MySQL/MariaDB用户权限及权限治理
1、MySQL权限级别介绍
| 治理对象 | 权限阐明 |
|---|---|
| 全局 | 能够治理整个MySQL |
| 库 | 能够治理指定的数据库 |
| 表 | 能够治理指定数据库的指定表 |
| 字段 | 能够治理指定数据库的指定表的指定字段 |
权限存储在MySQL库的user, db, tables_priv, columns_priv, procs_priv这几个零碎表中,待MySQL实例启动后就加载到内存中。
2、查看用户权限
2.1、查看所有用户(用户名、给谁受权)
MariaDB [(none)]> SELECT user, host, authentication_string FROM mysql.user;+----------+--------------+-------------------------------------------+| user | host | authentication_string |+----------+--------------+-------------------------------------------+| root | localhost | || admin | localhost | || admin | % | *9D59E8AF06195817B4585B0045A6601BBE64259F || jeffrey | % | || jeffreys | localhost | || wang | % | || wang1 | localhost | || wang3 | 192.168.1.59 | || wang4 | localhost | || lyshark | localhost | || lyshark | % | |+----------+--------------+-------------------------------------------+11 rows in set (0.000 sec)2.2、查看单个用户所有状况
MariaDB [(none)]> SELECT * FROM mysql.user WHERE user='wang'\G*************************** 1. row *************************** Host: % User: wang Password: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257 Select_priv: Y Insert_priv: Y Update_priv: Y Delete_priv: Y Create_priv: Y Drop_priv: Y Reload_priv: Y Shutdown_priv: Y Process_priv: Y File_priv: Y Grant_priv: N References_priv: Y Index_priv: Y Alter_priv: Y Show_db_priv: Y Super_priv: Y Create_tmp_table_priv: Y Lock_tables_priv: Y Execute_priv: Y Repl_slave_priv: Y Repl_client_priv: Y Create_view_priv: Y Show_view_priv: Y Create_routine_priv: Y Alter_routine_priv: Y Create_user_priv: Y Event_priv: Y Trigger_priv: YCreate_tablespace_priv: Y Delete_history_priv: Y ssl_type: ssl_cipher: x509_issuer: x509_subject: max_questions: 0 max_updates: 0 max_connections: 0 max_user_connections: 0 plugin: authentication_string: password_expired: N is_role: N default_role: max_statement_time: 0.0000001 row in set (0.000 sec)\G 使每个字段打印到独自的行,也有’;'的作用。
Host: % # 受权用户,% 代表所有User: wang # 用户名authentication_string: *23AE809DDACAF96AF0FD78ED04B6A265E05AA257 # 明码,MD5加密Select_priv:确定用户是否能够通过SELECT命令抉择数据Insert_priv:确定用户是否能够通过INSERT命令插入数据Update_priv:确定用户是否能够通过UPDATE命令批改现有数据Delete_priv:确定用户是否能够通过DELETE命令删除现有数据Create_priv:确定用户是否能够创立新的数据库和表Drop_priv:确定用户是否能够删除现有数据库和表Reload_priv:确定用户是否能够执行刷新和从新加载MySQL所用各种外部缓存的特定命令,包含日志、权限、主机、查问和表Shutdown_priv:确定用户是否能够敞开MySQL服务器,将此权限提供给root账户之外的任何用户时,都该当十分审慎Process_priv:确定用户是否能够通过SHOWFile_priv:确定用户是否能够执行SELECT INTO OUTFILE和LOAD DATA INFILE命令Grant_priv:确定用户是否能够将曾经授予给该用户本人的权限再授予其余用户,例如,如果用户能够插入、抉择和删除foo数据库中的信息,并且授予了GRANT权限,则该用户就能够将其任何或全副权限授予零碎中的任何其余用户References_priv:目前只是某些将来性能的占位符,当初没有作用Index_priv:确定用户是否能够创立和删除表索引Alter_priv:确定用户是否能够重命名和批改表构造Show_db_priv:确定用户是否能够查看服务器上所有数据库的名字,包含用户领有足够拜访权限的数据库,能够思考对所有用户禁用这个权限,除非有特地不可抗拒的起因Super_priv:确定用户是否能够执行某些弱小的治理性能,例如通过KILL命令删除用户过程,应用SET GLOBAL批改全局MySQL变量,执行对于复制和日志的各种命令Create_tmp_table_priv:确定用户是否能够创立长期表Lock_tables_priv:确定用户是否能够应用LOCKExecute_priv:确定用户是否能够执行存储过程,此权限只在MySQL 5.0及更高版本中有意义Repl_slave_priv:确定用户是否能够读取用于保护复制数据库环境的二进制日志文件,此用户位于主零碎中,有利于主机和客户机之间的通信Repl_client_priv:确定用户是否能够确定复制从服务器和主服务器的地位Create_view_priv:确定用户是否能够创立视图,此权限只在MySQL 5.0及更高版本中有意义Show_view_priv:确定用户是否能够查看视图或理解视图如何执行,此权限只在MySQL 5.0及更高版本中有意义 Create_routine_priv:确定用户是否能够更改或放弃存储过程和函数,此权限是在MySQL 5.0中引入的 Alter_routine_priv:确定用户是否能够批改或删除存储函数及函数,此权限是在MySQL 5.0中引入的 Create_user_priv:确定用户是否能够执行CREATEEvent_priv:确定用户是否创立、批改和删除事件,这个权限是MySQL 5.1.6新增的Trigger_priv:确定用户是否创立和删除触发器,这个权限是MySQL 5.1.6新增的Create_tablespace_priv: 创立表的空间3、权限表
