MySql的用户权限

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 用户管理MySQL数据库中的表与其他任何关系表没有区别,都可以通过典型的SQL命令修改其结构和数据。可以使用GRANT和REVOKE命令。通过这些命令,可以创建和禁用用户,可以在线授予和撤回用户访问权限。

用户管理

MySQL数据库中的表与其他任何关系表没有区别,都可以通过典型的SQL命令修改其结构和数据。可以使用GRANT和REVOKE命令。通过这些命令,可以创建和禁用用户,可以在线授予和撤回用户访问权限。在5.0版本中增加了两个新命令:CREATE USER和DROP USER。从而能更容易地增加新用户、删除和重命名用户,还增加了第三个命令RENAME USER用于重命名现有的用户。

使用CREATE USER命令创建用户

CREATE USER用于创建新的MySQL账户。要使用CREATE USER语句,您必须拥有mysql数据库的全局CREATE USER权限,或拥有INSERT权限。对于每个账户,CREATE USER会在没有权限的mysql.user表中创建一条新记录。如果账户已经存在,则出现错误。使用自选的IDENTIFIED BY子句,'可以为账户设置一个密码。user和密码的设置方法与GRANT语句一样。其命令的原型如下:

CREATE USER user [IDENTIFIED BY [PASSWORD 'PASSWORD'] [,user [IDENTIFIED BY [PASSWORD'PASSWORD']]……

create user temp identified by '123456';

使用DROP USER命令删除用户

如果存在一个或是多个账户被闲置,应当考虑将其删除,确保不会用于可能的违法活动。利用DROP USER命令就能很容易地从权限表中删除用户的所有信息,即来自所有授权表的账户权限记录。DROP USER命令原型如下:

DROP USER user [,user] ……

ps"DROP USER不能自动关闭任何打开的用户对话;而且,如果用户有打开的对话,此时取消用户,则命令不会生效,直到用户对话被关闭后才生效。一旦对话被关闭,用户也被取消,此用户再次试图登录时将会失败。

使用RENAME USER命令重命名用户

RENAMEUSER语句用于对原有MySQL账户进行重命名。RENAMEUSER语句的命令原型如下:

RENAME USER old_user TO new_user [,old_user TO new_user] ……

ps:如果旧账户不存在或者新账户已存在,则会出现错误。

权限管理

GRANT和REVOKE命令

GRANT和REVOKE命令用来管理访问权限,也可以用来创建和删除用户,但在MySQL5.0.2中可以利用CREATE USER和DROP USER命令更容易地实现这些任务。GRANT和REVOKE命令对于谁可以操作服务器及其内容的各个方面提供了多程度的控制,从谁可以关闭服务器,到谁可以修改特定表字段中的信息都能控制。

如果授权表拥有含有mixed-case数据库或表名称的权限记录,并且lower_case_table_names系统变量已设置,则不能使用REVOKE撤销权限,必须直接操纵授权表。(当lower_case_table_names已设置时,GRANT将不会创建此类记录,但是此类记录可能已经在设置变量之前被创建了。)

授予的权限可以分为多个层级:

  1. 全局层级适用于一个给定服务器中的所有数据库,这些权限存储在mysql.user表中。GRANT ALL ON *.*和REVOKE ALL ON *.*只授予和撤销全局权限。
  2. 数据库层级适用于一个给定数据库中的所有目标,这些权限存储在mysql.dbmysql.host表中。GRANT ALL ON db_name .*和REVOKE ALL ON db_name .*只授予和撤销数据库权限。
  3. 表层级适用于一个给定表中的所有列,这些权限存储在mysql.tables_priv表中。GRANT ALL ON db_name.tbl_name和REVOKE ALL ON db_name.tbl_name只授予和撤销表权限。
  4. 列层级适用于一个给定表中的单一列,这些权限存储在mysql.columns_priv表中。当使用REVOKE时,您必须指定与被授权列相同的列。
  5. 子程序层级,CREATE ROUTINE, ALTER ROUTINE, EXECUTE和GRANT权限适用于已存储的子程序,这些权限可以被授予为全局层级和数据库层级;而且,除了CREATE ROUTINE外,这些权限可以被授予为子程序层级,并存储在mysql.procs_priv表中。
    grant all on *.* to user identified by '123456' with grant option;
    --授予用户名为user、密码为123456的用户使用所有数据库的所有权限,并允许他向其他人授予这些权限。
    revoke all privileges,grant from user;
    grant usage on books.* to user identified by '123456';
    --创建一个没有任何权限的常规用户
    grant select,insert,update,delete,index,alter,create,drop on books.* to user;
    --为用户user授予适当的权限
    revoke alter,create,drop on books.* from user;
    --减少权限
    revoke all on books.* from user;
    --撤销所有的权限

ps:当用户使用GRANT和REVOKE命令更改用户权限后,退出MySQL系统,用户使用新账户名登录MySQL的时候,可能会因为没有刷新用户授权表而导致登录错误。这是因为在用户设置完账号后,只有重新加载授权表才能使之前设置的授权表生效。使用FLUSH PRIVILEGES命令可以重载授权表。另外,需要注意的是,只有如“root”这样拥有全部权限的用户才可以执行此命令。当用户重载授权表后,退出MySQL后,使用新创建的用户名即可正常登录MySQL。

MySQL数据库安全技术的常见问题

权限更改何时生效

MySQL服务器启动的时候以及使用GRANT和REVOKE语句的时候,服务器会自动读取grant表。但是,既然我们知道这些权限保存在什么地方以及它们是如何保存的,就可以手动修改它们。当手动更新它们的时候,MySQL服务器将不会注意到它们已经被修改了。

