一、用户管理
<1> 登录
mysql –h hostname|hostIP –P port –u username –p DatabaseName –e "SQL语句"
-h参数 后面接主机名或者主机IP,hostname为主机,hostIP为主机IP。
-P参数 后面接MySQL服务的端口,通过该参数连接到指定的端口。MySQL服务的默认端口是3306,不使用该参数时自动连接到3306端口,port为连接的端口号。
-u参数 后面接用户名,username为用户名。
-p参数 会提示输入密码。DatabaseName参数 指明登录到哪一个数据库中。如果没有该参数,就会直接登录到MySQL数据库
中,然后可以使用USE命令来选择数据库。
-e参数 后面可以直接加SQL语句。登录MySQL服务器以后即可执行这个SQL语句,然后退出MySQL服务器。
<2> 创建用户
CREATE USER 用户名 [IDENTIFIED BY '密码'][,用户名 [IDENTIFIED BY '密码']];
- 用户名参数表示新建用户的账户,由 用户(User) 和 主机名(Host) 构成;
- “[ ]”表示可选,也就是说,可以指定用户登录时需要密码验证,也可以不指定密码验证,这样用户 可以直接登录。不过,不指定密码的方式不安全,不推荐使用。如果指定密码值,这里需要使用 IDENTIFIED BY指定明文密码值。
- CREATE USER语句可以同时创建多个用户。
- 例
CREATE USER 'kangshifu'@'localhost' IDENTIFIED BY '123456';
CREATE USER zhang3 IDENTIFIED BY '123123'; # 默认host是 %
<3> 修改用户
UPDATE mysql.user SET USER='li4' WHERE USER='wang5';
FLUSH PRIVILEGES;
<4> 删除用户
1. DROP
使用DROP USER语句来删除用户时,必须用于DROP USER权限。
DROP USER user[,user]…;
例:
DROP USER li4 ; # 默认删除host为%的用户
DROP USER 'kangshifu'@'localhost';
2. DELECT(不推荐)
DELETE FROM mysql.user WHERE Host=’hostname’ AND User=’username’;
FLUSH PRIVILEGES;
例:
DELETE FROM mysql.user WHERE Host='localhost' AND User='Emily';
FLUSH PRIVILEGES;
不推荐通过 DELETE FROM USER u WHERE USER=‘li4’ 进行删除,系统会有残留信息保 留。而drop user命令会删除用户以及对应的权限,执行命令后你会发现mysql.user表和mysql.db表 的相应记录都消失了。
<5> 设置当前用户的密码
1. 使用ALTER USER
使用ALTER USER命令来修改当前用户密码 用户可以使用ALTER命令来修改自身密码
ALTER USER USER() IDENTIFIED BY 'new_password';
2 使用SET
SET PASSWORD='new_password';
<6> 修改其他用户的密码
1. 使用ALTER
ALTER USER user [IDENTIFIED BY '新密码'] [,user[IDENTIFIED BY '新密码']]…;
2. 使用SET
使用root用户登录到MySQL服务器后,可以使用SET语句来修改普 通用户的密码
SET PASSWORD FOR 'username'@'hostname'='new_password';
二、权限管理
<1> 权限列表
show privileges;
- CREATE和DROP权限 ,可以创建新的数据库和表,或删除(移掉)已有的数据库和表。如果将MySQL数据库中的DROP权限授予某用户,用户就可以删除MySQL访问权限保存的数据库。
- SELECT、INSERT、UPDATE和DELETE权限 允许在一个数据库现有的表上实施操作。
- SELECT权限只有在它们真正从一个表中检索行时才被用到。
- INDEX权限 允许创建或删除索引,INDEX适用于已有的表。如果具有某个表的CREATE权限,就可以在CREATE TABLE语句中包括索引定义。
- ALTER权限 可以使用ALTER TABLE来更改表的结构和重新命名表。
- CREATE ROUTINE权限 用来创建保存的程序(函数和程序),ALTER ROUTINE权限用来更改和删除保存的程序, EXECUTE权限 用来执行保存的程序。
- GRANT权限 允许授权给其他用户,可用于数据库、表和保存的程序。
- FILE权限 使用户可以使用LOAD DATA INFILE和SELECT … INTO OUTFILE语句读或写服务器上的文件,任何被授予FILE权限的用户都能读或写MySQL服务器上的任何文件(说明用户可以读任何数据库目录下的文件,因为服务器可以访问这些文件)。
<2> 授予权限原则
权限控制主要是出于安全因素,因此需要遵循以下几个 经验原则 :
- 只授予能 满足需要的最小权限 ,防止用户干坏事。比如用户只是需要查询,那就只给select权限就可以了,不要给用户赋予update、insert或者delete权限。
- 创建用户的时候 限制用户的登录主机 ,一般是限制成指定IP或者内网IP段。
- 为每个用户 设置满足密码复杂度的密码 。
- 定期清理不需要的用户 ,回收权限或者删除用户。
<3> 授予权限
给用户授权的方式有 2 种,分别是通过把 角色赋予用户给用户授权 和 直接给用户授权 。用户是数据库的使用者,我们可以通过给用户授予访问数据库中资源的权限,来控制使用者对数据库的访问,消除安全 隐患。
命令:
GRANT 权限1,权限2,…权限n ON 数据库名称.表名称 TO 用户名@用户地址 [IDENTIFIED BY ‘密码口令’];
例:
给li4用户用本地命令行方式,授予atguigudb这个库下的所有表的插删改查的权限。
GRANT SELECT,INSERT,DELETE,UPDATE ON atguigudb.* TO li4@localhost ;
授予通过网络方式登录的joe用户 ,对所有库所有表的全部权限,密码设为123。注意这里唯独不包 括grant的权限
GRANT ALL PRIVILEGES ON *.* TO joe@'%' ;
<4> 查看权限
SHOW GRANTS;
# 或
SHOW GRANTS FOR CURRENT_USER;
