MySQL數(shù)據(jù)庫中訪問控制的實現(xiàn)原理是什么

本篇文章為大家展示了MySQL數(shù)據(jù)庫中訪問控制的實現(xiàn)原理是什么，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

MySQL 訪問控制實際上由兩個功能模塊共同組成，一個是負責(zé)“看守 MySQL  大門”的用戶管理模塊，另一個就是負責(zé)監(jiān)控來訪者每一個動作的訪問控制模塊。用戶管理模塊決定用戶是否能登陸數(shù)據(jù)庫，而訪問控制模塊則決定在數(shù)據(jù)庫中具體可以做的事。下面是一張  MySQL 中實現(xiàn)訪問控制的簡單流程圖。

1. 用戶管理

在 MySQL  中，用戶訪問控制部分的實現(xiàn)比較簡單，所有授權(quán)用戶都存放在一個系統(tǒng)表中：mysql.user，當(dāng)然這個表不僅僅存放了授權(quán)用戶的基本信息，還存放有部分細化的權(quán)限信息。用戶管理模塊需要使用的信息很少，主要就是Host，User，Password  這三項，都在 mysql.user 表中

2. 訪問控制

當(dāng)客戶端連接通過用戶管理模塊的驗證，可連接上 MySQL Server 之后，就會發(fā)送各種Query 和 Command 給 MySQL  Server，以實現(xiàn)客戶端應(yīng)用的各種功能。當(dāng) MySQL  接收到客戶端的請求之后，訪問控制模塊是需要校驗該用戶是否滿足提交的請求所需要的權(quán)限。權(quán)限校驗過程是從最大范圍的權(quán)限往最小范圍的權(quán)限開始依次校驗所涉及到的每個對象的每個權(quán)限。

在驗證所有所需權(quán)限的時候，MySQL 首先會查找存儲在內(nèi)存結(jié)構(gòu)中的權(quán)限數(shù)據(jù)，首先查找 Global Level 權(quán)限，如果所需權(quán)限在 Global  Level 都有定義(GRANT 或者 REVOKE)，則完成權(quán)限校驗(通過或者拒絕)，如果沒有找到所有權(quán)限的定義，則會繼續(xù)往后查找Database Level  權(quán)限，進行 Global Level 未定義的所需權(quán)限的校驗，如果仍然沒有能夠找到所有所需權(quán)限的定義，MySQL 會繼續(xù)往更小范圍的權(quán)限定義域查找，也就是  Table Level，最后則是 Column Level 或者 Routine Level。

3. 五個授權(quán)表

mysql數(shù)據(jù)庫包含五個主要的授權(quán)表。

• user表：包含用戶帳戶和全局權(quán)限列。MySQL使用user表來接受或拒絕來自主機的連接。  在user表中授予的權(quán)限對MySQL服務(wù)器上的所有數(shù)據(jù)庫都有效。

• db表：包含數(shù)據(jù)庫級權(quán)限。MySQL使用數(shù)據(jù)庫表來確定用戶可以訪問哪個數(shù)據(jù)庫以及哪個主機。在db表中的數(shù)據(jù)庫級授予的特權(quán)適用于數(shù)據(jù)庫，所有對象屬于該數(shù)據(jù)庫，例如表，觸發(fā)器，視圖，存儲過程等。

• table_priv和columns_priv表：包含表級和列級權(quán)限。  在table_priv表中授予的權(quán)限適用于表及其列，而在columns_priv表中授予的權(quán)限僅適用于表的特定列。

• procs_priv表：包含存儲函數(shù)和存儲過程的權(quán)限。

4. 參考訪問授權(quán)策略

這里附一份我平時做mysql數(shù)據(jù)庫授權(quán)的策略，僅供參考。

//針對root賬號 set global validate_password_policy=0; --設(shè)置判斷密碼的標(biāo)準(zhǔn)基于密碼的長度（validate_password_length） grant all privilges on *.* to root@'localhost' identified by 'password'; grant all privilges on *.* to root@'%' identified by 'password'; --根據(jù)具體情況決定是否開啟  //針對日常運維賬號 grant select, insert, update, delete on database_name.* to hwb@'%' identified by 'password'; grant create,alter,drop,references on database_name.* to hwb@'%';  grant create temporary tables on database_name.* to hwb@'%';  grant index on database_name.* to hwb@'%';  grant create view on database_name.* to hwb@'%';  grant show view on database_name.* to hwb@'%';  grant create routine on database_name.* to hwb@'%'; -- 查看存儲過程、函數(shù)狀態(tài)  grant alter routine on database_name.* to hwb@'%'; --刪除存儲過程、函數(shù) grant execute on database_name.* to hwb@'%'; grant all privileges on mysql.* to hwb@'%' identified by 'password'; --不增加不能對其他用戶的函數(shù)或存儲過程做操作  //針對應(yīng)用連接賬號 grant all privileges on database_name.* to hwb2@'應(yīng)用服務(wù)器IP' identified by 'password'; grant all privileges on mysql.* to hwb2@'應(yīng)用服務(wù)器IP'; --不增加無法對其他用戶的函數(shù)或存儲過程做操作  //針對只讀賬號（導(dǎo)出數(shù)據(jù)庫權(quán)限） grant select on database_name.* to hwbread@'%' identified by 'hwbread123'; grant select on mysql.* to hwbread@'%'; grant show view on database_name.* to hwbread@'%'; grant file on *.* to hwbread@'%'; --if database_name.* will ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES

上述內(nèi)容就是MySQL數(shù)據(jù)庫中訪問控制的實現(xiàn)原理是什么，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。