今天周天，早上懶了一會兒，起的有點(diǎn)兒晚，中午沒事兒干，重新看了看MySQL里面的權(quán)限控制模塊，再次回頭看，還是有很多收獲的細(xì)節(jié)，這里記錄一下，方便自己后續(xù)查看。 關(guān)于權(quán)限部分的內(nèi)容，之前3月11號的文章中有寫過一些，今天的內(nèi)容，我們使用一個一個的細(xì)節(jié)知識點(diǎn)來撰寫（本文中所使用的MySQL版本是5.7.16），在寫這些知識點(diǎn)之前，我們首先介紹一下MySQL的權(quán)限控制粒度、然后了解一下MySQL中客戶端發(fā)起請求的時候，服務(wù)端所做的核實(shí)工作，先來看權(quán)限控制粒度：

1、全局層級

全局權(quán)限使用于給一個給定服務(wù)器中的所有數(shù)據(jù)庫，這些權(quán)限存儲在mysql.user表中，使用grant all on *.*的方法和revoke all on *.*的方法授予或者回收權(quán)限。

2、數(shù)據(jù)庫層級

數(shù)據(jù)庫權(quán)限適用于一個給定數(shù)據(jù)庫中的所有目標(biāo)，包含表對象和存儲過程，這些權(quán)限存儲在mysql.db表中，使用grant all on db_name.*或者對應(yīng)的revoke方法可以授予和回收數(shù)據(jù)庫權(quán)限

3、表層級

表權(quán)限適用于一個給定表中的所有列，這些權(quán)限存儲在mysql的tables_priv表中，一般使用grant all on db_name.tbl_name和對應(yīng)的revoke語句來授予或者撤銷權(quán)限。

4、列層級的權(quán)限

列層級的權(quán)限適用于一個給定表中的指定列，這些權(quán)限存儲在mysql.columns_priv的表中，由于這個權(quán)限不常用，這里給出它的授權(quán)方法示例，如下：

首先我們創(chuàng)建一個用戶，擁有yeyztest.test1這個表的select權(quán)限：

mysql:mysql 19:35:38>>show grants for dba_yeyz@’192.168.18.%’ ;+------------------------------------------------------------------------------+| Grants for dba_yeyz@192.168.18.% |+------------------------------------------------------------------------------+| GRANT USAGE ON *.* TO ’dba_yeyz’@’192.168.18.%’ || GRANT SELECT ON `yeyztest`.`test1` TO ’dba_yeyz’@’192.168.18.%’|+------------------------------------------------------------------------------+2 rows in set (0.00 sec)

然后我們多test1中的一個字段id進(jìn)行update操作，結(jié)果如下：

mysql> select * from test1;+---------------+| id |+---------------+| 22 || 3333333333333 |+---------------+2 rows in set (0.00 sec)mysql> update test1 set id=2 where id=22;ERROR 1142 (42000): UPDATE command denied to user ’dba_yeyz’@’192.168.18.**’ for table ’test1’

當(dāng)然，我們是不能進(jìn)行update的，這個時候，我們使用root賬號給這個dba_yeyz的賬號一個id列的權(quán)限，然后再看它的結(jié)果：

mysql:mysql 19:38:38>>show grants for dba_yeyz@’192.168.18.%’ ;+------------------------------------------------------------------------------+| Grants for dba_yeyz@192.168.18.% |+------------------------------------------------------------------------------+| GRANT USAGE ON *.* TO ’dba_yeyz’@’192.168.18.%’ || GRANT SELECT ON `yeyztest`.`test1` TO ’dba_yeyz’@’192.168.18.%’ || GRANT SELECT, UPDATE (id) ON `yeyztest`.`test1` TO ’dba_yeyz’@’192.168.18.%’ |+------------------------------------------------------------------------------+3 rows in set (0.00 sec)

