MySQL的權限系統簡析
create user 'liub'@'localhost' identified by 'liub'
www.2cto.com
create table g_user(
id varchar(10),
username varchar(20),
userpwd varchar(20)
);
insert into g_user values ('1','liub','liub');
insert into g_user values ('2','lik','lik');
mysql.user
mysql.db
mysql.tables_priv
mysql.columns_priv
www.2cto.com
select * from g_user;
-- 列級權限
grant select(id,username) on g_user to 'liub'@'localhost';
-- 表級權限
grant select on g_user to 'liub'@'localhost';
-- 庫級權限
grant select on test.* to 'liub'@'localhost';
show grants for 'liub'@'localhost';
select * from columns_priv
select * from tables_priv
select * from db
use test www.2cto.com
grant insert on g_user to 'liub'@'localhost'
select * from mysql.user
flush privileges;
show grants for 'liub'@'localhost'
MySQL 的權限系統在實現上比較簡單,相關權限信息主要存儲在幾個被稱為grant tables 的系統表中,即: mysql.User,mysql.db,mysql.Host,mysql.table_priv 和mysql.column_priv。由於權限信息數據量比較小,而且訪問又非常頻繁,所以Mysql 在啟動的時候,就會將所有的權限信息都Load 到內存中保存在幾個特定的結構中。所以才有我們每次手工修改了權限相關的表之後,都需要執行FLUSH PRIVILEGES命令重新加載MySQL的權限信息。當然,如果我們通過GRANT,REVOKE 或者DROP USER 命令來修改相關權限,則不需要手工執行FLUSH PRIVILEGES 命令,因為通過GRANT,REVOKE 或者DROP USER 命令所做的權限修改在修改系統表的同時也會更新內存結構中的權限信息。在MySQL5.0.2 或更高版本的時候,MySQL 還增加了CREATE USER 命令,以此創建無任何特別權限(僅擁有初始USAGE權限)的用戶,通過CREATE USER 命令創建新了新用戶之後,新用戶的信息也會自動更新到內存結構中。所以,建議讀者一般情況下盡量使用GRANT,REVOKE,CREATE USER 以及DROPUSER 命令來進行用戶和權限的變更操作,盡量減少直接修改grant tables 來實現用戶和權限變更的操作。
show grants for 'income'@'%'
Global Level
GRANT SELECT,UPDATE,DELETE,INSERT ON *.* TO 'def'@'localhost';
在驗證所有所需權限的時候,MySQL 首先會查找存儲在內存結構中的權限數據,首先查找Global Level 權限,如果所需權限在Global Level 都有定義(GRANT 或者REVOKE),則完成權限校驗(通過或者拒絕),如果沒有找到所有權限的定義,則會繼續往後查找Database Level 權限,進行Global Level 未定義的所需權限的校驗,如果仍然沒有能夠找到所有所需權限的定義,MySQL 會繼續往更小范圍的權限定義域查找,也就是TableLevel,最後則是Column Level 或者Routine Level。 www.2cto.com
一, 創建用戶:
命令:CREATE USER 'username'@'host' IDENTIFIED BY 'password';
說明:username - 你將創建的用戶名, host - 指定該用戶在哪個主機上可以登陸,如果是本地用戶可用localhost, 如果想讓該用戶可以從任意遠程主機登陸,可以使用通配符%. password - 該用戶的登陸密碼,密碼可以為空,如果為空則該用戶可以不需要密碼登陸服務器.
例子: CREATE USER 'dog'@'localhost' IDENTIFIED BY '123456';
CREATE USER 'pig'@'192.168.1.101' IDENDIFIED BY '123456';
CREATE USER 'pig'@'%' IDENTIFIED BY '123456';
CREATE USER 'pig'@'%' IDENTIFIED BY '';
CREATE USER 'pig'@'%';
二,授權:
命令:GRANT privileges ON databasename.tablename TO 'username'@'host'
說明: privileges - 用戶的操作權限,如SELECT , INSERT , UPDATE 等.如果要授予所的權限則使用ALL.;databasename - 數據庫名,tablename-表名,如果要授予該用戶對所有數據庫和表的相應操作權限則可用*表示, 如*.*.
例子: GRANT SELECT, INSERT ON test.user TO 'pig'@'%';
GRANT ALL ON *.* TO 'pig'@'%';
注意:用以上命令授權的用戶不能給其它用戶授權,如果想讓該用戶可以授權,用以下命令:
GRANT privileges ON databasename.tablename TO 'username'@'host' WITH GRANT OPTION;
www.2cto.com
三.設置與更改用戶密碼
命令:SET PASSWORD FOR 'username'@'host' = PASSWORD('newpassword');如果是當前登陸用戶用SET PASSWORD = PASSWORD("newpassword");
例子: SET PASSWORD FOR 'pig'@'%' = PASSWORD("123456");
四.撤銷用戶權限
命令: REVOKE privilege ON databasename.tablename FROM 'username'@'host';
說明: privilege, databasename, tablename - 同授權部分.
例子: REVOKE SELECT ON *.* FROM 'pig'@'%';
注意: 假如你在給用戶'pig'@'%'授權的時候是這樣的(或類似的):GRANT SELECT ON test.user TO 'pig'@'%', 則在使用REVOKE SELECT ON *.* FROM 'pig'@'%';命令並不能撤銷該用戶對test數據庫中user表的SELECT 操作.相反,如果授權使用的是GRANT SELECT ON *.* TO 'pig'@'%';則REVOKE SELECT ON test.user FROM 'pig'@'%';命令也不能撤銷該用戶對test數據庫中user表的Select 權限. www.2cto.com
具體信息可以用命令SHOW GRANTS FOR 'pig'@'%'; 查看.
五.刪除用戶
命令: DROP USER 'username'@'host';
作者 bengda