我们必须向服务器指出已经对权限进行了修改,有3种方法可以实现了这个任务。可以在MySQL命令提示符下(必须以管理员的身份登录进入)键入如下命令:

flush privileges;

mysqladmin flush-privileges

mysqladmin reload

此后,当用户下次再连接的时候,系统将检查全局级别权限;当下一个命令被执行时,将检查数据库级别的权限;而表级别和列级别权限将在用户下次请求的时候被检查。

设置账户密码

(1)可以用mysqladmin命令在命令行指定密码:

mysqladmin -u user_name -h host_name password "newpwd"

mysqladmin -u root  password  "newpass"
mysqladmin -u root  password  oldpass  "newpass"

mysqladmin命令重设服务器为host_name,且用户名为user_name的用户的密码,新密码为“newpwd”。

(2)通过set password命令设置用户的密码:

set password for 'jeffrey'@'localhost'=password('biscuit');

只有以root用户(可以更新mysql数据库的用户)身份登录,才可以更改其他用户的密码。如果你没有以匿名用户连接,省略for子句便可以更改自己的密码:

set password=password('biscuit');

(3)在全局级别下使用GRANT USAGE语句(在*.*)指定某个账户的密码,而不影响账户当前的权限:

GRANT USAGE ON *.* TO 'jeffrey'@'localhost' IDENTIFIED BY 'biscuit';

(4)在创建新账户时建立密码,要为password列提供一个具体值:

mysql -uroot -p mysql  --制定use mysql数据库

INSERT INTO user(Host, User, Password)VALUES('localhost','jeffrey',PASSWORD('biscuit'));

FLUSH PRIVILEGES;

(5)更改已有账户的密码,要应用UPDATE语句来设置password列值:

mysql -uroot -p mysql

UPDATE user SET Password=PASSWORD('bagel')WHERE Host='localhost' AND User='francis';

FLUSH PRIVILEGES;

ps:

  1. 当使用SET PASSWORD、INSERT或者UPDATE指定账户的密码时,必须用PASSWORD()函数对它进行加密。(唯一的特例是如果密码为空,则不需要使用PASSWORD())。之所以使用PASSWORD()是因为user表以加密方式保存密码,而不是明文。如果采用没有进行加密的方式设置密码,连接使用的密码值将被加密,并同保存在user表中的密码进行比较。但是,保存的值为明文,因此比较将失败,服务器拒绝连接。
  2. 如果使用GRANT……IDENTIFIED BY语句或mysqladmin password命令设置密码,它们均会自动加密密码。在这种情况下,不需要使用PASSWORD()函数对密码进行加密。

使密码更安全

(1)在管理级别,切忌不能将mysql.user表的访问权限授予任何非管理账户。

(2)采用下面的命令模式来连接服务器,以此来隐藏你的密码。命令如下:

mysql -uroot -p db_name

Enter password:********

“*”字符指定输入密码的地方,输入的密码是不可见的。因为它对其他用户不可见,与在命令行上指定它相比,这样进入你的密码更安全。

(3)如果想要从非交互式方式下运行一个脚本调用一个客户端,就没有从终端输入密码的机会。其最安全的方法是让客户端程序提示输入密码或在适当保护的选项文件中指定密码。

 

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
7月前
|
SQL 关系型数据库 MySQL
mysql用户权限设置
mysql用户权限设置
189 1
|
7月前
|
存储 关系型数据库 MySQL
mysql(三)用户权限管理
为什么要设置用户权限?MySQL设置用户管理权限的主要目的是为了确保数据库的安全性和数据的机密性。以下是一些原因。
378 1
mysql(三)用户权限管理
|
4月前
|
关系型数据库 MySQL 数据库
MySQL用户权限管理你知道多少?
MySQL用户权限管理你知道多少?
125 0
|
SQL 关系型数据库 MySQL
MySQL 数据控制语言(DCL):管理用户权限
MySQL 是一个强大的关系型数据库管理系统,提供了丰富的功能和选项来管理数据库和用户。数据库管理员(DBA)通常使用数据控制语言(Data Control Language,简称 DCL)来管理用户的权限和访问。 本文将详细介绍 MySQL DCL 的基本概念,包括如何创建用户、授权和撤销权限等,同时提供示例代码以帮助您更好地理解。
452 2
|
6月前
|
关系型数据库 MySQL 数据库
5.Mysql 用户权限管理
5.Mysql 用户权限管理
45 0
|
关系型数据库 MySQL 数据安全/隐私保护
mysql权限管理查看用户权限
mysql权限管理查看用户权限
126 0
|
存储 关系型数据库 MySQL
MySQL触发器以及用户权限
MySQL触发器以及用户权限
229 0
|
存储 编解码 关系型数据库
案例分享:Qt激光加工焊接设备信息化软件研发(西门子PLC,mysql数据库,用户权限控制,界面设计,参数定制,播放器,二维图,rgv小车,期限控制,参数调试等)
国产大型机床中Qt上位机激光焊接系统软件案例分享,介绍了Qt在国产化机床上的各种应用案例,并附上案例的具体功能界面供大家学习
案例分享:Qt激光加工焊接设备信息化软件研发(西门子PLC,mysql数据库,用户权限控制,界面设计,参数定制,播放器,二维图,rgv小车,期限控制,参数调试等)
|
安全 关系型数据库 MySQL
mysql:MySQL数据库修改用户权限(远程访问权限、操作权限)
mysql:MySQL数据库修改用户权限(远程访问权限、操作权限)
2906 0
mysql:MySQL数据库修改用户权限(远程访问权限、操作权限)
|
关系型数据库 MySQL 数据库
MySQL配置用户权限(mysql5.*及mysql8.*+)
MySQL配置用户权限(mysql5.*及mysql8.*+)
463 0