這里需要注意給字段添加權(quán)限的語句，也就是：

grant update (id) on yeyztest.test1 to XXXXXX

也就是在權(quán)限后面跟上字段的名稱。

這個時候，我們查詢一下columns_priv的表，可以看到里面的記錄是：

mysql:mysql 19:39:46>>select * from columns_priv;+--------------+----------+----------+------------+-------------+---------------------+-------------+| Host | Db | User | Table_name | Column_name | Timestamp | Column_priv |+--------------+----------+----------+------------+-------------+---------------------+-------------+| 192.168.18.% | yeyztest | dba_yeyz | test1 | id | 0000-00-00 00:00:00 | Update |+--------------+----------+----------+------------+-------------+---------------------+-------------+1 row in set (0.00 sec)

再次用dba_yeyz進(jìn)行update操作，可以看到結(jié)果：

mysql> update test1 set id=2 where id=22;Query OK, 1 row affected (0.00 sec)Rows matched: 1 Changed: 1 Warnings: 0mysql> select *from test1;+---------------+| id |+---------------+| 2 || 3333333333333 |+---------------+2 rows in set (0.00 sec)

將id=22的列成功改成了id=2。

5、子程序?qū)蛹?p> create routine、alter routine、execute和grant權(quán)限適用于已經(jīng)存儲的子程序，這些權(quán)限可以被授予為全局層級和數(shù)據(jù)庫層級，可以被存儲在mysql.procs_priv中。

客戶端發(fā)起請求的時候，MySQL服務(wù)器核實(shí)請求時候的流程圖如下：

我將今天看到的一些細(xì)節(jié)的知識點(diǎn)一個一個羅列出來，希望對大家有點(diǎn)兒幫助：

1、在MySQL5.7.16版本中，mysql系統(tǒng)庫中已經(jīng)沒有host表了，跟權(quán)限控制相關(guān)的表只有5個，分別是user、db、table_priv、proc_priv、column_priv。

2、mysql.user表的主鍵是用user和host聯(lián)合起來組成的，且看表結(jié)構(gòu)：

mysql--dba_admin@127.0.0.1:mysql 19:44:56>>show create table mysql.userG*************************** 1. row *************************** Table: userCreate Table: CREATE TABLE `user` ( `Host` char(60) COLLATE utf8_bin NOT NULL DEFAULT ’’, `User` char(32) COLLATE utf8_bin NOT NULL DEFAULT ’’,---------------權(quán)限字段（29個）-------------- `Select_priv` enum(’N’,’Y’) CHARACTER SET utf8 NOT NULL DEFAULT ’N’, ......此處省略---------------安全字段（4個）--------------- `ssl_type` enum(’’,’ANY’,’X509’,’SPECIFIED’) CHARACTER SET utf8 NOT NULL DEFAULT ’’, `ssl_cipher` blob NOT NULL, `x509_issuer` blob NOT NULL, `x509_subject` blob NOT NULL,---------------資源控制字段（4個）-------------- `max_questions` int(11) unsigned NOT NULL DEFAULT ’0’, `max_updates` int(11) unsigned NOT NULL DEFAULT ’0’, `max_connections` int(11) unsigned NOT NULL DEFAULT ’0’, `max_user_connections` int(11) unsigned NOT NULL DEFAULT ’0’,--------------插件字段（1個）--------------- `plugin` char(64) COLLATE utf8_bin NOT NULL DEFAULT ’mysql_native_password’,--------------密碼字段（5個）-------------- `authentication_string` text COLLATE utf8_bin, `password_expired` enum(’N’,’Y’) CHARACTER SET utf8 NOT NULL DEFAULT ’N’, `password_last_changed` timestamp NULL DEFAULT NULL, `password_lifetime` smallint(5) unsigned DEFAULT NULL, `account_locked` enum(’N’,’Y’) CHARACTER SET utf8 NOT NULL DEFAULT ’N’, PRIMARY KEY (`Host`,`User`) -------------聯(lián)合主鍵，host在前-----------) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT=’Users and global privileges’1 row in set (0.00 sec)

