账号,例如我只想让远程IP为172.168.1.1这台机器访问,那么我们修改’kid’@’%'这个账号,将%修改为IP地址172.168.1.1表示只授权给172.168.1.1,或者在新建用户的时候就可以这样:
CREATE USER 'kid'@'172.168.1.1' IDENTIFIED BY 'givemecandy'; #创建特定授权的远程访问账号
二、分配权限
首先创建一个parent库,
create database parent default charset utf8 collate utf8_general_ci;
例如,我将parent这个库的所有操作权限放给kid的本地和远程连接账号
grant all privileges on parent.* to 'kid'@'localhost' identified by 'givemecandy'; #本地授权
grant all privileges on parent.* to 'kid'@'%' identified by 'givemecandy'; #远程授权
flush privileges; #刷新系统权限表
或者我也可以指定分配该库几个特定的权限给特定用户,
grant select,update on parent.* to 'kid'@'localhost' identified by 'givemecandy';
grant select,update on parent.* to 'kid'@'%' identified by 'givemecandy';
flush privileges; #刷新系统权限表
三、总结
通过分配数据库账号的形式进行灵活分配访问库权限,避免各个库的权限混乱导致安全控制问题,同样也可以用开放白名单的形式指定远程访问的授权IP方能登录成功,再次提高访问安全。
参考资料: