MySQL中用戶(hù)與授權(quán)管理的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)MySQL中用戶(hù)與授權(quán)管理的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

一、前言

做為Mysql數(shù)據(jù)庫(kù)管理員管理用戶(hù)賬戶(hù)，是一件很重要的事，指出哪個(gè)用戶(hù)可以連接服務(wù)器，從哪里連接，連接后能做什么。Mysql從3.22.11開(kāi)始引入兩個(gè)語(yǔ)句來(lái)做這件事，GRANT語(yǔ)句創(chuàng)建Mysql用戶(hù)并指定其權(quán)限，而REVOKE語(yǔ)句刪除權(quán)限。CREATE和REVOKE語(yǔ)句影響4個(gè)表，

·      user 能連接服務(wù)器的用戶(hù)以及他們擁有的任何全局權(quán)限

·      db 數(shù)據(jù)庫(kù)級(jí)權(quán)限

·      tables_priv 表級(jí)權(quán)限

·      columns_priv 列級(jí)權(quán)限

還有第5個(gè)授權(quán)表host，但它不受GRANT和REVOKE的影響，下面我們看一下mysql數(shù)據(jù)庫(kù)中的所有表，

當(dāng)你對(duì)一個(gè)用戶(hù)發(fā)出一條GRANT語(yǔ)句時(shí)，在user表中為該用戶(hù)創(chuàng)建一條記錄。如果語(yǔ)句指定任何全局權(quán)限（管理權(quán)限或適用于所有數(shù)據(jù)庫(kù)的權(quán)限），這些也記錄在user表中。如果你指定數(shù)據(jù)庫(kù)、表和列級(jí)權(quán)限，他們被分別記錄在db、tables_priv和columns_priv表中。

二、創(chuàng)建用戶(hù)并授權(quán)

1.GRANT 語(yǔ)句的用法

GRANT語(yǔ)句的語(yǔ)法看上去像這樣,

GRANT privileges [columns] ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION;

注：紅顏色標(biāo)識(shí)出來(lái)的，都是可以定義的，下面我們來(lái)一個(gè)一個(gè)說(shuō)明！

2.權(quán)限分類(lèi) （privileges）

第一組：指定符適用于數(shù)據(jù)庫(kù)、表和列

·      ALTER 修改表和索引

·      CREATE 創(chuàng)建數(shù)據(jù)庫(kù)和表

·      DELETE 刪除表中已有的記錄

·      DROP 刪除數(shù)據(jù)庫(kù)和表

·      INDEX 創(chuàng)建或拋棄索引

·      INSERT 向表中插入新行

·      REFERENCE 未用

·      SELECT 檢索表中的記錄

·      UPDATE 修改現(xiàn)存表記錄

第二組：指定數(shù)據(jù)庫(kù)數(shù)管理權(quán)限

·      FILE 讀或?qū)懛?wù)器上的文件

·      PROCESS 查看服務(wù)器中執(zhí)行的線(xiàn)程信息或殺死線(xiàn)程

·      RELOAD 重載授權(quán)表或清空日志、主機(jī)緩存或表緩存

·      SHUTDOWN 關(guān)閉服務(wù)器

第三組權(quán)限特殊：ALL意味著“所有權(quán)限”，UASGE意味著無(wú)權(quán)限，即創(chuàng)建用戶(hù)，但不授予權(quán)限

·      ALL 所有；ALL PRIVILEGES“所有權(quán)限”  

·      USAGE 特殊的“無(wú)權(quán)限”權(quán)限

3.columns   
權(quán)限運(yùn)用的列，它是可選的，并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個(gè)列，應(yīng)該用逗號(hào)分開(kāi)它們。

4.what   
權(quán)限運(yùn)用的級(jí)別。權(quán)限可以是全局的（適用于所有數(shù)據(jù)庫(kù)和所有表）、特定數(shù)據(jù)庫(kù)（適用于一個(gè)數(shù)據(jù)庫(kù)中的所有表）或特定表的。可以通過(guò)指定一個(gè)columns字句是權(quán)限是列特定的。