# 或
SHOW GRANTS FOR CURRENT_USER();
<5> 收回权限
收回权限就是取消已经赋予用户的某些权限。收回用户不必要的权限可以在一定程度上保证系统的安全性。MySQL中使用 REVOKE语句 取消用户的某些权限。使用REVOKE收回权限之后,用户账户的记录将从db、host、tables_priv和columns_priv表中删除,但是用户账户记录仍然在user表中保存(删除user表中的账户记录使用DROP USER语句)。
命令:
REVOKE 权限1,权限2,…权限n ON 数据库名称.表名称 FROM 用户名@用户地址;
例:
#收回全库全表的所有权限
REVOKE ALL PRIVILEGES ON *.* FROM joe@'%';
#收回mysql库下的所有表的插删改查权限
REVOKE SELECT,INSERT,UPDATE,DELETE ON mysql.* FROM joe@localhost;
三、权限表
MySQL服务器通过权限表来控制用户对数据库的访问,权限表存放在mysql数据库中。MySQL数据库系统会根据这些权限表的内容为每个用户赋予相应的权限。这些权限表中最重要的是user表、db表。除此之外,还有table_priv表、column_priv表和proc_priv表等。
在MySQL启动时,服务器将这些数据库表中权限信息的内容读入内存。
<1> user表
DESCRIBE mysql.db;
1. 范围列(或用户列)
2. 权限列
3. 安全列
安全列只有6个字段,其中两个是ssl相关的(ssl_type、ssl_cipher),用于 加密 ;两个是x509 相关的(x509_issuer、x509_subject),用于 标识用户 ;另外两个Plugin字段用于 验证用户身份 的插件, 该字段不能为空。如果该字段为空,服务器就使用内建授权验证机制验证用户身份。
4. 资源控制列
资源控制列的字段用来 限制用户使用的资源 ,包含4个字段,分别为: ①max_questions,用户每小时允许执行的查询操作次数;
②max_updates,用户每小时允许执行的更新 操作次数;
③max_connections,用户每小时允许执行的连接操作次数;
④max_user_connections,用户 允许同时建立的连接次数。
<2> db表
体现对某个数据库的权限。
DESCRIBE mysql.db;
1. 主键列
db表用户列有3个字段,分别是Host、User、Db。这3个字段分别表示主机名、用户名和数据库 名。表示从某个主机连接某个用户对某个数据库的操作权限,这3个字段的组合构成了db表的主键。
2. 权限列
Create_routine_priv和Alter_routine_priv这两个字段决定用户是否具有创建和修改存储过程的权限
<3> tables_priv表
tables_priv表有8个字段,分别是Host、Db、User、Table_name、Grantor、Timestamp、Table_priv和 Column_priv
<4> columns_priv表
columns_priv表只有7个字段,分别是Host、Db、User、Table_name、Column_name、Timestamp、column_priv。其中,Column_name用来指定对哪些数据列具有操作权限。
<5> procs_priv表
四、访问控制
<1> 连接核实阶段
<2> 请求核实阶段
<3> 访问控制流程
5. 角色管理
角色是在MysQL 8.0 中引入的新功能。在MysQL中,角色是权限的集合,可以为角色添加或移除权限。用户可以被赋予角色,同时也被授予角色包含的权限。对角色进行操作需要较高的权限。并且像用户账户一样,角色可以拥有授予和撤消的权限。I
<1> 创建角色
CREATE ROLE 'role_name'[@'host_name'] [,'role_name'[@'host_name']]...
角色名称的命名规则和用户名类似。如果 host_name省略,默认为% , role_name不可省略 ,不可为空。
例:
CREATE ROLE 'manager'@'localhost';
<2> 给角色赋予权限
系统就会自动给你一个“ USAGE ”权限,意思是 连接登录数据库的权限
GRANT privileges ON table_name TO 'role_name'[@'host_name'];
例:
GRANT SELECT ON demo.goodsmaster TO 'manager';
<3> 查看角色权限
SHOW GRANTS FOR 'manager';
<4> 回收角色权限
REVOKE privileges ON tablename FROM 'rolename';
例:
REVOKE INSERT, UPDATE, DELETE ON school.* FROM 'school_write';
<5> 删除角色
如果你删除了角色,那么用户也就失去了通过这个角色所获得的所有权限
DROP ROLE role [,role2]...
例:
DROP ROLE 'school_read';
<6> 给用户赋予角色
角色创建并授权后,要赋给用户并处于 激活状态 才能发挥作用。给用户添加角色可使用GRANT语句
GRANT role [,role2,...] TO user [,user2,...];
例:
GRANT 'school_read' TO 'kangshifu'@'localhost';
<7> 激活角色
SET DEFAULT ROLE ALL TO 'kangshifu'@'localhost';
例:
SET DEFAULT ROLE ALL TO 'dev1'@'localhost';
对 所有角色永久激活
SET GLOBAL activate_all_roles_on_login=ON;
<8>撤销用户的角色
REVOKE role FROM user;
例:
REVOKE 'school_read' FROM 'kangshifu'@'localhost';
<9>设置强制角色
- 配置文件方式
mandatory_roles='role1,role2@localhost,r3@%.atguigu.com'
- 运行时设置
#系统重启后仍然 有效
SET PERSIST mandatory_roles = 'role1,role2@localhost,r3@%.example.com';
#系统重启后失效
SET GLOBAL mandatory_roles = 'role1,role2@localhost,r3@%.example.com';
163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
