MYSQL用户权限管理,访问控制和系统变量浅谈

已于 2022-06-15 21:44:40 修改
阅读量156 收藏
点赞数
文章标签: mysql 数据库 sql
于 2022-06-14 00:03:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48876968/article/details/125267807
版权
这篇博客详细介绍了MySQL中用户权限的管理,包括创建、修改和删除用户,设置与管理用户密码,以及密码过期和重用策略。此外,还讲解了权限的授予、收回以及通过角色进行权限管理,强调了访问控制的层次,如user、db、table_priv和columns_priv表。最后提到了系统变量的全局与会话区别。
摘要由CSDN通过智能技术生成

一、用户权限的创建,修改,删除:

  1. 用户权限的创建
create user 'liu01' identified by '32332222222';

    查看结果是否成功

select host,user from user;
+-----------+------------------+
| host      | user             |
+-----------+------------------+
| %         | liu01            |
| %         | root             |
| localhost | mysql.infoschema |
| localhost | mysql.session    |
| localhost | mysql.sys        |
+-----------+------------------+
5 rows in set (0.00 sec)

    刷新权限

flush privileges;

    最后看是否登录成功
  1. 修改用户名字
update user  set user='liu03' where user='liu02';

查看结果

 select host,user from user;
+-----------+------------------+
| host      | user             |
+-----------+------------------+
| %         | liu01            |
| %         | liu03            |
| %         | root             |
| localhost | mysql.infoschema |
| localhost | mysql.session    |
| localhost | mysql.sys        |
+-----------+------------------+
6 rows in set (0.00 sec)

flush privileges;

    最后看是否登录成功

  1. 删除用户

    第一种是用drop

drop user 'liu03';

      或者使用delete

delete from mysql.user where user='liu03' and host='localhost';

      最后查看登录是否失败

二、用户的密码设置与管理

1.修改当前用户密码

1.1 set方法修改(MySQL5版本)修改当前用户的密码(不推荐,权限表在删不干净)

set password = password('21212');

1.2 alter user 方法修改(推荐)

alter user user() identified by '92121';

1.3  set方法修改(推荐)

set password='922121';

2.修改其他用户密码(root用户可用,%表示全主机可登录)

2.1 alter user 方法修改(推荐)

alter user 'liu01'@'%' identified by '9rer';

    刷新权限

flush privileges;

    测试登录
   

 2.2   set方法修改(推荐)

set password for 'liu01' ='9ewew';

    刷新权限

flush privileges;

    测试登录

2.3  使用update的方法修改(不推荐,权限表在删不干净)

update MySQL.user set authentication_string=password("321312") where user="liu01" and host = "hostname";

3.密码过期设置

3.1 配置文件my.cnf

[mysqld]
dedault_password_lifetime= 180 #建立全局策略,设置密码每隔180天过期

3.2 手动设置指定时间过期方式:单独设置

#设置liu01账号密码每90天过期
create user 'liu01'@'%' password expire interval 90 day;
alter user 'liu01'@'%' password expire interval 90 day;
#设置liu01账号密码永不过期
create user 'liu01'@'%' password expire never;
alter user 'liu01'@'%' password expire never;
#设置liu01账号密码使用默认的过期策略
create user 'liu01'@'%' password expire default;
alter user 'liu01'@'%' password expire default;

3.3 手动设置密码重用方式(全局)

[mysqld]
password_history=6#密码重用最近数量
password_reuse_interval=365#密码最近重用时间

3.4 手动设置密码重用方式(单独)

#密码重用最近数量
create user 'liu01'@'%' password history 6;
alter user 'liu01'@'%' password history 6;
#密码最近重用时间
create user 'liu01'@'%' password reuse interval 365 day;
alter user 'liu01'@'%' password reuse interval 365 day;
#密码最近重用时间和密码重用最近数量
create user 'liu01'@'%'
password history 6
reuse interval 365 day;

三、权限管理与访问控制

1.授予权限

分为角色赋予用户给用户授权和直接给用户授权。

1.1直接授权命令

赋予test库下dbtest01表增删改查的权限

grant select,insert,delete,update on test.dbtest01 to 'liu01'@'%';

赋予test库下dbtest01表所有权限

grant all privileges on test.dbtest01 to 'liu01'@'%';

查看权限

show grants;
+----------------------------------------------------------------------------+
| Grants for liu01@%                                                         |
+----------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `liu01`@`%`                                          |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `test01`.`dbtest01` TO `liu01`@`%` |
+----------------------------------------------------------------------------+
2 rows in set (0.00 sec)