5.user   
權(quán)限授予的用戶(hù)，它由一個(gè)用戶(hù)名和主機(jī)名組成。在MySQL中，你不僅指定誰(shuí)能連接，還有從哪里連接。這允許你讓兩個(gè)同名用戶(hù)從不同地方連接。MySQL讓你區(qū)分他們，并彼此獨(dú)立地賦予權(quán)限。    
MySQL中的一個(gè)用戶(hù)名就是你連接服務(wù)器時(shí)指定的用戶(hù)名，該名字不必與你的Unix登錄名或Windows名聯(lián)系起來(lái)。缺省地，如果你不明確指定一個(gè)名字，客戶(hù)程序?qū)⑹褂媚愕牡卿浢鳛镸ySQL用戶(hù)名。這只是一個(gè)約定。你可以在授權(quán)表中將該名字改為nobody，然后以nobody連接執(zhí)行需要超級(jí)用戶(hù)權(quán)限的操作。

6.password   
賦予用戶(hù)的口令，它是可選的。如果你對(duì)新用戶(hù)沒(méi)有指定IDENTIFIED BY子句，該用戶(hù)不賦給口令（不安全）。對(duì)現(xiàn)有用戶(hù)，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當(dāng)你用IDENTIFIED BY時(shí)，口令字符串用改用口令的字面含義，GRANT將為你編碼口令，不要象你用SET PASSWORD 那樣使用password()函數(shù)。

7.WITH GRANT OPTION子句是可選的。如果你包含它，用戶(hù)可以授予權(quán)限通過(guò)GRANT語(yǔ)句授權(quán)給其它用戶(hù)。你可以用該子句給與其它用戶(hù)授權(quán)的能力。

注：用戶(hù)名、口令、數(shù)據(jù)庫(kù)和表名在授權(quán)表記錄中是大小寫(xiě)敏感的，而主機(jī)名和列名不是。

三、GRANT語(yǔ)句的種類(lèi)

一般地，你可以通過(guò)詢(xún)問(wèn)幾個(gè)簡(jiǎn)單的問(wèn)題來(lái)識(shí)別GRANT語(yǔ)句的種類(lèi)：

·      誰(shuí)能連接，從那兒連接？

·      用戶(hù)應(yīng)該有什么級(jí)別的權(quán)限，他們適用于什么？

·      用戶(hù)應(yīng)該允許管理權(quán)限嗎？

1.誰(shuí)能連接，從那兒連接？

(1).你可以允許一個(gè)用戶(hù)從特定的或一系列主機(jī)連接。   

說(shuō)明：db.*意思是“db數(shù)據(jù)庫(kù)的所有表

(2).你可能有一個(gè)經(jīng)常外出并需要能從任何主機(jī)連接的用戶(hù)free。在這種情況下，你可以允許他無(wú)論從哪里連接：  

說(shuō)明：“%”字符起通配符作用，與LIKE模式匹配的含義相同。在上述語(yǔ)句中，它意味著“任何主機(jī)”。所以free和free@%等價(jià)。這是建立用戶(hù)最簡(jiǎn)單的方法，但也是最不安全的。    
(3).你可以允許一個(gè)用戶(hù)從一個(gè)受限的主機(jī)集合訪(fǎng)問(wèn)。例如，要允許mary從free.net域的任何主機(jī)連接，用一個(gè)%.free.net主機(jī)指定符：    

(4).如果你喜歡，用戶(hù)標(biāo)識(shí)符的主機(jī)部分可以用IP地址而不是一個(gè)主機(jī)名來(lái)給定。你可以指定一個(gè)IP地址或一個(gè)包含模式字符的地址，而且，從MySQL 3.23，你還可以指定具有指出用于網(wǎng)絡(luò)號(hào)的位數(shù)的網(wǎng)絡(luò)掩碼的IP號(hào)：    

說(shuō)明：第一個(gè)例子指出用戶(hù)能從其連接的特定主機(jī)，第二個(gè)指定對(duì)于C類(lèi)子網(wǎng)192.168.12的IP模式，而第三條語(yǔ)句中，192.168.12.0/24指定一個(gè)24位網(wǎng)絡(luò)號(hào)并匹配具有192.168.12頭24位的IP地址。

