MySQL 数据库管理——用户与授权

前言

在企业信息化的过程中，数据库中库和表都会大量存在，需要分配给管理者核实的权限进行操作，合理地分配权限，可以使数据库管理井然有序，各个管理者只需要关注自己负责的内容，也可避免误操作对系统造成损失

一、用户与授权

1.用户管理

①新建用户

CREATE USER '用户名'@'来源地址' [IDENTIFIED BY [PASSWORD] '密码'];

• 用户名：将要创建的用户名

• 来源地址：

  • 指定新创建的用户可在哪些主机上登录，可使用 IP 地址、网段、主机名的形式
  • 本地用户可用 localhost
  • 如果想让该用户可以从任意远程主机登录，可用通配符 %

• 密码：

• MySQL 5.7 版本启用了密码增强插件，新密码必须符合密码负载型要求，用户的登录密码不能为空

• 密码通常是需要经过加密处理再写入数据库，在不使用 password 关键字时，可以使用明文密码，直接输入"密码"，插入到数据库时由 MySQL 自动加密

• 如果使用 password 关键字，可以直接插入密文，MySQL 不再进行加密处理

• 若使用加密密码，需要先使用select password(‘密码’); 获取密文，再在语句中添加 password ‘密文’

• 若省略“identified by”部分，则用户的密码将为空（不建议使用）

create user 'yaling'@'localhost' identified by '123123';

select password('123123');

create user 'chaichai'@'localhost' identified by password 

②查看用户信息

创建后的用户保存在mysql数据库的user表里

USE mysql;

SELECT User,authentication_string,Host from user;

③重命名用户

RENAME USER 'yaling'@'localhost' TO 'xjjj'@'localhost';

select user,authentication_string,host from user;

④删除用户

DROP USER 'xjjj'@'localhost';

select user,authentication_string,host from user;

5.给用户设置密码

• 修改当前用户登录密码

set password = password'xjj123';

quit

mysql -u root -p

• 修改其他用户密码

set password for 'chaichai'@'localhost' = PASSWORD('123456');

use mysql;

select user,authentication_string,host from user;

6.忘记root 密码的解决办法

• 使用 MySQL 时，如果忘记了其他用户的密码，可以使用 root 用户重新设置
• 但是如果忘记 root 的密码，就需要采用特殊的方法进行操作

#修改 /etc/my.cnf 配置文件，可不使用密码直接登录到 mysql
vim /etc/my.cnf
[mysqld]
skip-grant-tables
#添加，使登录mysql不使用授权表
systemctl restart mysqld


mysql
#可直接登录

#使用 update 修改 root 密码，刷新数据库
UPDATE mysql.user SET AUTHENTICATION_STRING = PASSWORD('123123') where user='root';
FLUSH PRIVILEGES;
quit

#再去删除之前在 /etc/my.cnf 里新添加的内容，并重启服务

mysql -uroot -p123123

二、授权控制

• 在 MySQL 中，权限设置非常重要，分配权限可以清晰地划分责任
• 管理人员只需要关注自己的任务即可，最重要的是保证系统数据的安全

1.授予权限

• 权限控制主要是处于安全因素，因此需要遵循以下几个经验原则：

  • 授予能满足需要的最小权限，防止用户误操作和干坏事
  • 创建用户的时候限制用户的登录主机，一般是限制成指定 IP 或内网 IP 段
  • 初始化数据库时删除没有密码的用户，因为安装完数据库时会自动创建一些用户，这些用户默认没有密码
  • 为每个用户设置满足密码复杂度的密码
  • 定期清理不需要的用户，如回收权限或删除用户

• 命令格式及用法如下：(grant提权)

GRANT语句：专门用来设置数据库用户的访问权限。当指定的用户名不存在时，GRANT语句将会创建新的用户；当指定的用户名存在时，GRANT 语句用于修改用户信息。

GRANT 权限列表 ON 数据库名.表名 TO '用户名'@'来源地址' [IDENTIFIED BY '密码'];

#权限列表：用于列出授权使用的各种数据库操作，以逗号进行分隔，如“select,insert,update”；使用“all”表示所有权限，可授权执行任何操作

#数据库名.表名：用于指定授权操作的数据库和表的名称，其中可以使用通配符“*”。*例如,使用“xjj.*”表示授权操作的对象为 xjj 数据库中的所有表

#'用户名@来源地址'：用于指定用户名称和允许访问的客户机地址，即谁能连接、能从哪里连接；来源地址可以是域名、IP 地址，还可以使用“%”通配符，表示某个区域或网段内的所有地址，如“%.xjj.com”、“192.168.126.%”等

#IDENTIFIED BY：用于设置用户连接数据库时所使用的密码字符串；在新建用户时，若省略“IDENTIFIED BY”部分， 则用户的密码将为空

• 允许用户tiantian在本地查询culb数据库中所有表的数据记录，
  但禁止查询其他数据库中的表的记录

grant select on culb.* TO 'tiantian'@'localhost' IDENTIFIED BY 'abc123';

• 允许用户dapan在本地远程连接 mysql ，并拥有所有权限

GRANT ALL [PRIVILEGES] ON *.* TO 'dapan'@'%' IDENTIFIED BY '123456';

授权用户权限是all privilege, 这个all privilege都有哪些权限?all privilege权限如下:
insert(插入数据)
select (查询数据)
update (更新表的数据)
delete(删除表中数据)
create (创建库，表)
drop(删除库，表)
refernces
index(建立索引)
alter(更改表属性)
create temp orary tableslock tables (锁表)
execute
create view (创建视图)
show view(显示视图)
create routine(创建存储过程)
alter routine(修改存储过程)
event(事件)
trigger on(创建触发器)

2.刷新权限

flush privileges;    #刷新权限
quit

mysql -u dapan -p123123
use puxin;
show tables; 
select * from xiaowang;

3.查看权限

SHOW GRANTS FOR 用户名@来源地址;

例：
show grants for 'dapan'@'localhost';

3.撤销权限

REVOKE 权限列表 ON 数据库名.表名 FROM 用户名@来源地址;

例：
quit

mysql -uroot -p123123
show grants for 'dapan'@'localhost';
revoke select on "puxin".* from 'dapan'@'localhost';

show grants for 'dapan'@'localhost';

flush privileges;


#撤销权限后，该用户只保留登录权限

• USAGE权限只能用于数据库登陆，不能执行任何操作; USAGE权限不能被回收，即REVOKE不能删除用户