赋予用户给予其他用户的权限WITH GRANT OPTION

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON `test01`.`dbtest01` TO `root`@`%` WITH GRANT OPTION;

1.2 收回授权命令

revoke SELECT, INSERT, UPDATE, DELETE ON `test01`.`dbtest01` from `liu01`@`%`;

1.2创建角色授权命令

   创建角色

create role 'manager'@'%';

  查看是否成功

select host,user from user;
+-----------+------------------+
| host      | user             |
+-----------+------------------+
| %         | liu01            |
| %         | manager          |
| %         | root             |
| localhost | mysql.infoschema |
| localhost | mysql.session    |
| localhost | mysql.sys        |
+-----------+------------------+
6 rows in set (0.00 sec)

  赋予角色权限

grant select,insert,delete,update on atguigudb.* to 'manager'@'%';
Query OK, 0 rows affected (0.00 sec)

查看角色权限

mysql> show grants for 'manager'@'%';
+------------------------------------------------------------------------+
| Grants for manager@%                                                   |
+------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `manager`@`%`                                    |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `atguigudb`.* TO `manager`@`%` |
+------------------------------------------------------------------------+
2 rows in set (0.00 sec)


将角色的权限赋予给某个用户

mysql> grant 'manager' to 'liu01'@'%';
Query OK, 0 rows affected (0.00 sec)


查看是否成功

mysql> show grants for 'liu01'@'%';
+----------------------------------------------------------------------------+
| Grants for liu01@%                                                         |
+----------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `liu01`@`%`                                          |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `test01`.`dbtest01` TO `liu01`@`%` |
| GRANT `manager`@`%` TO `liu01`@`%`                                         |
+----------------------------------------------------------------------------+
3 rows in set (0.00 sec)


用这个用户登录查看数据库时,会不成功,需要激活

mysql> use  atguigudb;
ERROR 1044 (42000): Access denied for user 'liu01'@'%' to database 'atguigudb'
mysql> 

方式一:在这个用户下激活

mysql> set default role 'manager'@'%' to 'liu01'@'%';
Query OK, 0 rows affected (0.01 sec)

退出再登录查看是否成功

mysql> select current_role();
+----------------+
| current_role() |
+----------------+
| `manager`@`%`  |
+----------------+
1 row in set (0.00 sec)

方式二:将activate_all_roles_on_login全局变量设置为ON,之后的角色会自动激活,这种以命令方式没有写进配置文件的方式会在MySQL重启或者宕机后重启时恢复配置文件的默认值,但是在没有宕机之后的其他会话中会保持其设置

mysql> show variables like 'activate_all_roles_on_login';
+-----------------------------+-------+
| Variable_name               | Value |
+-----------------------------+-------+
| activate_all_roles_on_login | OFF   |
+-----------------------------+-------+
1 row in set (0.01 sec)

mysql> set global activate_all_roles_on_login=on;
Query OK, 0 rows affected (0.00 sec)

mysql> show variables like 'activate_all_roles_on_login';
+-----------------------------+-------+
| Variable_name               | Value |
+-----------------------------+-------+
| activate_all_roles_on_login | ON    |
+-----------------------------+-------+
1 row in set (0.00 sec)

回收角色

mysql> revoke 'manager' from 'liu01'@'%';
Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'liu01'@'%';
+----------------------------------------------------------------------------+
| Grants for liu01@%                                                         |
+----------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `liu01`@`%`                                          |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `test01`.`dbtest01` TO `liu01`@`%` |
+----------------------------------------------------------------------------+
2 rows in set (0.00 sec)

销毁角色

drop role ';manager'@'%';

设置强制角色(mandatory role)是给每个创建账户的默认角色,不需要手动设置,强制角色无法被revoke或者drop;

方式一:服务启动前设置

[mysqld]
mandatory_roles='liu01'@"%';

 方式二: 运行时设置,global这种设置变量都会这样session更是如此,persist可以持久化,写进磁盘

set persist mandatory_roles='liu01'@"%';   #重启系统时失效
set global mandatory_roles='liu01'@"%';     #重启系统时失效

