grant是用来给用户赋权的。有的操作文档里说grant之后要马上跟着执行一个flush privileges命令,才能是赋权语句生效。
实际真的是这样吗?
全局权限
grant all privileges on *.* to 'ua'@'%' with grant option;
这个命令做了两个动作:
- 磁盘上,将mysql.user表里,用户' ua' @' %' 这一行的所有表示权限的字段的值都修改为'Y';
- 内存里,从数组acl_users中找到这个用户对应的对象,将assess值(权限位)修改为二进制的“全1”。
通过分析可以知道:
- grant命令对于全局权限,同时更新了磁盘和内存。命令完成后即时生效,接下来创建的连接会使用心得权限。
- 对于一个已经存在的连接,它的全局权限不受grant命令的影响。
如果要收回grant语句赋予的权限:
revoke all privileges on *.* from 'ua'@'%';
两个动作:
- 磁盘上,将mysql.user表里,用户' ua' @' %'这一行的所有表示权限的字段的值都修改为“N”;
- 内存里,从数组acl_users中找到这个用户对应的对象,将access的值改为0。
db权限
库级别的权限定义
如果要让用户ua拥有db1的所有权限:
grant all privileges on db1.* to 'ua'@'%' with grant option;
基于库的权限记录保存在mysql.db表中,在内存里则保存在数组acl_dbs中。这条命令做了两个动作:
- 磁盘上,往mysql.db表中插入了一行记录,所有权限位字段设置为"Y";
- 内存里,增加一个对象到数组acl_dbs中,这个对象的权限位为"全1"。
grant修改db权限的时候,是同时对磁盘和内存生效的。
表权限和列权限
表权限定义放在表mysql.tables_priv中
列权限定义放在表mysql.columns_priv中
这两类权限,组合起来存放在内存的hash结构column_priv_hash中。
命令如下:
create table db1.t1(id int, aint);
grant all privileges on db1.t1 to 'ua'@'%' with grant option;
grant select(id),insert (id,a) on mydb.mytb1 to 'ua'@'%' with grant option;
grant的时候都会修改数据表,同样也会同步修改内存中的hash结构。
因此,这两类权限的操作,也会马上影响到已经存在的连接。
就是说,grant语句是即时生效的。
flush privileges命令会清空acl_users数组,然后从mysql.user表中读取数据重新加载,重新构造一个acl_users数组。
同样,对于db权限,表权限和列权限,MySQL也做了这样的处理。
因此,正常情况下,grant命令之后,没必要跟着执行flush privileges命令。
flush privileges使用场景
当数据表中的权限数据跟内存中的权限数据不一致的时候,flush privileges语句可以用来重建内存数据,达到一致状态。
这种不一致往往是由不规范的操作导致的,比如直接用DML语句操作系统权限表。
这个不一致也可能会导致更“诡异的现象发生”:
由于在T3时刻直接删除了数据表的记录,而内存的数据还存在,这就导致了:
- T4时刻给用户ua赋权限失败,因为mysql.user表中找不到这行记录;
- 而T5时刻要重新创建这个用户也不行,因为在做内存判断的时候,会认为这个用户还存在。
上一篇:41 | 怎么最快的复制一张表
下一篇:43 | 要不要使用分区表