2024Mysql And Redis基础与进阶操作系列（3-2）作者——LJS[含MySQL用户，权限，角色管理；举例说明详解步骤及常见报错问题对应的解决方法]

2024-11-04 30

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 Tair（兼容Redis），内存型 2GB

Redis 开源版，标准版 2GB

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

简介： Mysql和Redis用户，权限，角色管理；举例说明详解步骤及常见报错问题对应的解决方法（3-2）

欢迎各位彦祖与热巴畅游本人专栏与博客

你的三连是我最大的动力

以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习

专栏跑道二

➡️ 24 Network Security -LJS

专栏跑道三

➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP；H3C-SE;CCIP——LJS[华为、华三、思科高级网络]

专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]

专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]

专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]

上节回顾

4. 访问控制(理解即可)

4.1 连接核实阶段

当用户试图连接MySQL服务器时，服务器基于用户的身份以及用户是否能提供正确的密码验证身份来确定接受或者拒绝连接。
即客户端用户会在连接请求中提供用户名、主机地址、用户密码
MySQL服务器接收到用户请求后，会使用user表中的host、user和authentication_string这3个字段匹配客户端提供信息。

4.2 请求核实阶段

一旦建立了连接，服务器就进入了访问控制的阶段2，也就是请求核实阶段。
对此连接上进来的每个请求，服务器检查该请求要执行什么操作、是否有足够的权限来执行它，这正是需要授权表中的权限列发挥作用的地方。
这些权限可以来自user、db、table_priv和column_priv表。
确认权限时，MySQL首先检查user表 ，
如果指定的权限没有在user表中被授予，那么MySQL就会继续检查db表 ，db表是下一安全层级，
其中的权限限定于数据库层级，在该层级的SELECT权限允许用户查看指定数据库的所有表中的数据；
如果在该层级没有找到限定的权限，则MySQL继续检查tables_priv表以及 columns_priv表，
如果所有权限表都检查完毕，但还是没有找到允许的权限操作，MySQL将返回错信息 ，用户请求的操作不能执行，操作失败。

补充：

MySQL通过向下层级的顺序（从user表到columns_priv表）检查权限表，但并不是所有的权限都要执行该过程。
例如，一个用户登录到MySQL服务器之后只执行对MySQL的管理操作，此时只涉及管理权限，因此MySQL只检查user表。
另外，如果请求的权限操作不被允许，MySQL也不会继续检查下一层级的表。

5. 角色管理

5.1 角色的理解

引入角色的目的是便管理拥有相同权限的用户 。恰当的权限设定，可以确保数据的安全性，这是至关重要的。
编辑

5.2 创建角色

创建角色使用 CREATE ROLE 语句，语法如下：

CREATE ROLE 'role_name'[@'host_name'] [,'role_name'[@'host_name']]...

角色名称的命名规则和用户名类似。
如果 host_name省略，默认为% ， role_name不可省略，不可为空。
创建一个经理的角色

CREATE ROLE 'manager'@'localhost';

5.3 给角色赋予权限

创建角色之后，默认这个角色是没有任何权限的，我们需要给角色授权。给角色授权的语法结构是：

GRANT privileges ON table_name TO 'role_name'[@'host_name'];

上述语句中privileges代表权限的名称，多个权限以逗号隔开。可使用SHOW语句查询权限名称，下图列出了部分权限列表。
编辑
编辑
举例：

//给经理角色授予商品信息表、盘点表和应付账款表的只读权限： 
GRANT SELECT ON demo.settlement TO 'manager'; 
GRANT SELECT ON demo.goodsmaster TO 'manager'; 
GRANT SELECT ON demo.invcount TO 'manager';

5.4 查看角色的权限

赋予角色权限之后，我们可以通过 SHOW GRANTS 语句，来查看权限是否创建成功了：

mysql> SHOW GRANTS FOR 'manager';
+-------------------------------------------------------+ 
| Grants for manager@% | 
+-------------------------------------------------------+ 
| GRANT USAGE ON *.* TO `manager`@`%` | 
| GRANT SELECT ON `demo`.`goodsmaster` TO `manager`@`%` |
| GRANT SELECT ON `demo`.`invcount` TO `manager`@`%` | 
| GRANT SELECT ON `demo`.`settlement` TO `manager`@`%` |
+-------------------------------------------------------+
//结果显示，库管角色拥有商品信息表的只读权限和盘点表的增删改查权限。

