mysql是如何来识别一个用户的呢?
mysql为了安全性考虑,采用主机名+用户名来判断一个用户的身份,因为在互联网中很难通过用户名来判断一个用户的身份,但是我们可以通过ip或者主机名判断一台机器,某个用户通过这个机器过来的,我们可以识别为一个用户,所以mysql中采用用户名+主机名来识别用户的身份。当一个用户对mysql发送指令的时候,mysql就是通过用户名和来源(主机)来断定用户的权限。
Mysql权限验证分为2个阶段:
用户及权限信息放在库名为mysql的库中,mysql启动时,这些内容被读进内存并且从此时生效,所以如果通过直接操作这些表来修改用户及权限信息的,需要重启mysql
或者执行flush privileges;
才可以生效。
用户登录之后,mysql会和当前用户之间创建一个连接,此时用户相关的权限信息都保存在这个连接中,存放在内存中,此时如果有其他地方修改了当前用户的权限,这些变更的权限会在下一次登录时才会生效。
用户信息在mysql.user表中,如下:
mysql> use mysql;
Database changed
mysql> select user,host from user;
+---------------+--------------+
| user | host |
+---------------+--------------+
| test4 | 127.0.0.% |
| test4 | 192.168.11.% |
| mysql.session | localhost |
| mysql.sys | localhost |
| root | localhost |
| test2 | localhost |
+---------------+--------------+
6 rows in set (0.00 sec)
语法:
create user 用户名[@主机名] [identified by '密码'];
说明:
主机名默认值为%,表示这个用户可以从任何主机连接mysql服务器
密码可以省略,表示无密码登录
不指定主机名时,表示这个用户可以从任何主机连接mysql服务器
mysql> use mysql;
Database changed
mysql> select user,host from user;
+---------------+-----------+
| user | host |
+---------------+-----------+
| mysql.session | localhost |
| mysql.sys | localhost |
| root | localhost |
+---------------+-----------+
3 rows in set (0.00 sec)
mysql> create user test1;
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host from user;
+---------------+-----------+
| user | host |
+---------------+-----------+
| test1 | % |
| mysql.session | localhost |
| mysql.sys | localhost |
| root | localhost |
+---------------+-----------+
4 rows in set (0.00 sec)
mysql> exit
Bye
C:\Users\Think>mysql -utest1
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 49
Server version: 5.7.25-log MySQL Community Server (GPL)
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
上面创建了用户名为test1无密码的用户,没有指定主机,可以看出host的默认值为%,表示test1可以从任何机器登录到mysql中。
用户创建之后可以在mysql
库中通过 select user,host from user;
查看到。
create user 'test2'@'localhost' identified by '123';
说明:test2的主机为localhost表示本机,此用户只能登陆本机的mysql
create user 'test3'@% identified by '123';
说明:test3可以从任何机器连接到mysql服务器
create user 'test4'@'192.168.11.%' identified by '123';
说明:test4可以从192.168.11段的机器连接mysql
方式1:通过管理员修改密码
SET PASSWORD FOR '用户名'@'主机' = PASSWORD('密码');
方式2:create user 用户名[@主机名] [identified by '密码'];
set password = password('密码');
方式3:通过修改mysql.user表修改密码
use mysql;
update user set authentication_string = password('321') where user = 'test1' and host = '%';
flush privileges;
注意:
通过表的方式修改之后,需要执行flush privileges;才能对用户生效。
5.7中user表中的authentication_string字段表示密码,老的一些版本中密码字段是password。
创建用户之后,需要给用户授权,才有意义。
语法:
grant privileges ON database.table TO 'username'[@'host'] [with grant option]
grant命令说明:
all
,表示所有权限,也可以是select、update
等权限,多个权限之间用逗号分开。数据库.表名
,点号前面用来指定数据库名,点号后面用来指定表名,. 表示所有数据库所有表。username@host
,@前面为用户名,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。*备注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加一个select权限,然后又给用户添加一个insert权限,那么该用户就同时拥有了select和insert权限。*
示例:
grant all on *.* to 'test1'@‘%’;
说明:给test1授权可以操作所有库所有权限,相当于dba
grant select on seata.* to 'test1'@'%';
说明:test1可以对seata库中所有的表执行select
grant select,update on seata.* to 'test1'@'%';
说明:test1可以对seata库中所有的表执行select、update
grant select(user,host) on mysql.user to 'test1'@'localhost';
说明:test1用户只能查询mysql.user表的user,host字段
show grants for '用户名'[@'主机']
主机可以省略,默认值为%,示例:
mysql> show grants for 'test1'@'localhost';
+--------------------------------------------------------------------+
| Grants for test1@localhost |
+--------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'test1'@'localhost' |
| GRANT SELECT (host, user) ON `mysql`.`user` TO 'test1'@'localhost' |
+--------------------------------------------------------------------+
2 rows in set (0.00 sec)
show grants;
查看当前用户的权限,如:
mysql> show grants;
+---------------------------------------------------------------------+
| Grants for root@localhost |
+---------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION |
| GRANT ALL PRIVILEGES ON `test`.* TO 'root'@'localhost' |
| GRANT DELETE ON `seata`.* TO 'root'@'localhost' |
| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION |
+---------------------------------------------------------------------+
4 rows in set (0.00 sec)
语法
revoke privileges ON database.table FROM '用户名'[@'主机'];
可以先通过show grants
命令查询一下用户对于的权限,然后使用revoke
命令撤销用户对应的权限,示例:
mysql> show grants for 'test1'@'localhost';
+--------------------------------------------------------------------+
| Grants for test1@localhost |
+--------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'test1'@'localhost' |
| GRANT SELECT (host, user) ON `mysql`.`user` TO 'test1'@'localhost' |
+--------------------------------------------------------------------+
2 rows in set (0.00 sec)
mysql> revoke select(host) on mysql.user from test1@localhost;
Query OK, 0 rows affected (0.00 sec)
mysql> show grants for 'test1'@'localhost';
+--------------------------------------------------------------+
| Grants for test1@localhost |
+--------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'test1'@'localhost' |
| GRANT SELECT (user) ON `mysql`.`user` TO 'test1'@'localhost' |
+--------------------------------------------------------------+
2 rows in set (0.00 sec)
上面我们先通过grants
命令查看test1的权限,然后调用revoke命令撤销对mysql.user
表host
字段的查询权限,最后又通过grants命令查看了test1的权限,和预期结果一致。
方式1:
drop user '用户名'[@‘主机’],示例:
mysql> drop user test1@localhost;
Query OK, 0 rows affected (0.00 sec)
drop的方式删除用户之后,用户下次登录就会起效。
方式2:
通过删除mysql.user表数据的方式删除,如下:
delete from user where user='用户名' and host='主机';
flush privileges;
注意通过表的方式删除的,需要调用flush privileges;刷新权限信息(权限启动的时候在内存中保存着,通过表的方式修改之后需要刷新一下)。
flush privileges;
刷新一下,下次登录自动生效