乐趣区

关于java:Mysql-权限管理

前言

为了防止删库跑路的事件,权限治理和数据备份是必要。

机器环境

  • mysql 8.0.21 x86_64 MySQL Community Serve
  • centos 7

Mysql 权限治理

Mysql 8.0 能够创立角色,而后将操作数据库、表、索引等的权限赋予给角色,将将角色赋予给用户,也是咱们相熟的 RBAC 模型。

当然也能够将权限间接授予用户。

用户

创立用户

-- 用户名称是由 用户名和登录用户的 ip 一起组成的,% 代表任意 ip 
CREATE USER 'db_dev'@'localhost' IDENTIFIED BY 'Mysql@12345678';

批改用户明码

-- 批改用户明码
ALTER USER 'test'@'localhost' IDENTIFIED BY 'password';

锁定用户

-- 锁定用户不能登录
ALTER USER 'db_dev1'@'localhost' ACCOUNT LOCK;

-- 解锁
ALTER USER 'db_dev1'@'localhost' ACCOUNT UNLOCK;

权限

用户的权限信息保留在 information_schema.USER_PRIVILEGES。也能够在 mysql.user 看到受权信息。

为了防止曾经建设的链接的权限无奈刷新,须要搭建数据库的时候,权限就要设计好。

有局部权限是能够动静批改的,然而有的权限,在一个会话中是不能批改的。为了防止问题,须要数据库应用之前就要做好权限布局。

权限阐明

grant 用法

权限 阐明
ALL 所有的权限,除了 GRANT OPTION and PROXY.
ALTER 批改表构造,ALTER TABLE
CREATE 创立数据库和表
DROP 删除数据库、表、视图
GRANT OPTION GRANT 权限容许你把你本人领有的那些权限授给其余的用户。能够用于数据库、表和保留的程序。
DELETE 删除表数据
INDEX INDEX 权限容许你创立或删除索引。
INSERT 插入表数据
SELECT 查问表数据
UPDATE 更新表数据
PROCESS show processlist 命令显示在服务器内执行的线程的信息(即其它账户相干的客户端执行的语句)。
SHOW VIEW 查看视图
SHOW DATABASES 查看数据库列表,没有授予这个权限,只能查看到 information_schema
LOCK TABLES 锁表
RELOAD FLUSH 相干的操作
CREATE TABLESPACE 容许应用操作表空间和日志的语句,比方创立,删除,批改
CREATE TEMPORARY TABLES 创立长期表

受权

-- 对从 localhost 登录的用户 db_dev 的数据库:ceshi 中所有表(*)授予 SHOW DATABASES,SELECT,RELOAD 权限
GRANT SHOW DATABASES,SELECT,RELOAD ON ceshi.* TO 'db_dev'@'localhost';

-- 也能够针对某个表受权,`` 是为了解决关键字,当没有关键字能够 ceshi.test1 就能够
GRANT SELECT ON ceshi.`test1` TO 'db_dev'@'localhost';

-- 刷新权限信息, 有的权限是能够动静加载的。为了防止权限出题,每次都执行这个语句
FLUSH PRIVILEGES;

回收权限

-- ON 指定数据库. 表 
-- FROM 指定用户
REVOKE SHOW DATABASES,SELECT ON *.* FROM 'db_dev'@'localhost';
-- 刷新权限信息
FLUSH PRIVILEGES;

角色

应用数据库的人员可能有,开发,DBA,经营相干(只会查问数据),程序运行。

角色激活

给用户赋予角色之后,角色默认不激活的。用户能够在会话中激活用户赋予的角色。

也能够设置参数,让所有角色都激活,这样用户登录胜利,赋予的角色全选就能够应用了

-- 查看以后用户下应用了哪些角色
SELECT CURRENT_ROLE();

-- 登录之后激活定义的所有角色,给用户赋予哪些角色,就能够应用这些角色的权限
SET global activate_all_roles_on_login=ON;

-- 在会话中批改激活哪些角色
SET ROLE ops;

创立及删除角色

-- 开发 (dev),db(db),经营 (ops),程序运行 (app_run)
CREATE ROLE 'app_run', 'db', 'ops', 'dev';

-- 删除角色
DROP ROLE 'db', 'app_run';

给角色调配权限

  • 开发

开发个别会,创立数据库和表,crud,操作索引,批改表构造

drop 权限我倡议不要给

-- crud, 创立
GRANT SELECT, INSERT, UPDATE, DELETE,CREATE,CREATE VIEW,ALTER,SHOW DATABASES,SHOW VIEW,ALTER,INDEX,PROCESS,RELOAD,LOCK TABLES ON *.* TO 'dev';
  • db

db 个别领有所有权限

-- WITH GRANT OPTION 是领有给用户受权的权限
GRANT ALL PRIVILEGES ON *.* TO 'db' WITH GRANT OPTION;
  • 经营相干

根本都是查问语句

-- 或者指定某个具体数据库,或者表
GRANT SELECT,SHOW DATABASES,SHOW VIEW ON *.* TO 'ops';
  • 程序运行相干

为了应用 flyway 这种能够批改表构造和索引的组件。对权限赋予 CREATE,INDEX,ALTER.

DELETE 语句不要怕,当初 mybatis plus 相似的组件,都带有平安删除的校验,全表删除或者全表更新必须带条件。在肯定水平上防止删除表中所有数据。

GRANT SELECT, INSERT, UPDATE, DELETE,CREATE,CREATE VIEW,SHOW DATABASES,SHOW VIEW,ALTER,INDEX,RELOAD,LOCK TABLES,CREATE TEMPORARY TABLES ON *.* TO 'app_run';

给用户赋予角色

-- 给用户赋予 ops 角色
GRANT 'ops' TO 'db_dev'@'localhost';

撤销角色或者角色的权限

-- 从用户撤销某个角色
REVOKE ops FROM db_dev1@localhost;

-- 从角色中撤销某个权限
REVOKE SHOW VIEW ON *.* FROM 'ops';

-- 刷新权限
FLUSH PRIVILEGES;

查问用户的权限

-- 显示来自 localhost 登录的 test 用户
SHOW GRANTS FOR 'test'@'localhost';
SHOW GRANTS FOR 'root'@'%';

-- 来自某个角色 USEING 指定的角色的权限
SHOW GRANTS FOR 'read_user1'@'localhost' USING 'ops';

本文由 张攀钦的博客 http://www.mflyyou.cn/ 创作。可自在转载、援用,但需署名作者且注明文章出处。

如转载至微信公众号,请在文末增加作者公众号二维码。微信公众号名称:Mflyyou

退出移动版