四、访问控制

MySQL用户在登录时,首先会检查优user表,权限如果在user表被授予,那么MySQL就会在继续检查db(database)表,db表的权限是限定源数据库层级的,MySQL会继续检查table_priv(库的表)表,再一层级就是columns_priv(列)表。用show privileges命令查看。

mysql> show privileges;
+----------------------------+---------------------------------------+-------------------------------------------------------+
| Privilege                  | Context                               | Comment                                               |
+----------------------------+---------------------------------------+-------------------------------------------------------+
| Alter                      | Tables                                | To alter the table                                    |
| Alter routine              | Functions,Procedures                  | To alter or drop stored functions/procedures          |
| Create                     | Databases,Tables,Indexes              | To create new databases and tables                    |
| Create routine             | Databases                             | To use CREATE FUNCTION/PROCEDURE                      |
| Create role                | Server Admin                          | To create new roles                                   |
| Create temporary tables    | Databases                             | To use CREATE TEMPORARY TABLE                         |
| Create view                | Tables                                | To create new views                                   |
| Create user                | Server Admin                          | To create new users                                   |
| Delete                     | Tables                                | To delete existing rows                               |
| Drop                       | Databases,Tables                      | To drop databases, tables, and views                  |
| Drop role                  | Server Admin                          | To drop roles                                         |
| Event                      | Server Admin                          | To create, alter, drop and execute events             |
| Execute                    | Functions,Procedures                  | To execute stored routines                            |
| File                       | File access on server                 | To read and write files on the server                 |
| Grant option               | Databases,Tables,Functions,Procedures | To give to other users those privileges you possess   |
| Index                      | Tables                                | To create or drop indexes                             |
| Insert                     | Tables                                | To insert data into tables                            |
| Lock tables                | Databases                             | To use LOCK TABLES (together with SELECT privilege)   |
| Process                    | Server Admin                          | To view the plain text of currently executing queries |
| Proxy                      | Server Admin                          | To make proxy user possible                           |
| References                 | Databases,Tables                      | To have references on tables                          |
| Reload                     | Server Admin                          | To reload or refresh tables, logs and privileges      |
| Replication client         | Server Admin                          | To ask where the slave or master servers are          |
| Replication slave          | Server Admin                          | To read binary log events from the master             |
| Select                     | Tables                                | To retrieve rows from table                           |
| Show databases             | Server Admin                          | To see all databases with SHOW DATABASES              |
| Show view                  | Tables                                | To see views with SHOW CREATE VIEW                    |
| Shutdown                   | Server Admin                          | To shut down the server                               |
| Super                      | Server Admin                          | To use KILL thread, SET GLOBAL, CHANGE MASTER, etc.   |
| Trigger                    | Tables                                | To use triggers                                       |
| Create tablespace          | Server Admin                          | To create/alter/drop tablespaces                      |
| Update                     | Tables                                | To update existing rows                               |
| Usage                      | Server Admin                          | No privileges - allow connect only                    |
| XA_RECOVER_ADMIN           | Server Admin                          |                                                       |
| SHOW_ROUTINE               | Server Admin                          |                                                       |
| SET_USER_ID                | Server Admin                          |                                                       |
| RESOURCE_GROUP_USER        | Server Admin                          |                                                       |
| APPLICATION_PASSWORD_ADMIN | Server Admin                          |                                                       |
| SYSTEM_VARIABLES_ADMIN     | Server Admin                          |                                                       |
| AUDIT_ADMIN                | Server Admin                          |                                                       |
| SERVICE_CONNECTION_ADMIN   | Server Admin                          |                                                       |
| CLONE_ADMIN                | Server Admin                          |                                                       |
| PERSIST_RO_VARIABLES_ADMIN | Server Admin                          |                                                       |
| FLUSH_USER_RESOURCES       | Server Admin                          |                                                       |
| BINLOG_ADMIN               | Server Admin                          |                                                       |
| ROLE_ADMIN                 | Server Admin                          |                                                       |
| SESSION_VARIABLES_ADMIN    | Server Admin                          |                                                       |
| BINLOG_ENCRYPTION_ADMIN    | Server Admin                          |                                                       |
| FLUSH_STATUS               | Server Admin                          |                                                       |
| SYSTEM_USER                | Server Admin                          |                                                       |
| ENCRYPTION_KEY_ADMIN       | Server Admin                          |                                                       |
| REPLICATION_SLAVE_ADMIN    | Server Admin                          |                                                       |
| GROUP_REPLICATION_ADMIN    | Server Admin                          |                                                       |
| BACKUP_ADMIN               | Server Admin                          |                                                       |
| RESOURCE_GROUP_ADMIN       | Server Admin                          |                                                       |
| FLUSH_OPTIMIZER_COSTS      | Server Admin                          |                                                       |
| TABLE_ENCRYPTION_ADMIN     | Server Admin                          |                                                       |
| FLUSH_TABLES               | Server Admin                          |                                                       |
| CONNECTION_ADMIN           | Server Admin                          |                                                       |
| INNODB_REDO_LOG_ENABLE     | Server Admin                          |                                                       |
| INNODB_REDO_LOG_ARCHIVE    | Server Admin                          |                                                       |
| REPLICATION_APPLIER        | Server Admin                          |                                                       |
+----------------------------+---------------------------------------+-------------------------------------------------------+
62 rows in set (0.01 sec)

