MySQL权限体系

mysql 的权限体系大致分为5个层级:

全局层级：

全局权限适用于一个给定服务器中的所有数据库。这些权限存储在mysql.user表中。GRANT ALL ON .和REVOKE ALL ON .只授予和撤销全局权限。

数据库层级：

数据库权限适用于一个给定数据库中的所有目标。这些权限存储在mysql.db表中。GRANT ALL ON db_name.和REVOKE ALL ON db_name.只授予和撤销数据库权限。

表层级：

表权限适用于一个给定表中的所有列。这些权限存储在mysql.talbes_priv表中。GRANT ALL ON db_name.tbl_name和REVOKE ALL ON db_name.tbl_name只授予和撤销表权限。

列层级：

列权限适用于一个给定表中的单一列。这些权限存储在mysql.columns_priv表中。当使用REVOKE时，您必须指定与被授权列相同的列。

子程序层级：

CREATE ROUTINE, ALTER ROUTINE, EXECUTE和GRANT权限适用于已存储的子程序。这些权限可以被授予为全局层级和数据库层级。而且，除了CREATE ROUTINE外，这些权限可以被授予为子程序层级，并存储在mysql.procs_priv表中。

这些权限信息存储在下面的系统表中:

mysql.user 
mysql.db 
mysql.host 
mysql.table_priv 
mysql.column_priv 
mysql. procs_priv 

当用户连接进来，mysqld会通过上面的这些表对用户权限进行验证！

MySQL授权命令

创建用户

CREATE USER 'username'@'host' IDENTIFIED BY 'password';
CREATE USER 'user'@'192.168.1.10' IDENTIFIED BY 'password';
CREATE USER 'user'@'%';   #不设置密码

说明：如果主机位使用%，那么将允许从任意主机登录；密码可以为空，若为空，则用户可以不需要密码登录服务器。

补充：主机名或者IP中可以使用%进行通配，如%.baidu.com;192.168.1.%

补充：如果即有字母，又有数字，则不进行匹配(防止恶意访问)

补充：IPv4地址可以使用掩码，如192.168.0.0/255.255.0.0 匹配整个B类地址

进行授权

GRANT privileges ON databasename.tablename TO 'username'@'host';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON . TO 'user'@'%';

如果授予所有权限，则可以使用ALL，所有数据库和所有表可以使用*

注意：ALL并不包括GRANT OPTION权限（也不包括proxy权限），如果需要使本用户可以给其它用户授权，需在上面语句中加上 WITH GRANT OPTION

授权时同时创建用户

GRANT ALL PRIVILEGES ON *.* TO 'amtdb'@'%'IDENTIFIED BY 'xJ_U1h3d' WITH GRANT OPTION;

修改密码

SET PASSWORD FOR 'user'@'%' = PASSWORD('pass');

取消授权

REVOKE privilege ON databasename.tablename FROM 'username'@'host';
REVOKE SELECT ON . FROM 'user'@'%';

删除用户

DROP USER 'username'@'host';

##查看用户权限

show grants for 'user'@'%';

用户重命名

RENAME USER 'user'@'%' TO 'dong'@'%';

刷新权限

flush privileges;