TiDB 用户账户管理
用户名和密码
TiDB 将用户账户存储在 mysql.user 系统表里面。每个账户由用户名和 host 作为标识。每个账户可以设置一个密码。
通过 MySQL 客户端连接到 TiDB 服务器,通过指定的账户和密码登录:
mysql --port 4000 --user xxx --password
例:
使用缩写的命令行参数则是:
mysql -P 4000 -u xxx -p
例:
添加用户
添加用户有两种方式:
- 通过标准的用户管理的 SQL 语句创建用户以及授予权限,比如
CREATE USER和GRANT。 - 直接通过
INSERT、UPDATE和DELETE操作授权表。
推荐使用第一种方式。第二种方式修改容易导致一些不完整的修改,因此不推荐。还有另一种可选方式是使用第三方工具的图形化界面工具。
CREATE USER [IF NOT EXISTS]
user [auth_spec] [, user [auth_spec]] ...
auth_spec: {
IDENTIFIED BY 'auth_string'
| IDENTIFIED BY PASSWORD 'hash_string'
}
IDENTIFIED BY ‘auth_string’:设置登录密码时,auth_string会被 TiDB 经过加密存储在
mysql.user表中。IDENTIFIED BY PASSWORD ‘hash_string’:设置登录密码,hash_string是一个类似于
*EBE2869D7542FCE37D1C9BBC724B97BDE54428F1的 41 位字符串,会被 TiDB 直接存储在mysql.user表中,该字符串可以通过SELECT password(‘auth_string’)加密得到。
CREATE USER 'test'@'127.0.0.1' IDENTIFIED BY 'xxx'; #test用户名 127.0.0.1允许访问的IP xxx密码
TiDB 的用户账户名由一个用户名和一个主机名组成。账户名的语法为 ‘user_name’@‘host_name’。
user_name大小写敏感。host_name可以是一个主机名或 IP 地址。主机名或 IP 地址中允许使用通配符%和_。例如,名为‘%’
的主机名可以匹配所有主机,‘192.168.1.%’可以匹配子网中的所有主机。
host 支持模糊匹配,比如:
CREATE USER 'test'@'192.168.100.%';
允许 test 用户从 192.168.100 子网的任何一个主机登录。
如果没有指定 host,则默认是所有 IP 均可登录。如果没有指定密码,默认为空:
CREATE USER 'test';
等价于:
CREATE USER 'test'@'%' IDENTIFIED BY '';
下面的例子用 CREATE USER 和 GRANT 语句创建了四个账户:
1. 第一个
mysql> CREATE USER 'test'@'192.168.100.%' IDENTIFIED BY '123456'; #创建用户名为test的用户,允许192.168.100.下面的所有ip登录,密码为123456
Query OK, 0 rows affected
mysql> GRANT ALL PRIVILEGES ON *.* TO 'test'@'192.168.100.%' WITH GRANT OPTION; #为test授予所有权限
Query OK, 0 rows affected
mysql> SHOW GRANTS FOR 'test'@'192.168.100.%'; #使用 SHOW GRANTS 可以看到为一个用户授予的权限:
+-------------------------------------------------------------------------+
| Grants for [email protected].% |
+-------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'test'@'192.168.100.%' WITH GRANT OPTION |
+-------------------------------------------------------------------------+
1 row in set
mysql>
再来查询一下所有用户:
select user,host from mysql.user;
+--------+---------------+
| user | host |
+--------+---------------+
| root | % |
| test | % |
| test | 192.168.100.% | ##刚刚添加进去的
| wenxun | 192.168.100.% |
+--------+---------------+
4 rows in set
2. 第二个
mysql> CREATE USER 'angle'@'%' IDENTIFIED BY '123456'; #创建用户名为angle的用户,允许所有ip登录,密码为123456
Query OK, 0 rows affected
mysql> GRANT ALL PRIVILEGES ON *.* TO 'angle'@'%' WITH GRANT OPTION; #为angle授予所有权限
Query OK, 0 rows affected
mysql> SHOW GRANTS FOR 'angle'@'%'; #使用 SHOW GRANTS 可以看到为一个用户授予的权限
+--------------------------------------------------------------+
| Grants for angle@% |
+--------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'angle'@'%' WITH GRANT OPTION |
+--------------------------------------------------------------+
1 row in set
再来查询一下所有用户:
select user,host from mysql.user;
+--------+---------------+
| user | host |
+--------+---------------+
| angle | % | #刚刚添加进去的
| root | % |
| test | % |
| test | 192.168.100.% |