(5).如果你指定的用戶(hù)值報(bào)錯(cuò)，你可能需要使用引號(hào)（只將用戶(hù)名和主機(jī)名部分分開(kāi)加引號(hào)）。

2.用戶(hù)應(yīng)該有什么級(jí)別的權(quán)限和它們應(yīng)該適用于什么？

(1).你可以授權(quán)不同級(jí)別的權(quán)限，全局權(quán)限是最強(qiáng)大的，因?yàn)樗鼈冞m用于任何數(shù)據(jù)庫(kù)。要使free成為可做任何事情的超級(jí)用戶(hù)，包括能授權(quán)給其它用戶(hù)，發(fā)出下列語(yǔ)句：   

說(shuō)明：ON子句中的*.*意味著“所有數(shù)據(jù)庫(kù)、所有表”。從安全考慮，我們指定free只能從本地連接。限制一個(gè)超級(jí)用戶(hù)可以連接的主機(jī)通常是明智的，因?yàn)樗拗屏嗽噲D破解口令的主機(jī)。    
有些權(quán)限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理權(quán)限并且只能用"ON *.*"全局權(quán)限指定符授權(quán)。如果你愿意，你可以授權(quán)這些權(quán)限，而不授權(quán)數(shù)據(jù)庫(kù)權(quán)限。例如，下列語(yǔ)句設(shè)置一個(gè)flush用戶(hù)，他只能發(fā)出flush語(yǔ)句。這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會(huì)有用：

一般地，你想授權(quán)管理權(quán)限，吝嗇點(diǎn)，因?yàn)閾碛兴鼈兊挠脩?hù)可以影響你的服務(wù)器的操作。

(2).數(shù)據(jù)庫(kù)級(jí)權(quán)限適用于一個(gè)特定數(shù)據(jù)庫(kù)中的所有表，它們可通過(guò)使用ON db_name.*子句授予：  

說(shuō)明：第一條語(yǔ)句向free授權(quán)db數(shù)據(jù)庫(kù)中所有表的權(quán)限，第二條創(chuàng)建一個(gè)嚴(yán)格限制訪(fǎng)問(wèn)的用戶(hù)free（只讀用戶(hù)），只能訪(fǎng)問(wèn)db數(shù)據(jù)庫(kù)中的所有表，但只有讀取，即用戶(hù)只能發(fā)出SELECT語(yǔ)句。你可以列出一系列同時(shí)授予的各個(gè)權(quán)限。例如，如果你想讓用戶(hù)能讀取并能修改現(xiàn)有數(shù)據(jù)庫(kù)的內(nèi)容，但不能創(chuàng)建新表或刪除表，如下授予這些權(quán)限：GRANT SELECT,INSERT,DELETE,UPDATE ON db TO free@test.net INDETIFIED BY "123456";

(3).對(duì)于更精致的訪(fǎng)問(wèn)控制，你可以在各個(gè)表上授權(quán)，或甚至在表的每個(gè)列上。當(dāng)你想向用戶(hù)隱藏一個(gè)表的部分時(shí)，或你想讓一個(gè)用戶(hù)只能修改特定的列時(shí)，列特定權(quán)限非常有用。如：  

說(shuō)明：第一條語(yǔ)句授予對(duì)整個(gè)member表的讀權(quán)限并設(shè)置了一個(gè)口令，第二條語(yǔ)句增加了UPDATE權(quán)限，當(dāng)只對(duì)expiration列。沒(méi)必要再指定口令，因?yàn)榈谝粭l語(yǔ)句已經(jīng)指定了。    

(4).如果你想對(duì)多個(gè)列授予權(quán)限，指定一個(gè)用逗號(hào)分開(kāi)的列表。例如，對(duì)free用戶(hù)增加member表的地址字段的UPDATE權(quán)限，使用如下語(yǔ)句，新權(quán)限將加到用戶(hù)已有的權(quán)限中：    

