MySQL角色(role)功能介绍-阿里云开发者社区

MySQL角色(role)功能介绍

2022-05-31 579

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 RDS MySQL，集群系列 2核4GB

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

云数据库 RDS MySQL，高可用系列 2核4GB

简介： 上篇文章，我们介绍了 MySQL 权限管理相关知识。当数据库实例中存在大量的库或用户时，权限管理将会变得越来越繁琐，可能要频繁进行权限变更。MySQL 8.0 新增了 role 功能，使得权限管理更加方便，本篇文章我们来看下 8.0 下的 role 功能。

1. role 简介

role 角色功能对于 Oracle 数据库来说不算是什么特殊，在 Oracle 中经常被用到。MySQL 8.0 版本终于新增了 role 功能，为数据库用户权限管理提供了一种新思路。

role 可以看做一个权限的集合，这个集合有一个统一的名字 role 名。可以给多个数据库用户授予同个 role 的权限，权限变更可直接通过修改 role 来实现，不需要每个用户一个一个的去变更，方便运维和管理。role 可以创建、删除、修改并作用到它管理的用户上。

下面我们具体来体验下 role 角色功能：

# 创建role
mysql> create role 'dev_role';
Query OK, 0 rows affected (0.15 sec)
# 给role授予权限
mysql> grant select on db1.* to 'dev_role'@'%';
Query OK, 0 rows affected (0.12 sec)
# 查看role的权限
mysql> show grants for 'dev_role'@'%';
+-------------------------------------------+
| Grants for dev_role@%                     |
+-------------------------------------------+
| GRANT USAGE ON *.* TO `dev_role`@`%`      |
| GRANT SELECT ON `db1`.* TO `dev_role`@`%` |
+-------------------------------------------+
# 创建用户 并赋予角色权限
mysql> create user 'dev1'@'%' identified by '123456';
Query OK, 0 rows affected (0.68 sec)
mysql> grant 'dev_role' to 'dev1'@'%';
Query OK, 0 rows affected (0.38 sec)
# 查看用户权限
mysql> show grants for 'dev1'@'%';
+------------------------------------+
| Grants for dev1@%                  |
+------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`%`   |
| GRANT `dev_role`@`%` TO `dev1`@`%` |
+------------------------------------+
2 rows in set (0.63 sec)
# 使用dev1用户登录
root@localhost ~]# mysql -udev1 -p123456
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
+--------------------+
1 row in set (0.34 sec)
mysql> select CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| NONE           |
+----------------+
1 row in set (0.59 sec)

什么情况？貌似和我们想象不同，赋予用户某个角色权限后，该用户并没有获得相应权限。

出现上述情况的原因是，在用户会话中，授予该用户的角色处于非活动状态。只有授予的角色在会话中处于活动状态时，该用户才拥有此角色的权限，要确定当前会话中哪些角色处于活动状态，可以使用 CURRENT_ROLE() 函数。

# 使用 set default role 命令激活角色
mysql> SET DEFAULT ROLE ALL TO dev1;
Query OK, 0 rows affected (0.77 sec)
# 重新登录 发现权限正常
root@localhost ~]# mysql -udev1 -p123456
mysql> select CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| `dev_role`@`%` |
+----------------+
1 row in set (0.57 sec)
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| db1                |
| information_schema |
+--------------------+
2 rows in set (1.05 sec)

除了使用 set default role 命令激活角色外，还可以修改系统变量 activate_all_roles_on_login ，该变量决定是否自动激活 role ，默认为 OFF 即不自动激活，建议将该变量改为 ON ，这样以后赋予角色给新用户后就不需要再手动激活了。

# 查看 activate_all_roles_on_login 变量
mysql> show variables like 'activate_all_roles_on_login';
+-----------------------------+-------+
| Variable_name               | Value |
+-----------------------------+-------+
| activate_all_roles_on_login | OFF   |
+-----------------------------+-------+
1 row in set (1.53 sec)
# 启用该变量 先动态启用 之后可以将此参数加入my.cnf配置文件中
mysql> set global activate_all_roles_on_login = on;
Query OK, 0 rows affected (0.50 sec)
# 之后角色就会自动激活
mysql> create user 'dev2'@'%' identified by '123456';
Query OK, 0 rows affected (0.68 sec)
mysql> grant 'dev_role' to 'dev2'@'%';
Query OK, 0 rows affected (0.38 sec)
root@localhost ~]# mysql -udev2 -p123456
mysql> select CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| `dev_role`@`%` |
+----------------+
1 row in set (0.57 sec)
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| db1                |
| information_schema |
+--------------------+
2 rows in set (1.05 sec)

2. role 相关操作

上面我们介绍了创建角色及给用户授予角色权限，关于 role 相关操作还有很多，我们接着来看下。

# 变更角色权限
mysql> grant select on db2.* to 'dev_role'@'%';
Query OK, 0 rows affected (0.33 sec)
# 拥有该角色的用户 重新登录后权限也会对应变化
root@localhost ~]# mysql -udev1 -p123456
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| db1                |
| db2                |
| information_schema |
+--------------------+
3 rows in set (2.01 sec)
# 回收角色权限
mysql> revoke SELECT ON db2.* from 'dev_role'@'%';
Query OK, 0 rows affected (0.31 sec)
# 撤销用户的角色
mysql> revoke 'dev_role'@'%' from 'dev1'@'%';
Query OK, 0 rows affected (0.72 sec)
mysql> show grants for 'dev1'@'%';
+----------------------------------+
| Grants for dev1@%                |
+----------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`%` |
+----------------------------------+
1 row in set (1.06 sec)
# 删除角色 (删除角色后 对应的用户也会失去该角色的权限)
mysql> drop role dev_role;
Query OK, 0 rows affected (0.89 sec)

我们还可以通过 mandatory_roles 变量来配置强制性角色。使用强制性角色，服务器会为全部的用户户默认赋予该角色，而不需要显示执行授予角色。可以使用 my.cnf 文件或者使用 SET PERSIST 进行配置，例如：

# my.cnf 配置
[mysqld]
mandatory_roles='dev_role'
# set 更改变量
SET PERSIST mandatory_roles = 'dev_role';

需要注意的是，配置在 mandatory_roles 中的角色不能撤销其权限，也不能删除。

总结：

关于 role 角色相关知识，简单总结几点如下：

role 是一个权限的集合，可以被赋予不同权限。
开启 activate_all_roles_on_login 变量，才可以自动激活角色。
一个用户可以拥有多个角色，一个角色也可以授予多个用户。
角色权限变化会应用到对应用户。
删除角色，则拥有此角色的用户也会丧失此角色的权限。
可设置强制性角色，使得所有用户都拥有此角色的权限。
角色管理和用户管理相似，只是角色不能用于登录数据库。

MySQL角色(role)功能介绍

1. role 简介

2. role 相关操作

热门文章

最新文章

相关课程

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

MySQL角色(role)功能介绍

1. role 简介

2. role 相关操作

热门文章

最新文章

相关课程

相关电子书

相关实验场景