数据库
首页 > 数据库> > Mysql 用户权限管理

Mysql 用户权限管理

作者:互联网

Mysql 用户权限管理 

  分类: MySQL undefined

1. MySQL 权限介绍

mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表,我当前的版本mysql 5.7.22 。

mysql权限表的验证过程为:

  1. 先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。

  2. 通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。

1.1 MySQL 权限级别

分为: 
全局性的管理权限: 作用于整个MySQL实例级别 
数据库级别的权限: 作用于某个指定的数据库上或者所有的数据库上 
数据库对象级别的权限:作用于指定的数据库对象上(表、视图等)或者所有的数据库对象上

 

权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中

查看mysql 有哪些用户:

1 mysql> select user,host from mysql.user;

  

来看root 用户在权限系统表中的数据

1 2 3 4 5 6 7 8 mysql> use mysql; mysql> select * from user where user='root' and host='localhost'\G;  #所有权限都是Y ,就是什么权限都有 mysql> select * from db where user='root' and host='localhost'\G;  # 没有此条记录 mysql> select * from tables_priv where user='root' and host='localhost';  # 没有此条记录   mysql> select * from columns_priv where user='root' and host='localhost'# 没有此条记录   mysql> select * from procs_priv where user='root' and host='localhost'# 没有此条记录

  

上面说过:权限的验证过程

 

查看root@’localhost’用户的权限

1 2 3 4 5 6 7 8 mysql> show grants for root@localhost; +---------------------------------------------------------------------+ | Grants for root@localhost                                           | +---------------------------------------------------------------------+ | GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION | | GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION        | +---------------------------------------------------------------------+ 2 rows in set (0.00 sec)

  

2. MySQL 权限详解

 

2.1 系统权限表

User表:存放用户账户信息以及全局级别(所有数据库)权限,决定了来自哪些主机的哪些用户可以访问数据库实例,如果有全局权限则意味着对所有数据库都有此权限 
Db表:存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库 
Tables_priv表:存放表级别的权限,决定了来自哪些主机的哪些用户可以访问数据库的这个表 
Columns_priv表:存放列级别的权限,决定了来自哪些主机的哪些用户可以访问数据库表的这个字段 
Procs_priv表:存放存储过程和函数级别的权限

最重要的还是user表

 

2.1.1 User和 db 权限表的结构
表名 user db
范围列 Host Host
  User Db
    User
权限列 Select_priv Select_priv
  Insert_priv Insert_priv
  Update_priv Update_priv
  Delete_priv Delete_priv
  Index_priv Index_priv
  Alter_priv Alter_priv
  Create_priv Create_priv
  Drop_priv Drop_priv
  Grant_priv Grant_priv
  Create_view_priv Create_view_priv
  Show_view_priv Show_view_priv
  Create_routine_priv Create_routine_priv
  Alter_routine_priv Alter_routine_priv
  Execute_priv Execute_priv
  Trigger_priv Trigger_priv
  Event_priv Event_priv
  Create_tmp_table_priv Create_tmp_table_priv
  Lock_tables_priv Lock_tables_priv
  References_priv References_priv
  Reload_priv  
  Shutdown_priv  
  Process_priv  
  File_priv  
  Show_db_priv  
  Super_priv  
  Repl_slave_priv  
  Repl_client_priv  
  Create_user_priv  
  Create_tablespace_priv  
安全专栏 ssl_type  
  ssl_cipher  
  x509_issuer  
  x509_subject  
  plugin  
  authentication_string  
  password_expired  
  password_last_changed  
  password_lifetime  
  account_locked  
资源控制列 max_questions  
  max_updates  
  max_connections  
  max_user_connections  

User权限表结构中的特殊字段:

在mysql 5.7 以前在user表有password 这个字段。

2.1.2 Tables_priv和columns_priv权限表结构
表名 tables_priv columns_priv
范围列 Host Host
  Db Db
  User User
  Table_name Table_name
    Column_name
权限列 Table_priv Column_priv
  Column_priv  
其他列 Timestamp Timestamp
  Grantor  

Tables_priv和columns_priv权限值

Table Name Column Name Possible Set Elements
tables_priv Table_priv 'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter', 'Create View', 'Show view', 'Trigger'
tables_priv Column_priv 'Select', 'Insert', 'Update', 'References'
columns_priv Column_priv 'Select', 'Insert', 'Update', 'References'
procs_priv Proc_priv 'Execute', 'Alter Routine', 'Grant'
2.1.3 procs_priv权限表结构
Table Name procs_priv
Scope columns Host
  Db
  User
  Routine_name
  Routine_type
Privilege columns Proc_priv
Other columns Timestamp
  Grantor

