MySQL的权限管理

权限管理的概念:

MySQL权限管理主要是对登陆mysql的用户进行验证,合理的权限规划会提高MySQL服务器的安全。

1,验证主机,用户名,密码  (从哪里来)

2,验证操作权限,比如:select,update,delete (可以做什么)


MySQL的各种权限:

账户权限信息存储在MySQL的user,db,host,table_priv,columns_priv和procs_priv表中,启动数据库,会读入内存

 mysql权限表的验证过程为:

1.先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。

         2.通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。

            即先检查全局权限表 user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;

            如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;

            如果db中为N,则检 查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。

MySQL的权限管理_第1张图片

MySQL的权限管理_第2张图片


1,CREATE和DROP权限,可以创建新数据库和表,或删除已有数据库和表,

如果将MySQL数据库中的DROP权限授权予某用户,用户可以删掉MySQL访问权限保存的数据库

2、SELECT、INSERT、UPDATE和DELETE权限允许在一个数据库现有的表上实施操作

3、SELECT权限只有在它们真正从一个表中检索行时才被用到

4,INDEX权限允许创建或删除索引,INDEX适用已有表。

如果具有某个表的CREATE权限,可以在CREATE TABLE语句中包含索引定义

5,ALTER权限,可以使用ALTER TABLE来更改表的结构和重新命名表

6,CREATE ROUTINE权限来创建保存的程序(函数和程序),ALTER ROUTINE权限用来更改和删除保存的程序,EXECUTE权限用来执行保存的程序


mysqladmin命令

1,reload命令告诉服务器将授权表重新读入内存

2,flush-privileges是reload的同义词

3,refresh命令清空所有表并关闭/打开记录文件


shutdown命令关闭服务器

processlist命令显示在服务器内执行的线程的信息。

kill命令杀死服务器线程。用户总是能显示或杀死自己的线程,但是需要process权限来显示或者杀死其他用户和super权限启动的线程


授权:

1,全局层级

权限存储在mysql.user表中,GRANT ALL ON *.* 和REVOKE ALL ON *.* 只授予和撤销全局权限

2,数据层层级

权限存储在mysql.db和mysql.host表中。GRANT ALL ON db_name.和REVOKE ALL ON db_name.*只授予和撤销数据库权限

3,表层级

权限存储在mysql.tables_priv表中。GRANT ALL ON db_name.tbl_name和REVOKE ALL ON db_name.tbl_name只授予和撤销表权限

4,列层级

存储在mysql.columns_priv表中。当使用REVOKE时,必须指定与被授权列相同的列

5,子程序层级


GRANT的语法:

GRANT priv_type [(columns)] [,priv_type [(columns)]] ... 

ON [object_type] table1,table2,...,tablen

TO user [IDENTIFIED BY [PASSWORD] 'password']

[,USER [IDENTIFIED BY [PASSWORD] 'password']] ...

 [WITH GRANT OPTION]


object_type = TABLE  |  FUNCTION  |  PROCEDURE


GRANT OPTION 取值:

| MAX_QUERIES_PER_HOUR count

| MAX_UPDATES_PER_HOUR count

| MAX_CONNECTIONS_PER_HOUR count

| MAX_USER_CONNECTIONS count


例子:

使用GRANT语句创建一个新的用户grantUser,密码为“grantpwd”。用户grantUser对所有的数据有查询、插入权限,并授予GRANT权限。

mysql> GRANT select,insert ON *.* TO 'grantUser'@'localhost' identified by 'grantpwd' with grant option;

Query OK, 0 rows affected (0.00 sec)


mysql> select host,user,select_priv,insert_priv,grant_priv from mysql.user where user='grantUser';

+-----------+-----------+-------------+-------------+------------+

| host      | user      | select_priv | insert_priv | grant_priv |

+-----------+-----------+-------------+-------------+------------+

| %         | grantUser | Y           | Y           | N          | 

| localhost | grantUser | Y           | Y           | Y          | 

+-----------+-----------+-------------+-------------+------------+


收回权限

第一种语法是收回所有用户的所有权限,用于取消对已命名的用户的所有全局层级,数据库层级,表层级和列层级的权限

REVOKE ALL PRIVILEGES,GRANT OPTION FROM 'user'@'host' [,'user'@'host' ...]


另一种长格式的REVOKE语句

REVOKE priv_type [(columns)] [,priv_type [(columns)]] ...

ON table1,table2,...,tablen

FROM 'user'@'host' [,'user'@'host' ...]


例子:

使用REVOKE语句取消用户testUser的更新权限。

mysql> grant update on *.* to 'testUser'@'%' identified by 'wpf926,.';

Query OK, 0 rows affected (0.00 sec)

mysql> select update_priv,user,host  from mysql.user where user='testUser';

+-------------+----------+-----------+

| update_priv | user     | host      |

+-------------+----------+-----------+

| Y           | testUser | localhost | 

| Y           | testUser | %         | 

+-------------+----------+-----------+

2 rows in set (0.00 sec)


mysql> revoke update on *.* from 'testUser'@'%';

Query OK, 0 rows affected (0.00 sec)

mysql> select update_priv,user,host from mysql.user where user='testUser';

+-------------+----------+-----------+

| update_priv | user     | host      |

+-------------+----------+-----------+

| Y           | testUser | localhost | 

| N           | testUser | %         | 

+-------------+----------+-----------+

2 rows in set (0.00 sec)


mysql> revoke update on *.* from 'testUser'@'localhost';

Query OK, 0 rows affected (0.00 sec)


mysql> select update_priv,user,host from mysql.user where user='testUser';

+-------------+----------+-----------+

| update_priv | user     | host      |

+-------------+----------+-----------+

| N           | testUser | localhost | 

| N           | testUser | %         | 

+-------------+----------+-----------+

2 rows in set (0.00 sec)




查看权限

show grant查看账户信息的语法:

show grant for ‘user’@‘host’;


例子:

使用show grants语句查询用户testUser的权限

mysql> show grants for 'testUser'@'%';

+--------------------------------------------------------------------------------+

| Grants for testUser@%                                                          |

+--------------------------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'testUser'@'%' IDENTIFIED BY PASSWORD '64c4cd3a456ed50e' | 

+--------------------------------------------------------------------------------+

1 row in set (0.00 sec)


mysql> show grants for 'testUser'@'localhost';

+-----------------------------------------------------------------------------------------+

| Grants for testUser@localhost                                                           |

+-----------------------------------------------------------------------------------------+

| GRANT SELECT ON *.* TO 'testUser'@'localhost' IDENTIFIED BY PASSWORD '565491d704013245' | 

+-----------------------------------------------------------------------------------------+

1 row in set (0.00 sec)







你可能感兴趣的:(mysql,权限管理,grant,revoke)