文章目录
前言
我们前面学习了许多MySQL的语法和基础知识,今天我们在学一个知识点—用户权限和管理
1. 应用场景
数据库服务安装成功后默认有一个 root 用户,可以新建和操作数据库服务中管理的所有数据。
在真实的使用过程中,通常每个应用对应着一个数据库,我们只希望某个用户只能从操作和管理当前应用对应的那个数据库,而不是操作和管理其他应用的数据库,这时就可以添加一个用户并指定用户权限
如上图所示:
- root 可以访问和操纵所有的数据库:DB1,DB2,DB3,DB4
- 普通用户1 只能访问和操纵数据库DB1
- 普通用户2 只能访问和操纵数据库DB2
- 只读用户1 只能访问数据库DB3
- 只读用户2 只能访问数据库DB4
2.用户
2.1. 查看用户
MySQL的用户信息保存在mysql系统数据库的user表中,可以通过Select语句查看
-- 选择数据库
use mysql
-- 查看所有的表
show tables;
-- 查看表结构
desc user;
-- 查询user表中的记录
select host.user.authentication_string from user;
- host: 允许登录的主机,相当于白名单,如果是localhost,表示只能从本机登录
- user: 用户名
- *_priv: 用户拥有的权限
- authentication_string: 加密后的用户密码
2.2. 创建用户
2.2.1 语法
create user [if not exists] 'user_name'@'host_name' identified by 'auth_string';
user_name: 用户名,用单引号包裹,区分大小写
host_name: 主机或IP(段),用单引号包裹
auth_string: 真实密码,有些密码测罗不允许使用简单密码
2.2.2. 注意事项
- 如果不指定host_name 相当于 ‘‘user_name’@’%',%表示所有主机都可以连接到数据库,强烈建议不要这样设置,因为会导致严重的安全问题
- user_name 和 host_name 分别用单引号包裹,如果写成’user_name@host_name’,相当于 ‘user_name@host_name’@‘%’
- host_name可以通过子网掩码设置主机范围
-
- 198.0.0.0/255.0.0.0:A段网络中的任意一台主机
-
- 198.51.0.0/255.25.0.0:198.51 B段网络中的任意一台主机
-
- 198.51.100.0/255.255.255.0:198.51.100 C段网络中的任意一台主机
-
- 198.51.100.1:只包含特定IP地址的主机
- 从 MySQL 8.0.21开始,指定为IPv4地址的主机值可以使用CIDR表示法写入,例如198.51.100.44/24
- 允许在IP地址中使用%通配符,比如,主机值%匹配任何主机名,198.51.100.% 匹配 198.51.100 C段网络中的任何主机。MySQL 8.0.35中已弃用,以后可能会删除
2.2.3.示例
添加一个名为xxhh的新用户,允许从本机登录
create user 'xxhh'@'localhost' identified by '123456';
添加一个名为xxhh1的新用户,允许从192.168.1.1/24网段登录
create user 'xxhh1'@'192.168.1.1/24' identified by '123456';
查询
select host,user,authentication_string from user\G;
使用新用户登录
2.3. 修改密码
2.3.1. 语法
# 为指定用户设置密码 [推荐]
alter user 'user_name'@ 'host_name' identified by 'auth_string';
# 为指定用户设置密码
set password for 'user_name'@'host_name' = 'auth_string';
# 为当前登录用户设置密码
set password = 'auth_string';
2.3.2. 示例
以root身份登录,为’xxhh’@‘localhost’用户重置密码
alter user 'xxhh'@'localhost' identified by '987654321';
或者
set password for 'xxhh'@'localhost' = '123456';
以xxhh用户登录,并确定当前登录用户
select user();
修改当前登录用户的密码
set password = '987654321';
2.4.删除用户
2.4.1.语法
drop user [if exists] 'user_name'@'host_name'[,...];
2.4.2.示例
删除用户 ‘xxhh1’@‘192.168.1.1/24’
drop user 'xxhh1'@'192.168.1.1/24';
然后在查找结果集
select host,user,authentication_string from user;
3. 权限和授权
MySQL内置支持的权限列表
3.1.给用户授权
刚创建的用户没有任何权限,需要给他授权,如下所示:
select user()show database;
3.1.1.语法
grant priv_type[,priv_type ...] on priv level
to 'user_name'@'host_name' [with grant option]
- priv_type: 根据类型,参考根据上面的图标
- **‘user_name’ @ ‘host_name’: ** 指定用户
- **[with grant option]:**可选,允许用户将自己的权限授权给其他用户
3.1.2. 示例
- 为xxhh@localhost用户授权于 study 数据库 的 select 权限
查看xxhh用户是否有grant_priv 权限,
select user,grant_priv from user;
我们发现 xxhh 用户没有grant权限,因此授予权限这个任务只能交给 root 管理员去做
grant select on study.* to 'xxhh'@'localhost';
查看此时 xxhh 的权限
show grants for 'xxhh'@'hostlocal';
此时我们发现 xxhh用户 拥有 查找 study中所有表的权限
此时使用 xxhh来打开MySQL服务器
show databases;
use study;
select * from account;
我们发现,select的权利,xxhh 用户是有的,那么 insert 等权限,xxhh用户可以使用吗
insert into account value (null,'Jerry',20000);
发现不可以,说明没有这个权限。
- 为bit@localhos用户授权于study数据库的所有权限
grant all on study.* to 'xxhh'@'hostlocal';
show grants for 'xxhh'@'localhost';
此时转换到 xxhh用户中,向 account 中插入数据,看看情况
select * from account;
insert into account value (null,'Jerry',5000);
select * from account;
update account set balance = balance - 1000 where name = 'Jerry';
select * from account;
delete from account where name ='Jerry';
select * from account;
不成功说明权限没有生效,需要刷新权限,如果还不成功可以重新登录
flush privileges;
3.2.回收权限
3.2.1.语法
REVOKE [IF EXISTS] priv_type[, priv_type] ... ON priv_level
FROM 'user_name'@'host_name' [, 'user_name'@'host_name']
3.2.2.示例
回收xxhh@localhost用户对于 study 数据库的权限
revoke all on *.* from 'xxhh'@'localhost';
show grants for 'xxhh'@'localhost';
完