4、受权
4.1、格局:
GRANT [权限] ON [库.表] TO [用户名]@[IP] IDENTIFIED BY [明码] # WITH GRANT OPTION;GRANT命令阐明:
(1)ALL PRIVILEGES示意所有权限,也能够应用SELECT、UPDATE等权限。
(2)ON用来指定权限针对哪些库和表。
(3)*.*中后面的号用来指定数据库名,前面的号用来指定表名。
(4)TO示意将权限赋予某个用户。
(5)@后面示意用户,@前面接限度的主机,能够是IP、IP段、域名以及%,%示意任何中央。
(6)IDENTIFIED BY指定用户的登录明码。
(7)WITH GRANT OPTION这个选项示意该用户能够将本人领有的权限受权给他人。
留神:
在创立操作用户的时候不指定WITH GRANT OPTION选项会导致该用户不能应用GRANT命令创立用户或者给其它用户受权。
每次更新权限后记得刷新权限FLUSH PRIVILEGES;
备注:
应用GRANT反复给用户增加权限,权限叠加。
如先给用户增加一个SELECT权限,而后又给用户增加一个UPDATE权限,那么该用户就同时领有了SELECT和UPDATE权限。
4.2、受权示例
1、全局受权
新建一个用户,给与全副权限
MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO 'wang5'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;Query OK, 0 rows affected (0.000 sec)MariaDB [(none)]> SELECT user, host, authentication_string FROM mysql.user;+----------+--------------+-------------------------------------------+| user | host | authentication_string |+----------+--------------+-------------------------------------------+| root | localhost | || admin | localhost | || admin | % | *9D59E8AF06195817B4585B0045A6601BBE64259F || jeffrey | % | || jeffreys | localhost | || wang | % | || wang1 | localhost | || wang3 | 192.168.1.59 | || wang4 | localhost | || lyshark | localhost | || lyshark | % | || wang5 | % | |+----------+--------------+-------------------------------------------+12 rows in set (0.000 sec)2、单个数据库受权
MariaDB [(none)]> GRANT ALL PRIVILEGES ON mysql.* TO 'wang6'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;Query OK, 0 rows affected (0.000 sec)MariaDB [(none)]> SELECT user, host, authentication_string FROM mysql.user;+----------+--------------+-------------------------------------------+| user | host | authentication_string |+----------+--------------+-------------------------------------------+| root | localhost | || admin | localhost | || admin | % | *9D59E8AF06195817B4585B0045A6601BBE64259F || jeffrey | % | || jeffreys | localhost | || wang | % | || wang1 | localhost | || wang3 | 192.168.1.59 | || wang4 | localhost | || lyshark | localhost | || lyshark | % | || wang5 | % | || wang6 | % | |+----------+--------------+-------------------------------------------+13 rows in set (0.000 sec)3、单个数据库单个表受权
MariaDB [(none)]> GRANT ALL PRIVILEGES ON mysql.user TO 'wang7'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;Query OK, 0 rows affected (0.000 sec)4、单个数据库单个表受权某些字段受权
MariaDB [(none)]> GRANT SELECT(host, user) ON mysql.user TO 'wang8'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;Query OK, 0 rows affected (0.000 sec)这样做的话,表是打不开的,只能通过查问语句,查出对咱们凋谢的字段。
4、发出权限、删除用户
4.1、发出权限
REVOKE [权限] ON [库.表] FROM [用户名]@[IP];
MariaDB [(none)]> REVOKE SELECT(host, user) ON mysql.user FROM 'wang8'@'%';Query OK, 0 rows affected (0.000 sec)4.2、删除用户
DROP USER [用户名]@[IP];
MariaDB [(none)]> DROP USER IF EXISTS 'wang8'@'%';Query OK, 0 rows affected (0.000 sec)