MySQL數(shù)據(jù)庫(kù)的權(quán)限管理

Mysql權(quán)限系統(tǒng)非常重要，但同時(shí)又是一個(gè)很多開發(fā)者或管理者所忽略的。權(quán)限分配不但，將會(huì)造成難以挽回的悲慘后果。我之前所在一家公司，關(guān)于數(shù)據(jù)庫(kù)權(quán)限這塊就完全不重視，所有開發(fā)者都有線上系統(tǒng)的最高權(quán)限。想想看，如果哪天有其中一個(gè)人刪庫(kù)了，那么多人你知道是誰(shuí)弄的嗎？所以，大家一定要引起重視。

一般建議最高權(quán)限只會(huì)給一個(gè)人，這個(gè)人做為管理者，再去分配其他開發(fā)者對(duì)應(yīng)權(quán)限。開發(fā)階段本地的庫(kù)還好些，對(duì)于線上的庫(kù)，給予權(quán)限時(shí)要慎重。

權(quán)限認(rèn)證的原理

MySQL的權(quán)限認(rèn)證是通過(guò)兩個(gè)方面來(lái)認(rèn)證的。首先會(huì)進(jìn)行用戶的ip、用戶名及密碼校驗(yàn)，校驗(yàn)通過(guò)的用戶，才能連接上Mysql。當(dāng)連上后，用戶進(jìn)行任何操作時(shí)，Mysql都會(huì)對(duì)其所擁有的權(quán)限進(jìn)行校驗(yàn)，擁有該權(quán)限，才會(huì)執(zhí)行用戶請(qǐng)求的操作。否則，不執(zhí)行。

Mysql權(quán)限分類

MySQL的權(quán)限大致分為三類：

• 對(duì)數(shù)據(jù)的操作，比如增刪改查。

• 結(jié)構(gòu)的操作，比如創(chuàng)建庫(kù)，修改表結(jié)構(gòu)等。

• 管理方面的權(quán)限，比如創(chuàng)建用戶、分配權(quán)限等。

Mysql權(quán)限分配原則

• 給予最小權(quán)限，比如目前該用戶只需要看的權(quán)限且只需要看一個(gè)表時(shí)，那就不要去分配所有表的讀權(quán)限。只限制為一個(gè)表的權(quán)限，不要怕麻煩就給予所有表的讀權(quán)限。

• 創(chuàng)建用戶時(shí)一定要限制ip及設(shè)定足夠強(qiáng)度的密碼。

• 定期清理不需要的用戶，及回收那些不需要的權(quán)限。

賬號(hào)管理

創(chuàng)建賬號(hào)

mysql文檔里創(chuàng)建用戶的語(yǔ)法如下：

CREATE USER [IF NOT EXISTS]
    user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH resource_option [resource_option] ...]
    [password_option | lock_option] ...

參數(shù)有點(diǎn)多，別急，慢慢來(lái)通過(guò)例子來(lái)看。首先用最少的選項(xiàng)創(chuàng)建一個(gè)賬號(hào)。

# 創(chuàng)建一個(gè)無(wú)需密碼即可本地登錄的用戶
mysql> CREATE USER 'u1'@'localhost';
Query OK, 0 rows affected

# 創(chuàng)建一個(gè)需要密碼授權(quán)的用戶，但不限制ip
mysql> CREATE USER 'u2'@'%' identified by '321232';
# 注意，密碼必須使用引號(hào)，單引號(hào)或雙引號(hào)都行，但不加就出錯(cuò)。

# 如果不想使用明文的密碼，可以使用password
mysql> select password('111111');
+-------------------------------------------+
| password('111111')                        |
+-------------------------------------------+
| *FD571203974BA9AFE270FE62151AE967ECA5E0AA |
+-------------------------------------------+
1 row in set
mysql> CREATE USER 'u3'@'192.168.1.%' IDENTIFIED BY PASSWORD '*FD571203974BA9AFE270FE62151AE967ECA5E0AA';
Query OK, 0 rows affected

查看用戶列表

系統(tǒng)用戶列表是存放是mysql庫(kù)里的user表。

mysql> SELECT user,host,account_locked FROM mysql.user;
+---------------+-------------+----------------+
| user          | host        | account_locked |
+---------------+-------------+----------------+
| root          | localhost   | N              |
| mysql.session | localhost   | Y              |
| mysql.sys     | localhost   | Y              |
| u1            | localhost   | N              |
| u2            | %           | N              |
| u2            | localhost   | N              |
| u3            | 192.168.1.% | N              |
+---------------+-------------+----------------+
7 rows in set

刪除用戶

刪除用戶的語(yǔ)法如下：

DROP USER 用戶名@ip;

現(xiàn)在我們來(lái)刪除u2@'%'

mysql> drop user u2@'%';
Query OK, 0 rows affected

這樣u2用戶就被刪除了。

修改用戶賬號(hào)

語(yǔ)法如下：

rename user old@'oldip' to new@'newip';

案例如下：

mysql> RENAME USER u1@localhost to user1@'127.0.0.1';
Query OK, 0 rows affected

授權(quán)

學(xué)完了如何創(chuàng)建賬號(hào)及管理賬號(hào)后，我們來(lái)看看如何給用戶授權(quán)以及如何回收不需要的權(quán)限。

用戶授權(quán)

給用戶授權(quán)語(yǔ)法如下：

GRANT 權(quán)限 ON 數(shù)據(jù)庫(kù)名*表名 TO 用戶名@ip;

案例如下：

mysql> GRANT SELECT ON *.* TO 'u1'@'localhost' ; 
Query OK, 0 rows affected (0.00 sec) 
-- 全局級(jí)別授權(quán)   
mysql> GRANT ALL ON test.* TO 'u2'@'localhost'; 
Query OK, 0 rows affected (0.00 sec) 
-- 數(shù)據(jù)庫(kù)級(jí)別授權(quán)   
mysql> GRANT ALL ON test.student TO 'u3'@'localhost' WITH GRANT OPTION; 
-- 表級(jí)別授權(quán)

查看用戶的權(quán)限

給用戶授權(quán)后，我們來(lái)查看用戶是否已經(jīng)獲得到了這些權(quán)限。

回收用戶權(quán)限

當(dāng)發(fā)現(xiàn)給與的權(quán)限多了，那么就應(yīng)該及時(shí)回收這些權(quán)限?；厥諜?quán)限的語(yǔ)法和授權(quán)的語(yǔ)法非常像。

REVOKE 權(quán)限 ON 數(shù)據(jù)庫(kù)*表 FROM 用戶名@ip地址

以上就是MySQL權(quán)限及安全管理的詳細(xì)內(nèi)容，更多請(qǐng)關(guān)注億速云其它相關(guān)文章！