說(shuō)明：通常，你不想授予任何比用戶(hù)確實(shí)需要的權(quán)限寬的權(quán)限。然而，當(dāng)你想讓用戶(hù)能創(chuàng)建一個(gè)臨時(shí)表以保存中間結(jié)果，但你又不想讓他們?cè)谝粋€(gè)包含他們不應(yīng)修改內(nèi)容的數(shù)據(jù)庫(kù)中這樣做時(shí)，發(fā)生了要授予在一個(gè)數(shù)據(jù)庫(kù)上的相對(duì)寬松的權(quán)限。你可以通過(guò)建立一個(gè)分開(kāi)的數(shù)據(jù)庫(kù)（如tmp）并授予開(kāi)數(shù)據(jù)庫(kù)上的所有權(quán)限來(lái)進(jìn)行。例如，如果你想讓來(lái)自test.net域中主機(jī)的任何用戶(hù)使用tmp數(shù)據(jù)庫(kù)，你可以發(fā)出這樣的GRANT語(yǔ)句：

在你做完之后，用戶(hù)可以創(chuàng)建并用tmp.tb_name形式引用tmp中的表（在用戶(hù)指定符中的""創(chuàng)建一個(gè)匿名用戶(hù)，任何用戶(hù)均匹配空白用戶(hù)名）。

3 用戶(hù)應(yīng)該被允許管理權(quán)限嗎？

你可以允許一個(gè)數(shù)據(jù)庫(kù)的擁有者通過(guò)授予數(shù)據(jù)庫(kù)上的所有擁有者權(quán)限來(lái)控制數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)，在授權(quán)時(shí)，指定WITH GRANT OPTION。例如：如果你想讓free能從big.free.com域的任何主機(jī)連接并具有sales數(shù)據(jù)庫(kù)中所有表的管理員權(quán)限，你可以用如下GRANT語(yǔ)句：   

在效果上WITH GRANT OPTION子句允許你把訪(fǎng)問(wèn)授權(quán)的權(quán)利授予另一個(gè)用戶(hù)。要注意，擁有GRANT權(quán)限的兩個(gè)用戶(hù)可以彼此授權(quán)。如果你只給予了第一個(gè)用戶(hù)SELECT權(quán)限，而另一個(gè)用戶(hù)有GRANT加上SELECT權(quán)限，那么第二個(gè)用戶(hù)可以是第一個(gè)用戶(hù)更“強(qiáng)大”。

四、撤權(quán)并刪除用戶(hù)   
要取消一個(gè)用戶(hù)的權(quán)限，使用REVOKE語(yǔ)句。REVOKE的語(yǔ)法非常類(lèi)似于GRANT語(yǔ)句，除了TO用FROM取代并且沒(méi)有INDETIFED BY和WITH GRANT OPTION子句：

REVOKE 語(yǔ)句的語(yǔ)法看上去像這樣,   
REVOKE privileges (columns) ON what FROM user;  

下面我們對(duì)紅色部分進(jìn)行具體說(shuō)明，  

1.user部分必須匹配原來(lái)GRANT語(yǔ)句的你想撤權(quán)的用戶(hù)的user部分。

2.privileges部分不需匹配，你可以用GRANT語(yǔ)句授權(quán)，然后用REVOKE語(yǔ)句只撤消部分權(quán)限。   
3.REVOKE語(yǔ)句只刪除權(quán)限，而不刪除用戶(hù)。即使你撤銷(xiāo)了所有權(quán)限，在user表中的用戶(hù)記錄依然保留，這意味著用戶(hù)仍然可以連接服務(wù)器。要完全刪除一個(gè)用戶(hù)，你必須用一條DELETE語(yǔ)句明確從user表中刪除用戶(hù)記錄，具體操作如下：

DELETE語(yǔ)句刪除用戶(hù)記錄，而FLUSH語(yǔ)句告訴服務(wù)器重載授權(quán)表。（當(dāng)你使用GRANT和REVOKE語(yǔ)句時(shí)，表自動(dòng)重載，而你直接修改授權(quán)表時(shí)不是）。

關(guān)于“MySQL中用戶(hù)與授權(quán)管理的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。