Mysql-数据库用户与权限管控

一、数据库用户

1）数据库用户查询

• use mysql;
• select * from user; 

字段解释：

Host 代表主机（localhost代表只能从本机登录，%则代表可以从任意主机上登录）

User 代表用户名

后面看到的各种priv则表示各种操作权限

2）数据库用户创建

• CREATE USER '用户名'@'HOST' IDENTIFIED BY '密码'; 创建一个允许从HOST登录的用户
• CREATE USER '用户名'@'localhost' IDENTIFIED BY '密码'; 创建一个仅允许本地登录的用户
• CREATE USER '用户名'@'%' IDENTIFIED BY '密码'; 创建一个允许任意主机登录的用户

3）数据库用户修改与删除

修改密码：

• ALTER USER '用户名' @'主机名' IDENTIFIED WITH mysql_native_password BY '新密码';

删除用户：

• DROP USER '用户名' @'主机名';

二、数据库用户权限

1）查询权限

show grants for '用户名' @'主机名'

2）授予权限

GRANT命令说明：

(1)ALL PRIVILEGES 表示所有权限，你也可以使用select、update等权限。

(2)ON 用来指定权限针对哪些库和表。

(3). 中前面的号用来指定数据库名，后面的号用来指定表名。

(4)TO 表示将权限赋予某个用户。

(5)@ 前面表示用户，@后面接限制的主机，可以是IP、IP段、域名以及%，%表示任何地方。

(6)IDENTIFIED BY 指定用户的登录密码。

(7)WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。

注意：经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其它用户授权。 备注：可以使用GRANT重复给用户添加权限，权限叠加，比如你先给用户添加一个select权限，然后又给用户添加一个insert权限，那么该用户就同时拥有了select和insert权限。

3）回收权限

• REVOKE ALL ON demo2.* FROM 'demo2' @'%';

4）权限变更操作后的刷新操作

每次更新权限后记得刷新权限

• FLUSH PRIVILEGES;

三、示例代码

创建一个应用发布的数据库用户，用于在应用项目中区分发布用户的变更用户

CREATE USER 'Adb'@'%' IDENTIFIED BY ='A@121';

GRANT ALL ON A.* TO 'Adb'@'%';

GRANT ALL ON B.* TO 'Adb'@'%';

GRANT ALL ON C.* TO 'Adb'@'%';

现在已经创建了Adb用户，它拥有A、B、C三个库的所有权限，在应用发布中选择该用户，既可以分离root用户，在将来排错中可以区分是版本发布导致表数据变动，还是日常变更sql导致数据变更。

四、数据库用户权限查询

1）查询某用户的所有权限信息

• SELECT * FROM mysql.user WHERE user='root';

- Select_priv：确定用户是否可以通过SELECT命令选择数据
Insert_priv：确定用户是否可以通过INSERT命令插入数据
Update_priv：确定用户是否可以通过UPDATE命令修改现有数据
Delete_priv：确定用户是否可以通过DELETE命令删除现有数据
Create_priv：确定用户是否可以创建新的数据库和表
Drop_priv：确定用户是否可以删除现有数据库和表
Reload_priv：确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令，包括日志、权限、主机、查询和表
Shutdown_priv：确定用户是否可以关闭MySQL服务器，将此权限提供给root账户之外的任何用户时，都应当非常谨慎
Process_priv：确定用户是否可以通过SHOW
File_priv：确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令
Grant_priv：确定用户是否可以将已经授予给该用户自己的权限再授予其他用户，例如，如果用户可以插入、选择和删除foo数据库中的信息，并且授予了GRANT权限，则该用户就可以将其任何或全部权限授予系统中的任何其他用户
References_priv：目前只是某些未来功能的占位符，现在没有作用
Index_priv：确定用户是否可以创建和删除表索引
Alter_priv：确定用户是否可以重命名和修改表结构
Show_db_priv：确定用户是否可以查看服务器上所有数据库的名字，包括用户拥有足够访问权限的数据库，可以考虑对所有用户禁用这个权限，除非有特别不可抗拒的原因
Super_priv：确定用户是否可以执行某些强大的管理功能，例如通过KILL命令删除用户进程，使用SET GLOBAL修改全局MySQL变量，执行关于复制和日志的各种命令
Create_tmp_table_priv：确定用户是否可以创建临时表
Lock_tables_priv：确定用户是否可以使用LOCK
Execute_priv：确定用户是否可以执行存储过程，此权限只在MySQL 5.0及更高版本中有意义
Repl_slave_priv：确定用户是否可以读取用于维护复制数据库环境的二进制日志文件，此用户位于主系统中，有利于主机和客户机之间的通信
Repl_client_priv：确定用户是否可以确定复制从服务器和主服务器的位置
Create_view_priv：确定用户是否可以创建视图，此权限只在MySQL 5.0及更高版本中有意义
Show_view_priv：确定用户是否可以查看视图或了解视图如何执行，此权限只在MySQL 5.0及更高版本中有意义 Create_routine_priv：确定用户是否可以更改或放弃存储过程和函数，此权限是在MySQL 5.0中引入的 Alter_routine_priv：确定用户是否可以修改或删除存储函数及函数，此权限是在MySQL 5.0中引入的 Create_user_priv：确定用户是否可以执行CREATE
Event_priv：确定用户能否创建、修改和删除事件，这个权限是MySQL 5.1.6新增的
Trigger_priv：确定用户能否创建和删除触发器，这个权限是MySQL 5.1.6新增的
Create_tablespace_priv: 创建表的空间