五、系统变量

系统变量分为全局变量和会话变量,而作为变量可以是全局变量也可以是会话变量,default_storage_engine就是刚建立会话时系统给的,但是可以在会话中建表时更改,亦可以在set @session default_storage_engine=myisam更改,用这种方式更改后只会影响本次会话的建表结果,其他连接会话还是使用系统默认,set @@global default_storage_engine=myisam更改是影响后面的会话变量,前提是系统没有重启。重启之后用得还是配置文件里的默认变量,就是说这种设置只是在内存中保存,并不是持久化到磁盘中了。

大佬带带我( •̥́ ˍ •̀ू )
关注
spring boot毕业生跟踪调查管理系统 毕业设计源码论文+答辩PPT
TOT_dddd的博客
11-03 1288
毕业生跟踪调查管理系统的功能主要分为前台用户根据自己的需求进行注册登录,浏览职位信息并对选中的职位进行申请操作。后台系统管理员因职责的不同,分为普通管理员和超级管理员,普通管理员主要对申请单进行处理,而超级管理员主要对注册用户,毕业生论坛、论坛分类列表、毕业生资讯、资讯分类列表、就业调查分析进行处理
浅谈路由器漏洞挖掘(科普文)
Coisini的博客
06-16 4221
想在国内找一些路由渗透的纪实,但还是木有什么结果,就是今晚给国内某路由厂商提交一些漏洞时,还被人家鄙视了,哎。什么狗屁心态。不管了,留给我未来的 儿子玩吧。说不定可以搞出什么东西。呵呵,扯远了,今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我,我也只是自己写写笔记意淫意淫….别喷! ++++++我是淫荡的分割线++++++++ 一,为什么要定义单独的路由安全? (1)对于渗透湿而言: 如今,更多...
mysql访问控制
04-18 304
阶段1:连接核实 当你试图连接MySQL服务器时,服务器基于你的身份以及你是否能通过供应正确的密码验证身份来接受或拒绝连接。如果不是,服务器完全拒绝你的访问,否则,服务器接受连接,然后进入阶段2并且等待请求。 你的身份基于2个信息: 你从那个主...
mysql访问控制
09-28 105
通过配置mysql访问控制,可以有效的指定能够访问到你的数据库的ip范围。 root到你的mysqlmysql -u root -h(mysql的地址) -P(监听端口) -p 输入密码,进入mysql控制台,输入如下指令 grant all privileges on *.* to '用户名'@'白名单' identified by '密码' flush privileg
MySQL - 访问控制
Trollz的博客
09-12 619
MySQL - access control
SQL语法——MySQL访问控制系统
吴声子夜歌的博客
04-18 789
MySQL访问控制系统 MySQL实现了一个复杂的访问控制权限系统,允许您创建全面的访问规则来处理客户端操作并有效防止未经授权的客户端访问数据库系统。 当客户端连接到服务器时,MySQL访问控制有两个阶段: 连接验证:连接到MySQL数据库服务器的客户端需要有一个有效的用户名和密码。此外,客户端连接的主机必须与MySQL授权表中的主机匹配。 请求验证:成功建立连接后,对于客户端发出的每个语句,MySQL会检查客户端是否具有足够的权限来执行特定语句。MySQL能够检查数据库,表和字段级别的权限。 有一个
浅谈mysql 针对单张表的备份与还原
09-09
MySQL数据库管理中,备份和还原是至关重要的任务,特别是在处理单张表时,确保数据的安全性和可恢复性显得更加关键。本文将详细讲解如何针对单张表进行备份和还原操作。 首先,我们来了解MySQL备份工具——...
浅谈PHP命令执行php文件需要注意的问题
10-20
3. 严格控制输入参数。在设计需要外部输入参数的脚本时,应该对输入进行严格的校验,避免执行恶意构造的代码。例如,使用白名单来限制可以接收的参数值,或者对输入值进行过滤,移除可能的危险字符。 4. 关注命令...
MySQL数据库SQL注入漏洞解析
最新发布
CoffeMilk的博客
09-07 1226
SQL注入总结起来就是:没有对用户输入提交的数据内容的合法性进行严格的判断或过滤,就直接将这些伪造的数据内容带入到数据库执行,导致数据泄露或损坏,甚至导致完全接管主机的一种安全漏洞。
Mysql 外网访问控制
xiaowei的专栏
09-19 453
Mysql的访问方式主要由Mysql数据库表中的user 表来控制,主要由[host, user, password]来标记一种连接方式,举例如下:mysql> select host, user, password from user; +----------------------------------------------------+-----------------+-------