| wenxun | 192.168.100.% |
+--------+---------------+
5 rows in set
3. 第三个
mysql> CREATE USER 'admin'@'%' IDENTIFIED BY '123456'; #创建一个名为admin的用户,允许所有ip登录,设置密码为123456
Query OK, 0 rows affected
mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'%'; #为admin用户设置RELOAD,PROCESS权限
Query OK, 0 rows affected
mysql> SHOW GRANTS FOR 'admin'@'%'; #使用 SHOW GRANTS 可以看到为一个用户授予的权限
+-------------------------------------+
| Grants for admin@% |
+-------------------------------------+
| GRANT Process ON *.* TO 'admin'@'%' |
+-------------------------------------+
1 row in set
再来查询一下所有用户:
select user,host from mysql.user;
+--------+---------------+
| user | host |
+--------+---------------+
| admin | % |##刚刚添加的用户
| angle | % |
| root | % |
| test | % |
| test | 192.168.100.% |
| wenxun | 192.168.100.% |
+--------+---------------+
6 rows in set
4. 第四个
mysql> CREATE USER 'boss'@'%'; #创建一个名为boss的用户,允许所有ip登录,不设置密码。
Query OK, 0 rows affected
mysql> GRANT RELOAD,PROCESS ON *.* TO 'boss'@'%'; #为boss用户设置reload,process权限。
Query OK, 0 rows affected
mysql> SHOW GRANTS FOR 'boss'@'%'; #使用 SHOW GRANTS 可以看到为一个用户授予的权限
+------------------------------------+
| Grants for boss@% |
+------------------------------------+
| GRANT Process ON *.* TO 'boss'@'%' |
+------------------------------------+
1 row in set
再来查询一下所有用户:
select user,host from mysql.user;
+--------+---------------+
| user | host |
+--------+---------------+
| admin | % |
| angle | % |
| boss | % | #刚刚添加的用户
| root | % |
| test | % |
| test | 192.168.100.% |
| wenxun | 192.168.100.% |
+--------+---------------+
7 rows in set
最后我们去user表中看一下到底有没有添加进去:
很显然我们都已经添加了进去!
删除用户
使用 DROP USER 语句可以删除用户,例如:
DROP USER 'test'@'localhost';
这个操作会清除用户在 mysql.user 表里面的记录项,并且清除在授权表里面的相关记录。
例:我们删除一个没有密码的test用户
DROP USER 'test'@'%';
Query OK, 0 rows affected
mysql> select user,host from mysql.user;
+--------+---------------+
| user | host |
+--------+---------------+
| admin | % |
| angle | % |
| boss | % |
| root | % |
| test | 192.168.100.% |
| wenxun | 192.168.100.% |
+--------+---------------+
6 rows in set
已经删除!
保留用户账户
TiDB 在数据库初始化时会生成一个 ‘root’@’%’ 的默认账户。
设置资源限制
暂不支持。
设置密码
TiDB 将密码存在 mysql.user 系统数据库里面。只有拥有 CREATE USER 权限,或者拥有 mysql 数据库权限(INSERT 权限用于创建,UPDATE 权限用于更新)的用户才能够设置或修改密码。
- 在
CREATE USER创建用户时可以通过IDENTIFIED BY指定密码:
CREATE USER 'test'@'localhost' IDENTIFIED BY 'mypass';
- 为一个已存在的账户修改密码,可以通过
SET PASSWORD FOR或者ALTER USER语句完成:
SET PASSWORD FOR 'root'@'%' = 'xxx';
或者:
ALTER USER 'test'@'localhost' IDENTIFIED BY 'mypass';
例:修改用户名为boss的密码,修改密码为boss
mysql> SET PASSWORD FOR 'boss'@'%' = 'boss';
Query OK, 0 rows affected
直接在user表中看一下有什么不一样
再来更改用户名为boss的密码,修改密码为123456
mysql> SET PASSWORD FOR 'boss'@'%' = '123456';
Query OK, 0 rows affected
直接在user表中看一下有什么不一样
忘记 root 密码
- 修改配置文件,在
security部分添加skip-grant-table:
[security]
skip-grant-table = true
- 然后使用
root登录后修改密码:
mysql -h 127.0.0.1 -P 4000 -u root
FLUSH PRIVILEGES
如果授权表已被直接修改,运行如下命令可使改动立即生效:
FLUSH PRIVILEGES;
详情参见TiDB数据库权限管理。