MySQL用戶和權限管理

前言

在MySQL 5.7.24中,關於用戶及用戶權限的相關信息,都保存在了mysql庫中的user表中,可以將user表中大致分爲用戶列、權限列、安全列、資源控制列這幾種。

1、用戶列

user表的用戶列包括 Host、 User、password,分別表示主機名、用戶名和密碼。其中 user和 Host爲user表的聯合主踺。當用戶與服務器之間建立連接時,輸入的賬戶信息中的用戶名稱、主機名和密碼必須匹配user表中對應的字段,只有3個值都匹配的時候,才允許連接的建立。這3 個字段的值就是創建賬戶時保存的賬戶信息。修改用戶密碼時,實際就是修改user表的password字段值。

2、權限列

權限列的字段決定了用戶的權限,描述了在全局範圍內允許對數據和數據庫進行的操作。包括查詢權限、修改權限等普通權限,還包括了關閉服務器、超級權限和加載用戶等高級權限。普通權限用於操作數據庫;高級權限用於數據庫管理。 user表中對應的權限是針對所有用戶數據庫的。這些字段值的類型爲 ENUM,可以取的值只能爲 Y和 N, Y表示該用戶有對應的權限; N表示用戶沒有對應的權限。查看user表的結構可以看到,這些字段的值默認都是 N。如果要修改權限,可以使用 GRANT語句或 UPDATE語句更改 user表的這些字段來修改用戶對應的權限。

3、安全列

安全列只有6個字段,其中兩個是 SSI相關的,2個是 x509相關的,另外2個是授權插件相關的。SSI用於加密; X509標準可用於標識用戶: Plugin字段標識可以用於驗證用戶身份的插件,如果該字段爲空,服務器使用內建授權驗證機制驗證用戶身份。可以通過 SHOW VARIABLES LIKE ' have_openssl'語句來查詢服務器是否支持 SSI功能。

4、資源控制列

資源控制列的字段用來限制用戶使用的資源,包含4個字段,分別爲:
1)Max_questions—用戶每小時允許執行的查詢操作次數。
2)Max_updates一用戶每小時允許執行的更新操作次數。
3)Max_connections—用戶每小時允許執行的連接操作次數。
4)Max_user_connections—用戶允許同時建立的連接次數。

一個小時內用戶查詢或者連接數量超過資源控制限制,用戶將被鎖定,直到下一個小時,纔可以在此執行對應的操作。可以使用GRANT語句更新這些字段的值。

注:若新建的用戶無法登錄到數據庫,排除權限錯誤的前提下,可以嘗試刷新權限,命令如下:

mysql> flush privileges;

在使用grant給用戶授權時,可以使用下面的指令查看有哪些權限可以授權給用戶:

mysql> SHOW PRIVILEGES;        

一、創建用戶

1、使用create user語句創建新用戶

1)方法1:

mysql> create user 'tom'@'localhost' identified by '123.com';

上面的語句是創建了一個tom用戶,只允許本機登錄,並且密碼爲123.com。

但是上面這種方式,密碼是以明文的方式寫下來的(雖然存儲進去後是密文的方式),但有些不安全,上述指令會在mysq.user這個表中產生tom這個用戶的信息,如下:

mysql> select * from user where User='tom'\G        <!--查詢User字段爲tom的列-->
*************************** 1. row ***************************
                  Host: localhost           <!--允許從哪個主機登錄-->
                  User: tom              <!--用戶名-->
                                    <!--以下是權限,“N”表示沒有對應的權限,“Y”表示擁有對應的權限-->
           Select_priv: N
           Insert_priv: N
           Update_priv: N
           Delete_priv: N
           Create_priv: N
             Drop_priv: N
           Reload_priv: N
         Shutdown_priv: N
          Process_priv: N
             File_priv: N
            Grant_priv: N
       References_priv: N
            Index_priv: N
            Alter_priv: N
          Show_db_priv: N
            Super_priv: N
 Create_tmp_table_priv: N
      Lock_tables_priv: N
          Execute_priv: N
       Repl_slave_priv: N
      Repl_client_priv: N
      Create_view_priv: N
        Show_view_priv: N
   Create_routine_priv: N
    Alter_routine_priv: N
      Create_user_priv: N
            Event_priv: N
          Trigger_priv: N
Create_tablespace_priv: N
              ssl_type: 
            ssl_cipher: 
           x509_issuer: 
          x509_subject: 
         max_questions: 0
           max_updates: 0
       max_connections: 0
  max_user_connections: 0
                plugin: mysql_native_password
 authentication_string: *AC241830FFDDC8943AB31CBD47D758E79F7953EA
 <!--上面是123.com經過哈希加密過的密碼-->
      password_expired: N
 password_last_changed: 2019-12-27 11:45:25
     password_lifetime: NULL
        account_locked: N
1 row in set (0.00 sec)

