ERROR 1045 (28000) Mysql中grant 使用不当导致的生产事故

背景：

新项目上线，Data Warehouse 的同事要从Mysql 的SLAVE 库上抽取数据。其中一项任务是授予读取数据库的权限。

没想到这个简单的操作也引发了一些意外。

在只读用户增加权限后，修改了密码。导致原来的账户不可用，结果导致数据抽取失败。从而人为导致了一次生产事故。

 

模拟一下场景：

1. 授予emp001读取test库的权限。
session1:
mysql> GRANT SELECT ON test.* TO 'emp001'@'192.168.0.93' IDENTIFIED BY 'pass001';
Query OK, 0 rows affected (0.05 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.05 sec)

2.用emp001用户可以正常连接数据库。
session2:
$mysql -uemp001 -ppass001 -h 192.168.0.93
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.5.37 MySQL Community Server (GPL)

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| test               |
+--------------------+
2 rows in set (0.00 sec)

mysql> exit

3.新增加emp001用户访问cream库的权限.
回到session1：
mysql> GRANT SELECT ON cream.* TO 'emp001'@'192.168.0.93' IDENTIFIED BY 'emp001.Cream';
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

4.用emp001访问cream数据库。
session3:
$mysql -uemp001 -pemp001.Cream -h 192.168.0.93
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 4
Server version: 5.5.37 MySQL Community Server (GPL)

 

到此为止，你能看出这个操作有什么问题吗？现在已经可以正常访问数据库了，应该不会有什么问题吧？

 

于是下班回家去了......

 

 

 

晚上原来的用户开始抽取数据，悲剧开始了......

5.在用emp001和密码pass001访问数据库，失败。
session5：
$mysql -uemp001 -ppass001 -h 192.168.0.93
ERROR 1045 (28000): Access denied for user 'emp001'@'192.168.0.93' (using password: YES)

原因是我们给相同的用户增加权限的时候，修改了密码。导致原来的密码不可用。

结论:Mysql中给相同的用户变更授权的时候，如果修改了密码，将会导致原来的密码不可用。最好给指定的用户分配指定的权限。

同样的错误，国际友人也遇到过。    
参考：http://thinkdiff.net/mysql/never-forget-when-setting-up-a-mysql-user-account/#more-632