系统权限表字段长度限制表

Column Name Maximum Permitted Characters
HostProxied_host 60
UserProxied_user 32
Password 41
Db 64
Table_name 64
Column_name 64
Routine_name 64

权限认证中的大小写敏感问题

 

2.2 用户权限信息管理

2.2.1 查看用户权限信息

查看MYSQL有哪些用户

1 mysql> select user,host from mysql.user;

  

查看已经授权给用户的权限信息 
例如root

1 mysql> show grants for root@'localhost';

  

查看用户的其他非授权信息

1 mysql> show create user root@'localhost';

  

 

 

2.2.2 用户组成

MySQL的授权用户由两部分组成: 用户名和登录主机名

 

 

User值 Host 值 允许的连接
'fred' 'h1.example.net' fred,连接 h1.example.net
'' 'h1.example.net' 任何用户,从中连接 h1.example.net
'fred' '%' fred,从任何主机连接
'' '%' 任何用户,从任何主机连接
'fred' '%.example.net' fred,从example.net域中的任何主机连接
'fred' 'x.example.%' fred,从连接 x.example.netx.example.com, x.example.edu,等; 这可能没用
'fred' '198.51.100.177' fred,从主机与IP地址连接 198.51.100.177
'fred' '198.51.100.%' fred,从198.51.100C类子网中的任何主机连接
'fred' '198.51.100.0/255.255.255.0' 与前面的示例相同
2.2.3 修改用户权限

 

2.2.4 创建 mysql 用户

有两种方式创建MySQL授权用户

  1. 执行create user/grant命令(推荐方式)

  2. 通过insert语句直接操作MySQL系统权限表

1 2 3 4 5 6 7 8 9 10 # 创建finley 这只是创建用户并没有权限 mysql> CREATE USER 'finley'@'localhost' IDENTIFIED BY 'some_pass'; # 把finley 变成管理员用户 mysql> GRANT ALL PRIVILEGES ON *.* TO 'finley'@'localhost' WITH GRANT OPTION; #创建用户并赋予RELOAD,PROCESS权限 ,在所有的库和表上 mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost' identified by '123456';   # 创建keme用户,在test库,temp表, 上的id列只有select 权限 mysql> grant select(id) on test.temp to keme@'localhost' identified by '123456';

  

2.2.4 回收 mysql 权限

通过revoke命令收回用户权限,回收的时候看一下这个用户有哪些权限然后回收 
我对admin 用户做测试

1 2 3 mysql> show grants for admin@'localhost'; mysql> select user,host from mysql.user; mysql> revoke PROCESS ON *.* FROM admin@'localhost';

 

 

 2.2.5 删除 mysql 用户

通过执行drop user命令删除MySQL用户 
还可以通过系统权限表删除(不建议)

1 mysql> drop user admin@'localhost';

  

2.2.6 设置MySQL用户资源限制
2.2.7 修改 mysql 用户密码

修改用户密码的方式包括:

1 2 3 4 mysql> ALTER USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass'; mysql> SET PASSWORD FOR 'jeffrey'@'localhost' = PASSWORD('mypass'); mysql> GRANT USAGE ON *.* TO 'jeffrey'@'localhost' IDENTIFIED BY 'mypass'; shell> mysqladmin -u user_name -h host_name password "new_password"

  

创建用户时指定密码

1 mysql> CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';

  

 

 修改当前会话本身用户密码的方式包括:

1 2 mysql> ALTER USER USER() IDENTIFIED BY 'mypass'; mysql> SET PASSWORD = PASSWORD('mypass');

  

2.2.8 设置MySQL用户密码过期策略

设置系统参数default_password_lifetime作用于所有的用户账户

1 2 3 ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE NEVER; 密码不过期 ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE DEFAULT; 默认过期策略

  

手动强制某个用户密码过期

1 ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE;
2.2.9 mysql 用户 lock

通过执行create user/alter user命令中带account lock/unlock子句设置用户的lock状态

Create user语句默认的用户是unlock状态

1 2 # 创建的时候给用户锁定 mysql> create user abc2@localhost identified by 'mysql' account lock;

  

Alter user语句默认不会修改用户的lock/unlock状态

1 2 # 修改用户为unlock mysql> alter user abc2@'localhost' account unlock;

  

当客户端使用lock状态的用户登录MySQL时,会收到如此报错 
Access denied for user ‘user_name’@’host_name’. 
Account is locked.

标签:Mysql,用户,user,mysql,权限,localhost,priv
来源: https://www.cnblogs.com/wintershen/p/15908039.html