1. 技术文章
  2. Mysql系列 - 第3天:管理员必备技能

Mysql系列 - 第3天:管理员必备技能

爱⌒轻易说出口 提交于 2020-03-11 00:44:37

Mysql权限工作原理

mysql是如何来识别一个用户的呢?

mysql为了安全性考虑,采用主机名+用户名来判断一个用户的身份,因为在互联网中很难通过用户名来判断一个用户的身份,但是我们可以通过ip或者主机名判断一台机器,某个用户通过这个机器过来的,我们可以识别为一个用户,所以mysql中采用用户名+主机名来识别用户的身份。当一个用户对mysql发送指令的时候,mysql就是通过用户名和来源(主机)来断定用户的权限。

Mysql权限验证分为2个阶段:

阶段1:连接数据库,此时mysql会根据你的用户名及你的来源(ip或者主机名称)判断是否有权限连接
阶段2:对mysql服务器发起请求操作,如create table、select、delete、update、create index等操作,此时mysql会判断你是否有权限操作这些指令

权限生效时间

用户及权限信息放在库名为mysql的库中,mysql启动时,这些内容被读进内存并且从此时生效,所以如果通过直接操作这些表来修改用户及权限信息的,需要重启mysql或者执行flush privileges;才可以生效。
用户登录之后,mysql会和当前用户之间创建一个连接,此时用户相关的权限信息都保存在这个连接中,存放在内存中,此时如果有其他地方修改了当前用户的权限,这些变更的权限会在下一次登录时才会生效。

查看mysql中所有用户

在这里插入图片描述

创建用户

提前说:每次操作完用户、角色、权限后,一定要操作更新权限
本质上的作用是将当前user和privilige表中的用户信息/权限设置从mysql库(MySQL数据库的内置库)中提取到内存里

create user ‘{用户名}’@’{主机地址}’ identified with {身份验证插件类型} by ‘{密码}’;
说明
主机名默认值为%,表示这个用户可以从任何主机连接mysql服务器
密码可以省略,表示无密码登录
exp1
不指定主机名时,表示这个用户可以从任何主机连接mysql服务器
在这里插入图片描述
exp2
test的主机为localhost表示本机,此用户只能登陆本机的mysql
在这里插入图片描述
exp3:
test4可以从192.168.11段的机器连接mysql 指定ip
在这里插入图片描述

修改密码

方式1:通过管理员修改密码
SET PASSWORD FOR ‘用户名’@‘主机’ = PASSWORD(‘密码’);

方式2:create user 用户名[@主机名] [identified by ‘密码’];
set password = password(‘密码’);

方式3:通过修改mysql.user表修改密码
use mysql;
update user set authentication_string = password(‘321’) where user = ‘test1’ and host = ‘%’;
flush privileges;
注意:
通过表的方式修改之后,需要执行flush privileges;才能对用户生效。

给用户授权

创建用户之后,需要给用户授权
grant privileges ON database.table TO ‘username’[@‘host’] [with grant option]
grant
命令说明:
priveleges (权限列表),可以是all,表示所有权限,也可以是select、update等权限,多个权限之间用逗号分开。
ON 用来指定权限针对哪些库和表,格式为数据库.表名 ,点号前面用来指定数据库名,点号后面用来指定表名,. 表示所有数据库所有表。
TO 表示将权限赋予某个用户, 格式为username@host,@前面为用户名,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。
WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。注意:经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其它用户授权。
备注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加一个select权限,然后又给用户添加一个insert权限,那么该用户就同时拥有了select和insert权限。

exp1:
给test1授权可以操作所有库所有权限,相当于dba
在这里插入图片描述
exp2:
test1可以对seata库中所有的表执行select
在这里插入图片描述
exp3:
test1可以对seata库中所有的表执行select、update
在这里插入图片描述

查看用户据有那些权限

show grants for ‘用户名’[@‘主机’]
主机可以省略,默认值为%,
exp1:
在这里插入图片描述

撤销权限

revoke privileges ON database.table FROM ‘用户名’[@‘主机’];

删除用户

方式1:
drop user ‘用户名’[@‘主机’]
在这里插入图片描述
方式2 :
通过删除mysql.user表数据的方式删除
delete from user where user=‘用户名’ and host=‘主机’;
flush privileges;

授权原则

  • 只授予能满足需要的最小权限,防止用户干坏事,比如用户只是需要查询,那就只给select权限就可以了,不要给用户赋予update、insert或者delete权限

  • 创建用户的时候限制用户的登录主机,一般是限制成指定IP或者内网IP段

  • 初始化数据库的时候删除没有密码的用户,安装完数据库的时候会自动创建一些用户,这些用户默认没有密码

  • 为每个用户设置满足密码复杂度的密码

  • 定期清理不需要的用户,回收权限或者删除用户

总结

  • 通过命令的方式操作用户和权限不需要刷新,下次登录自动生效
  • 通过操作mysql库中表的方式修改、用户信息,需要调用flush privileges;刷新一下,下次登录自动生效
  • mysql识别用户身份的方式是:用户名+主机
  • 本文中讲到的一些指令中带主机的,主机都可以省略,默认值为%,表示所有机器
  • mysql中用户和权限的信息在库名为mysql的库中
标签
mysql
mysql创建数据库
mysql修改密码
用户名
select
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!