mysql权限系统服务_数据库服务运维（Mysql的权限和账户管理）

释放双眼，带上耳机，听听看~！

1. 概述

关于账户权限的信息被存储在系统数据库 mysql 的 user, db, tables_priv, columns_priv 以及 procs_priv 表中。

包含的相关信息如下：

user 用户账户，全局权限和其它非特权列

db 数据库级别的特权

tables_priv 表级特权

columns_priv 列级特权

procs_priv 存储过程和函数权限

2.user

对于 MySQL 用户来说，账户相关的信息被存储在 mysql 数据中的数据表 user 中:

从表中可以知道 user 表是由 Host 和 User 项一起作为主键的，即在 MySQL 中，主机名和用户名一起作为标识来识别用户。

在第一节内容中，讲述了如何连接到 MySQL 服务器，而在对服务器进行访问时，会有一个连接验证的阶段。这个的验证阶段就需要主机名，用户名以及密码等内容进行验证。

这里需要特别强调，主机名和用户名一起作为标识。例如有一台服务器，这时我们有两个客户端分别为 A 和 B。两个客户端都使用用户名为 shiyanlou 的用户登陆，但是由于它们是不同的客户端主机，即使两者使用的用户名相同，它们在连接到服务器端时会被当作两个不同的用户

表中的 Select_priv，Insert_priv，Update_priv等代表该用户是否拥有全局相应操作的特权(privilege)，缩写为 priv，即查询，插入，更新的特权。

然后我们查看用户表 mysql.user 的部分信息，如下所示：

可以看到此时系统中的用户都为 root 用户，拥有全局的查询特权。

3.db

而除了全局特权之外，我们还可以指定数据库级别的特权，如下所示：

对于 mysql.db 表来说，Host, Db, User 三者作为表的主键，描述的是用户与数据库的权限。

即用户是否具有对该数据库进行查找，插入，删除等操作的特权。

4.表和列

由于各个表所描述的权限所处的层级不一样，因此一些具体的操作权限也会有区别。因为在上面的内容中，我们并未列出表中的全部字段，所以看不到这一区别。

除了在全局和数据库级别上进行访问权限的限制之外，MySQL 中还提供表级和列级的权限控制，如下所示，分别为 tables_priv 和 colums_priv 的列：

mysql> desc mysql.tables_priv;

mysql> desc mysql.columns_priv;

5.root用户

在实验楼的在线实验环境中，我们并未对 root 用户设置相应的密码，例如刚刚我们查询的 mysql.user 表的信息：

如上图所示，前四个用户为 MySQL 创建的 root 用户，并且 localhost,ubuntu,127.0.0.1和 IPV6 格式的 ::1 都是指向的同一个地址。它们的密码一栏都为空，因为实验环境中并未设置 root 用户的密码。

这里之所以会创建四个用户，是由于实验环境中的 MySQL 版本为 5.5 。而在 5.7 中只会创建一个 root@localhost 的用户。

而最后一个 debian-sys-maint 则为 ubuntu 系统创建的用户，为了方便管理 MySQL 服务在 Ubuntu 中的运行。

除此之外，还可能存在匿名账户，在实验环境中并不存在。

对于没有设置密码的用户，我们使用其连接 MySQL 服务时，不需要使用 -p 参数，如下所示：

6.创建账户

创建账户，一般有两种方式：

使用 MySQL 提供的 CREATE USER 和 GRANT 等语句。(推荐使用的方式)

通过修改 mysql.user 表创建账户

。 CREATE USER

对于创建用户的详细语法较为复杂，这里没有全部列举。

CREATE USER [IF NOT EXISTS]

user IDENTIFIED BY ‘password’;

user 为账户名称，合法的语法为 ‘user_name’@’host_name’，例如 root@localhost

如下所示，我们创建一个名为 syl001@localhost 的账户，密码为 wanneng:

mysql> CREATE USER syl001@localhost IDENTIFIED BY “wanneng”; Query OK, 0 rows affected (0.26 sec)

查询 mysql.user 表，查看 syl001 用户：

直接修改 mysql.user 表

如下所示，我们直接使用 mysql.user 表进行操作，插入一条数据：

上所示，可以看到 syl002 用户添加成功，但是 password 字段显示的是由我们指定的密码 wanneng ，不过这样插入的用户数据并不合法，因为密码字段并没有经过 MySQL 相应的处理，所以使用 wanneng 这个密码和用户名并不能进行合法登录。

7.删除用户

删除用户的语法为：

DROP USER [IF EXISTS] user [, user] …

例如，删除刚刚创建的 syl002@localhost 账户：

mysql> DROP USER “syl002″@”localhost”; Query OK, 0 rows affected (0.00 sec)

此时，再次查看 mysql.user 表，可以发现 syl002@localhost 已经被删除。

8 修改密码

修改用户的密码，由于版本的差异，在 5.7.6 之后，需要使用如下语法： ALTER USER user IDENTIFIED BY ‘new_password’;

在 5.7.6 之前，即实验环境中，使用：

SET PASSWORD FOR user = PASSWORD(‘new_password’);

如下所示，我们为 root 用户设置密码为 123456:

mysql> SET PASSWORD FOR “root”@”localhost” = PASSWORD(“123456”); Query OK, 0 rows affected (0.00 sec)

这时，我们再次查询 mysql.user 表的数据:

需要说明的是，如果在安装 MySQL 的时候分配了 root 密码，那么前四个由 MySQL 创建的用户的密码就会是一样的。

9.授权

在 MySQL 中，我们经常会接触到的有关权限的语句： GRANT 和 REVOKE，它们分别为用户授权和撤销授权。

而在 GRANT 语句中指定的账户不存在时，GRANT 会隐式的创建它。

授权的语法大致如下：

priv_type 代表的是特权权限，部分内容如下图所示，

ALL 代表所有的权限，其它权限都对应着 mysql 数据库的 user,db 等表中的内容。而可选的 [(column_list)] 用于定义了列级权限时使用。

priv_level 代表的是特权级，具体含义如下所示：

*.* 代表全局，即所有的数据库以及数据库中所有的内容

db_name.* 代表数据库，即数据库所有的内容

db_name.tbl_name 即数据库中指定的表

tbl_name 未指定数据库，为默认数据库中的表

db_name.routine_name 存储过程的权限(未涉及)

对于创建的用户 syl001 来说，此时未授予其任何权限。

如下示例：

这时，我们新打开一个终端，避免后面来回切换用户。

然后换到 root 用户的终端，授予其访问 test 表的 name 列的插入和更新的权限。

需要注意的是，如果给予了用户全局的权限，尽管其具备不低于全局的特权级别，如某个数据库的权限，该用户对于该数据库的操作也会被执行。

10.撤销授权

对应 GRANT，撤销授权的语法为 REVOKE:

REVOKE

priv_type [(column_list)]

[, priv_type [(column_list)]] …

ON priv_level FROM user [, user] …

如下示例，撤销 syl001 对于 shiyanlou002.test 表中 name 列的插入权限。需要切换到 root 用户登录的终端：

mysql> REVOKE INSERT(name) ON shiyanlou002.test FROM "syl001"@"localhost"; Query OK, 0 rows affected (0.00 sec)

到 syl001 用户的终端执行。