mysql权限控制
mysql用户进行授权即grant,撤销用户的授权即revoke,授权给某个用户语法格式如:
GRANT ALL PRIVILEGES ON databasename.tablename TO 'username'@'host' IDENTIFIED BY 'mypassword'
# privileges 权限,可选值为:SELECT, UPDATE, INSERT, DELETE, DROP, CREATE, ALL等。
# databasename 数据库名,对所有数据库给予权限用 ‘*’ 来表示。
# tablename 表名,对所有的表给予权限用 ‘*’ 来表示。
# host,可以是‘%’为任意主机,也可以是制定ip或者主机名
# mypassword,授权用户在远程访问时使用的密码
常用关于授权命令介绍
1、用户授权
(1)赋予用户指定数据库增删改查权限
grant select on test.* to 'jason'@'%' identified by '123456';
grant insert on test.* to 'jason'@'%' identified by '123456';
grant update on test.* to 'jason'@'%' identified by '123456';
grant delete on test.* to 'jason'@'%' identified by '123456';
备注:用户名和密码保持一致时,表示增加权限,如果密码不一致则添加失败。
如果用户已经存在,则之后增加的权限identified by "密码"部分可以省略。
或者合并为一条语句:
grant select, insert, update, delete on test.* to 'jason'@'%' identified by '123456';
备注:数据库的权限存储于mysql(数据库)->db(表),如果是为所有数据库赋予权限信息存储于
mysql(数据库)->user(表)
(2)为数据库指定表的列赋予权限
grant select(`id`, `num`), insert, update, delete on test.user to 'jason'@'%'
identified by '123456';
备注:列权限信息存储于mysql(数据库)->columns_priv(表), 表权限信息存储于mysql(数据库)->table_priv(表)
(3)如果想让授权的用户(如:jason),也可以将这些权限grant给其他用户,需要选项“grant option”
grant select, insert, update, delete on test.* to 'jason'@'%'
identified by '123456' with grant option;
(4)逻辑备份工具备份时可能需要的权限
逻辑备份工具:mysqldump,mysqlpump,mydumper等等
权限:SELECT
作用:查询表中数据
权限:SHOW VIEW
作用:查看创建视图的语句
权限:TRIGGER
作用:备份触发器
权限:EVENT
作用:备份事件(定时任务)
权限:lock tables
作用:备份时锁表,产生一致性备份
权限:reload
作用:show processlist,show engine innodb status,查看线程,查看引擎状态
权限:replication client
作用:show master/slave status;查看事务日志执行状态与位置
show binary logs;查看当前保存的事务日志列表与文件大小
权限:super
作用:关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响
命令:
grant select,lock tables,show view on *.* to bak@'192.168.%'
identified by '123456';(一般情况下足以)
grant lock tables,reload,process,replication client,super,
select,event,trigger,show view on *.* to bak@'192.168.%';
2、撤销授权
revoke update,delete on test.* from 'jason'@'%'; -- 删除update/delete权限
revoke all on test.* from 'jason'@'%'; -- 删除除with grant option之外的所有权限
revoke grant option on test.* from 'jason'@'%'; -- 删除with grant option权限
3、查看用户权限:
show grants; --查看当前用户(自己)权限
show grants for 'jason'; --查看其他MySQL用户权限
show grants for 'jason'@'%'; --查看其他MySQL用户权限
4、授权立即生效(重点)
flush privileges;
其他
1、MySQL用户权限表
存储用户权限信息表主要有:user,db,tables_priv,columns_priv,procs_priv这五张表(5.6之前还有host表),授权可以分为多个层次:
全局层级:全局权限适用于一个给定服务器中的所有数据库,这些权限存储在mysql.user表中。
数据库层级:数据库权限适用于一个给定数据库中的所有目标,这些权限存储在mysql.db表中。
表层级:表权限适用于一个给定表中的所有列,这些权限存储在mysql.tables_priv表中。
列层级:列权限使用于一个给定表中的单一列,这些权限存储在mysql.columns_priv表中。
子程序层级:CREATE ROUTINE、ALTER ROUTINE、EXECUTE和GRANT权限适用于已存储的子程序。这些权限可以被授予为全局层级和数据库层级。而且,除了CREATE ROUTINE外,这些权限可以被授予子程序层级,并存储在mysql.procs_priv表中。
2、with admin option和with grant option
(1)with admin option 只能在赋予 system privilege 的时使用 - with grant option 只能在赋予 object privilege 的时使用
(2)撤消带有admin option 的system privileges 时,连带的权限将保留,即撤销上级的权限时,下级已经赋予的权限则会保留
(3)撤消带有grant option 的object privileges 时,连带的权限也将撤消,即撤销上级的权限时,下级已经赋予的权限也会撤销
3、删除用户
drop user命令会删除用户以及对应的权限,例如:
drop user 'jason'@'%';