Mysql用户权限角色访问控制
tiantiantbtb的博客
02-08 1145
或者:alter user 'zhangsan'@'localhost' identified by '123456';CREATE USER 'zhangsan'@'localhost' identified by '新密码';
mysql提供的访问控制_MySQL 访问控制实现原理
weixin_34221384的博客
02-02 360
1.MySQL 访问控制实现原理如果同一个用户有两条权限信息,一条是针对特定域名的,另外一个是含有通配符的域名,而且前者属于后者包含。这时候 My SQL如何来确定权限信息呢?实际上 MySQL 永远优先考虑更精确范围的权限。在 MySQL 内部会 按照 username 和 hostname 作一个排序,对于相同 username 的 权限,其 host 信息越接近访 问者的来源 host ,则...
mysql数据库访问控制_一文总结MySQL数据库访问控制实现原理
weixin_39602569的博客
02-28 270
MySQL 访问控制实际上由两个功能模块共同组成,一个是负责“看守 MySQL 大门”的用户管理模块,另一个就是负责监控来访者每一个动作的访问控制模块。用户管理模块决定用户是否能登陆数据库,而访问控制模块则决定在数据库中具体可以做的事。下面是一张 MySQL 中实现访问控制的简单流程图。 1. 用户管理在 MySQL 中,用户访问控制部分的实现比较简单,所有授权用户都存放在一个系统表中:mysql...
mysql访问控制实现原理
weixin_34194702的博客
07-25 463
mysql访问控制由两个功能模块共同组成,一个是用户管理模块,可以称为“看守mysql大门的模块”。一个是负责监视来访者每一个动作的访问控制模块。用户管理模块决定来访者能否进入大门访问控制模块决定每个来访者进门后能拿什么不能拿什么下面是一张MySQL 中实现访问控制的简单流程图1,用户管理模块1.1,在mysql中,用户访问控制部分的实现比较简单,所有授权用户都存放在mysq...
MySQL 访问控制实现原理
ljasdf123的专栏
09-06 1997
1.MySQL 访问控制实现原理 如果同一个用户有两条权限信息,一条是针对特定域名的,另外一个是含有通配符的域名,而且前者属于后者包含。这时候 My SQL如何来确定权限信息呢?实际上 MySQL 永远优先考虑更精确范围的权限。在 MySQL 内部会 按照 username 和 hostname 作一个排序,对于相同 username 的 权限,其 host 信息越接近访 问者的来源 host
mysql 访问控制命令_数据库mysql如何访问控制?有哪些阶段?
weixin_42528902的博客
01-19 325
我们在访问一个网页时,只需要点击链接就可以轻松浏览,当然这只是访问在用户界面的一个展现。我们学习python的时候,更多的倾向于内部的搭建和原理的理解。有没有小伙伴对mysql的访问产生兴趣呢?这里的访问跟我们之前提到的浏览界面访问有所不同,接下来就数据库mysql访问控制和其中的两个阶段一起进行深入探索。MySQL访问控制分为两个阶段:用户连接检查阶段执行SQL语句时检查阶段1、用户连接时的检...
如何设置MySQL访问控制规则?
woaiyiyi20230812的博客
06-12 366
MySQL设置访问控制规则主要是通过创建和管理用户账户,并为它们分配适当的权限
MySQL访问控制的几个问题
icenows的专栏
03-18 156
打开MySQL的配置文件,可以看到这么一行 ndb-connectstring=127.0.0.1 这行的作用是,禁止数据库的远程访问,——如果需要允许数据库远程访问,直接把这行注销就可以,(#ndb-connectstring=127.0.0.1)。但是,如果是使用phpMyAdmin来管理,就可以绕过这个问题,——没用过MySQL browser,不知道会不会一样。 另一方面,非全局用户...
RBAC权限控制模型实现的后台管理系统
资源摘要信息:"基于RBAC权限控制模型的后台管理系统" 知识点详细说明: 1. RBAC权限控制模型: - RBAC(Role-Based Access Control,基于角色的访问控制)是一种流行的信息安全策略,它基于用户的角色来控制对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值