2)方法2:

mysql> select password('123.com');
+-------------------------------------------+
| password('123.com')                       |
+-------------------------------------------+
| *AC241830FFDDC8943AB31CBD47D758E79F7953EA |
+-------------------------------------------+
1 row in set, 1 warning (0.00 sec)

mysql> create user 'zhangyi'@'localhost' 
    -> identified by password '*AC241830FFDDC8943AB31CBD47D758E79F7953EA';
Query OK, 0 rows affected, 1 warning (0.00 sec)

上述命令是先將123.com字符串進行加密,然後創建用戶的時候,直接寫入加密後的密碼即可,但是需要添加password關鍵字。

創建後,zhangyi用戶在本機使用123.com這個密碼就可以登錄到數據庫了。

2、使用grant語句創建新用戶

mysql> grant select on test01.* to 'zhanger'@'localhost' identifiedd by '123.com';

上述指令在創建用戶zhanger的同時,指定其只允許本機登錄,密碼爲123.com,並且該用戶對test01這個庫的所有表具有select權限。

驗證:

[[email protected] ~]# mysql -uzhanger -p123.com         <!--使用zhanger用戶進行登錄-->
mysql> show databases;          <!--查看有哪些庫,其實還有很多,但是由於沒權限,所以不會顯示所有的庫-->
+--------------------+
| Database           |
+--------------------+
| information_schema |
| test01             |
+--------------------+
2 rows in set (0.00 sec)
mysql> use test01;           <!--切入到有權限的庫-->
mysql> show tables;         <!--查看所有表-->
+------------------+
| Tables_in_test01 |
+------------------+
| bank             |
| student          |
+------------------+
2 rows in set (0.00 sec)

mysql> select * from bank;             <!--查看某個表內容-->
+------+-------+
| name | money |
+------+-------+
| lu   |  1000 |
| qi   |  5000 |
+------+-------+
2 rows in set (0.00 sec)
mysql> update bank set money=600 where name='lu';       <!--試着更新表內容,但是由於只有select權限,所以會被拒絕-->
ERROR 1142 (42000): UPDATE command denied to user 'zhanger'@'localhost' for table 'bank'

二、刪除用戶

1、使用DROP USER語句刪除

mysql> drop user [email protected];

2、使用delete語句刪除用戶

mysql> delete from mysql.user where Host='localhost' and user='tom';

三、修改用戶密碼

1、在命令行使用mysqladmin命令修改用戶密碼

[[email protected] ~]# mysqladmin -uroot -p password '2008.com'  <!--將root用戶的密碼修改爲2008.com-->
Enter password:            <!--此處注意,需要填寫舊密碼-->
[[email protected] ~]# mysql -uroot -p123.com       <!--此時舊密碼已經無法登錄了-->
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
[[email protected] ~]# mysql -uroot -p2008.com     <!--使用新密碼登錄即可-->

2、修改MySQL數據庫的user表

<!--修改root密碼爲123.com-->
mysql> update mysql.user set authentication_string=password("123.com") where User="root" and Host="localhost";
mysql> flush privileges;

3、使用set語句修改當前用戶的密碼

mysql> set password=password('2019.com');

4、Root用戶修改普通用戶密碼

1)使用set語句來修改普通用戶

mysql> set password for 'liss'@'localhost'=password('123456');
<!--修改liss用戶的密碼爲123456-->

2)使用update語句修改普通用戶

mysql> update mysql.user set authentication_string=password("123.com") 
    -> where User='liss' and host='localhost';
<!--修改liss用戶的密碼爲123.com-->
mysql> flush PRIVILEGES;      <!--需要刷新一下纔可以生效-->

3)使用grant語句修改普通用戶密碼

mysql> grant select on *.* to 'liss'@'localhost' identified by '304.com';
<!--修改liss用戶的密碼爲304.com,同時賦予select權限-->

5、普通用戶修改自己的密碼

[[email protected] ~]# mysql -uliss -p304.com         <!--登錄-->
mysql> set password=password("lvjianzhao");     <!--修改密碼爲lvjianzhao-->

6、撤銷普通用戶的權限

在上面已經寫下了如何爲用戶授權,那麼這裏將寫下如何將用戶的已有權限撤銷。如下:

mysql> show grants for [email protected]\G     <!--查看用戶擁有的權限-->
mysql> revoke select on *.* from 'liss'@'localhost';      <!--將用戶的select權限撤銷-->
mysql> flush PRIVILEGES;       <!--刷新權限,至此,當用戶再次登錄,就沒有select權限了--> 

———————— 本文至此結束,感謝閱讀 ————————

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章