文章目录
MySQL权限体系
mysql 的权限体系大致分为5个层级:
全局层级:
全局权限适用于一个给定服务器中的所有数据库。这些权限存储在mysql.user表中。GRANT ALL ON .和REVOKE ALL ON .只授予和撤销全局权限。
数据库层级:
数据库权限适用于一个给定数据库中的所有目标。这些权限存储在mysql.db表中。GRANT ALL ON db_name.和REVOKE ALL ON db_name.只授予和撤销数据库权限。
表层级:
表权限适用于一个给定表中的所有列。这些权限存储在mysql.talbes_priv表中。GRANT ALL ON db_name.tbl_name和REVOKE ALL ON db_name.tbl_name只授予和撤销表权限。
列层级:
列权限适用于一个给定表中的单一列。这些权限存储在mysql.columns_priv表中。当使用REVOKE时,您必须指定与被授权列相同的列。
子程序层级:
CREATE ROUTINE, ALTER ROUTINE, EXECUTE和GRANT权限适用于已存储的子程序。这些权限可以被授予为全局层级和数据库层级。而且,除了CREATE ROUTINE外,这些权限可以被授予为子程序层级,并存储在mysql.procs_priv表中。
这些权限信息存储在下面的系统表中:
mysql.user
mysql.db
mysql.host
mysql.table_priv
mysql.column_priv
mysql. procs_priv
当用户连接进来,mysqld会通过上面的这些表对用户权限进行验证!
权 限 | 作用范围 | 作 用 |
---|---|---|
all | 服务器 | 所有权限 |
select | 表、列 | 选择行 |
insert | 表、列 | 插入行 |
update | 表、列 | 更新行 |
delete | 表 | 删除行 |
create | 数据库、表、索引 | 创建 |
drop | 数据库、表、视图 | 删除 |
reload | 服务器 | 允许使用flush语句 |
shutdown | 服务器 | 关闭服务 |
process | 服务器 | 查看线程信息 |
file | 服务器 | 文件操作 |
grant option | 数据库、表、存储过程 | 授权 |
references | 数据库、表 | 外键约束的父表 |
index | 表 | 创建/删除索引 |
alter | 表 | 修改表结构 |
show databases | 服务器 | 查看数据库名称 |
super | 服务器 | 超级权限 |
create temporary tables | 表 | 创建临时表 |
lock tables | 数据库 | 锁表 |
execute | 存储过程 | 执行 |
replication client | 服务器 | 允许查看主/从/二进制日志状态 |
replication slave | 服务器 | 主从复制 |
create view | 视图 | 创建视图 |
show view | 视图 | 查看视图 |
create routine | 存储过程 | 创建存储过程 |
alter routine | 存储过程 | 修改/删除存储过程 |
create user | 服务器 | 创建用户 |
event | 数据库 | 创建/更改/删除/查看事件 |
trigger | 表 | 触发器 |
create tablespace | 服务器 | 创建/更改/删除表空间/日志文件 |
proxy | 服务器 | 代理成为其它用户 |
usage | 服务器 | 没有权限 |
MySQL授权命令
创建用户
CREATE USER 'username'@'host' IDENTIFIED BY 'password';
CREATE USER 'user'@'192.168.1.10' IDENTIFIED BY 'password';
CREATE USER 'user'@'%'; #不设置密码
说明:如果主机位使用%,那么将允许从任意主机登录;密码可以为空,若为空,则用户可以不需要密码登录服务器。
补充:主机名或者IP中可以使用%进行通配,如%.baidu.com;192.168.1.%
补充:如果即有字母,又有数字,则不进行匹配(防止恶意访问)
补充:IPv4地址可以使用掩码,如192.168.0.0/255.255.0.0 匹配整个B类地址
进行授权
GRANT privileges ON databasename.tablename TO 'username'@'host';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON . TO 'user'@'%';
如果授予所有权限,则可以使用ALL,所有数据库和所有表可以使用*
注意:ALL并不包括GRANT OPTION权限(也不包括proxy权限),如果需要使本用户可以给其它用户授权,需在上面语句中加上 WITH GRANT OPTION
授权时同时创建用户
GRANT ALL PRIVILEGES ON *.* TO 'amtdb'@'%'IDENTIFIED BY 'xJ_U1h3d' WITH GRANT OPTION;
修改密码
SET PASSWORD FOR 'user'@'%' = PASSWORD('pass');
取消授权
REVOKE privilege ON databasename.tablename FROM 'username'@'host';
REVOKE SELECT ON . FROM 'user'@'%';
删除用户
DROP USER 'username'@'host';
##查看用户权限
show grants for 'user'@'%';
用户重命名
RENAME USER 'user'@'%' TO 'dong'@'%';
刷新权限
flush privileges;