學學MySQL（一）——使用者管理和許可權管理

標籤：許可權管理   mysql   使用者管理   

在實際應用中，我們經常會有這樣一種需求——某一個項目的Team Dev只能對其進行中項目的資料庫及資料表進行增刪改查操作，而無權對其他項目的資料庫進行上述操作，這就不能單單使用一個 root 使用者來搞定，需要我們為 MySQL 添加普通使用者並賦予相應許可權。

 

1.建立/ 移除一個MySQL 普通使用者：

mysql> createuser ‘newuser’@’%’ identified by ‘thepassword’;

一旦使用者被建立，包括加密的密碼、許可權和資源限制在內的所有帳號細節都會被儲存在名為 mysql.user 的表中。

查看使用者是否建立成功：

mysql> selectu.user,u.host,u.password from mysql.user where u.user=’newuser’;

刪除使用者對應的命令為drop user ：

mysql> dropuser ‘newuser’@’%’;

補充：當然上面列出的是文藝青年的做法，如果你硬要做普通青年，也可以直接操作 mysql 資料庫的 user 表來建立 / 移除使用者：

mysql> usemysql;

mysql> insertinto user values (‘%‘,‘newuser‘,‘*AEA2E7D4D184B6C8F2702761DCC05BCF4421E31A‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘N‘,‘‘,‘‘,‘‘,‘‘,30,0,10,5);

mysql> deletefrom user where user=’newuser’ and host=’%’;

 

2.對使用者權限進行操作：

剛建立的 MySQL 使用者沒有任何存取權限，這種使用者當然不能在 MySQL 資料庫中進行任何操作，以下是相關權限等級：

all： 所有可用的許可權

select： 查看庫、表、視圖和索引

update： 修改表或列

delete： 刪除行

insert： 插入行（註：該許可權不能插入列，插入列相當於 alter 操作）

create： 建立庫、表和索引（不能建立視圖，需要create view許可權；同時，也不能建立暫存資料表）

alter： 修改表，包括添加列，修改表的欄位屬性及長度等

drop： 刪除庫、表、視圖和索引（對於視圖來說，沒有具體的 drop view 許可權，只要使用者有 drop 許可權就可以通過 drop view 命令刪除視圖，這一點與 create 許可權有別）

references： 操作外鍵

index： 操作索引

create view： 建立視圖

show view： 查看視圖（在具體實驗中感覺該許可權有沒有並不影響查看視圖，如果視圖已經建立，即便沒有該許可權，可以使用show tables; 命令查看，同時也可以使用 select 查看其詳細資料）

create temporarytables： 建立暫存資料表（create 許可權不涵蓋該許可權）

create routine： 建立預存程序、函數

alter routine： 修改預存程序、函數

execute： 執行預存程序、函數

（1）為 newuser 使用者授權：

mysql> grant<privileges> on <database>.<table> to ‘newuser’@’%’;

其中，<privileges>代表要授與權限，<database>.<table>代表要授予的具體資料庫及資料表，可以使用萬用字元 * ，最後代表要授予的使用者及 host 。

註：這裡需要特別說明的一點是，如果將 create / drop 許可權授予全部資料庫及資料表，如下所示：

mysql> grantcreate on *.* to ‘newuser’@’%’;

則 newuser 使用者可以建立資料庫及資料表；反之，如果只將 create / drop 許可權授予某個資料庫，如下所示：

mysql> grantcreate on proving.* to ‘newuser’@’%’;

則 newuser 使用者只能在 proving 資料庫下建立資料表，而不能建立新的資料庫。

（2）查看 newuser 使用者所擁有的許可權：

mysql> showgrants for ‘newuser’@’%’;

（3）刪除 newuser 使用者擁有的許可權：

mysql> revoke<privileges> on <database>.<table> from ‘newuser’@’%’;

參數與授權時代表的含義相同，只是授權為 grant … to … ，取消授權為 revoke … from … 。

刪除 newuser 使用者對 proving 資料庫中所有表的資料修改許可權：

mysql> revokeupdate on proving.* from ‘newuser’@’%’;

 

3.對使用者資源進行操作：

除了對使用者進行許可權操作以外，還能單獨設定 MySQL 的資源使用限制，可用的資源限制如下：

MAX_QUERIES_PER_HOUR  每小時允許的最大請求數量

MAX_UPDATES_PER_HOUR  每小時允許的最大更新數量

MAX_CONNECTIONS_PER_HOUR 每小時允許的最大串連數量

MAX_USER_CONNECTIONS  所有使用者對伺服器的同時串連數量

使用如下命令為newuser 使用者增加資源限制：

mysql> grantusage on <database>.<table> to ‘newuser’@’%’ with<resource-limits>;

在 <resource-limits>中可以指定多個使用空格分隔開的資源資源限制，如：

mysql> grantusage on proving.* to ‘newuser’@’%’ with max_queries_per_hour 30max_connections_per_hour 6;

暫時不知道如何取消這些資源限制，這裡先做一個大概瞭解。

 

註：

通過 grant 、 revoke 修改過使用者權限後，即便使用

mysql> flushprivileges;

命令，該使用者也只有在從新串連 MySQL時，新修改的許可權才會生效。mysql 庫中的授權表共有 5 個，分別是 user、db、host、tables_priv、columns_priv。許可權範圍越來越小，先做大概瞭解。

   有關許可權推薦一篇寫的比較詳細的部落格，寫的很清晰，看完以後感覺收穫很大，地址如下：

   http://www.cnblogs.com/Richardzhu/p/3318595.html

本文出自 “細桶假狗屎” 部落格，請務必保留此出處http://xitongjiagoushi.blog.51cto.com/9975742/1629990

學學MySQL（一）——使用者管理和許可權管理