一旦你创建了一个角色，系统就会自动给你一个“ USAGE ”权限，意思是连接登录数据库的权限 。代码的最后三行代表了我们给角色“manager”赋予的权限，即对商品信息表、盘点表和应付账款表的只读权限。

5.5 回收角色的权限

角色授权后，可以对角色的权限进行维护，对权限进行添加或撤销。
添加权限使用GRANT语句，与角色授权相同。
撤销角色或角色权限使用REVOKE语句。
撤销角色权限的SQL语法如下：

REVOKE privileges ON tablename FROM 'rolename';

举例1：撤销school_write角色的权限。

//使用如下语句撤销school_write角色的权限。
REVOKE INSERT, UPDATE, DELETE ON school.* FROM 'school_write';
//撤销后使用SHOW语句查看school_write对应的权限，语句如下。  
SHOW GRANTS FOR 'school_write';

5.6 删除角色

当我们需要对业务重新整合的时候，可能就需要对之前创建的角色进行清理，删除一些不会再使用的角色。

DROP ROLE role [,role2]...

注意:

如果你删除了角色，那么用户也就失去了通过这个角色所获得的所有权限 。
举例：执行如下SQL删除角色school_read。

DROP ROLE 'school_read';

5.7 给用户赋予角色

角色创建并授权后，要赋给用户并处于激活状态才能发挥作用。
给用户添加角色可使用GRANT语句，语法形式如下：

GRANT role [,role2,...] TO user [,user2,...]; 
//role代表角色，user代表用户。可将多个角色同时赋予多个用户，用逗号隔开即可。

举例：给kangshifu用户添加角色school_read权限。
使用GRANT语句给kangshifu添加school_read权限，SQL语句如下:

GRANT 'school_read' TO 'kangshifu'@'localhost';

添加完成后使用SHOW语句查看是否添加成功，SQL语句如下:

SHOW GRANTS FOR 'kangshifu'@'localhost';

使用kangshifu用户登录，然后查询当前角色，如果角色未激活，结果将显示NONE。SQL语句如下:

SELECT CURRENT_ROLE();

编辑

5.8 激活角色

方式1：使用set default role 命令激活角色
举例：

SET DEFAULT ROLE ALL TO 'kangshifu'@'localhost';

举例：
使用SET DEFAULT ROLE 为下面4个用户默认激活所有已拥有的角色如下：

SET DEFAULT ROLE ALL TO  'dev1'@'localhost',  'read_user1'@'localhost',  'read_user2'@'localhost',  'rw_user1'@'localhost';

方式2：将activate_all_roles_on_login设置为ON
默认情况：

mysql> show variables like 'activate_all_roles_on_login';
+-----------------------------+-------+
 | Variable_name        | Value | 
+-----------------------------+-------+ 
| activate_all_roles_on_login | OFF  |
+-----------------------------+-------+ 
1 row in set (0.00 sec)

设置：

SET GLOBAL activate_all_roles_on_login=ON; 
//对所有角色永久激活;运行这条语句之后，用户才真正拥有了赋予角色的所有权限。

5.9 撤销用户的角色
撤销用户角色的SQL语法如下：

REVOKE role FROM user;

举例：撤销kangshifu用户的school_read角色。
（1）撤销的SQL语句如下

REVOKE 'school_read' FROM 'kangshifu'@'localhost';

（2）撤销后，查看kangshifu用户的角色信息

SHOW GRANTS FOR 'kangshifu'@'localhost';

5.10 设置强制角色(mandatory role)

方式1：服务启动前设置

[mysqld] mandatory_roles='role1,role2@localhost,r3@%.atguigu.com'

方式2：运行时设置

SET PERSIST mandatory_roles = 'role1,role2@localhost,r3@%.example.com'; 
//系统重启后仍然有效 
SET GLOBAL mandatory_roles = 'role1,role2@localhost,r3@%.example.com';  
//系统重启后失效

...