3、tables_priv表中只有以下權(quán)限，也就是關(guān)于表的權(quán)限：

select、insert、update、delete、drop、create、alter、grant、references、index、create view、show view、trigger；

columns_priv表中的權(quán)限只有下面四個：select、insert、update，references

4、修改一個用戶的密碼，一般有以下幾種方式：

set password for user@host = password(’newpassword’);update mysql.user set authentication_string=password(’pwd’) where user=’username’ and host=’hostname’;alter user user@host identified by ’newpassword’;mysqladmin -u username -h hostname -p password 'new password';

最好的方式是alter user的方法，事實(shí)上，在新的版本8.0中，set password的方法已經(jīng)不能使用了，所以建議使用alter user的方法設(shè)置新的密碼。

除此之外，還有一種方法，不太常用，就是使用grant的方法覆蓋掉之前的密碼，這里我們簡單實(shí)驗(yàn)一般，看看效果：

mysql:mysql 20:01:05>>GRANT SELECT ON `yeyztest`.`test` TO ’dba_yeyz’@’192.168.18.%’ identified by ’111111’;Query OK, 0 rows affected, 1 warning (0.00 sec)mysql:mysql 20:01:29>>select user,host,concat(user,’@’,’’’,host,’’’),authentication_string from mysql.user;+------------------+----------------+-----------------------------------+-------------------------------------------+| user | host | concat(user,’@’,’’’,host,’’’) | authentication_string |+------------------+----------------+-----------------------------------+-------------------------------------------+| dba_yeyz | 192.168.18.% | dba_yeyz@’192.168.18.%’ | *FD571203974BA9AFE270FE62151AE967ECA5E0AA |+------------------+----------------+-----------------------------------+-------------------------------------------+11 rows in set (0.00 sec)mysql:mysql 20:01:31>>GRANT SELECT ON `yeyztest`.`test` TO ’dba_yeyz’@’192.168.18.%’ identified by ’123456’;Query OK, 0 rows affected, 1 warning (0.00 sec)mysql:mysql 20:01:57>>select user,host,concat(user,’@’,’’’,host,’’’),authentication_string from mysql.user;+------------------+----------------+-----------------------------------+-------------------------------------------+| user | host | concat(user,’@’,’’’,host,’’’) | authentication_string |+------------------+----------------+-----------------------------------+-------------------------------------------+| dba_yeyz | 192.168.18.% | dba_yeyz@’192.168.18.%’ | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |+------------------+----------------+-----------------------------------+-------------------------------------------+1 rows in set (0.00 sec)

上面的測試可以看到，當(dāng)我們使用grant的方法給一個指定的用戶重新設(shè)置密碼的時候，之前的老密碼會被覆蓋，所以這個操作在線上應(yīng)該慎用，在每次grant的時候看看有沒有已經(jīng)存在的賬號，確認(rèn)沒有之后，再進(jìn)行g(shù)rant操作

5、如果我們不慎忘記了mysql的root密碼，可以重新啟動mysql服務(wù)，加上--skip-grant-tables這個參數(shù)來啟動mysql服務(wù)，這樣就可以直接免除了在權(quán)限表里面的匹配工作，直接登陸進(jìn)mysql服務(wù)中，從而修改root賬號的密碼。

6、如果使用update或者insert記錄到mysql.user表中的方法創(chuàng)建賬戶或者修改密碼，在執(zhí)行完語句之后，必須使用flush privileges的操作刷新權(quán)限表，否則該操作無法產(chǎn)生效果。

7、有幾個權(quán)限會影響mysqladmin工具的執(zhí)行，分別是

reload權(quán)限：影響flush操作

shutdown權(quán)限：影響shutdown操作

process權(quán)限：影響processlist操作

super權(quán)限：影響kill操作

8、之前提到了mysql.user表中的資源控制的字段，分別是

max_questions每小時最大請求數(shù)、max_updates每小時最大更新數(shù)、max_connections每小時最大連接數(shù)、max_user_connections單個用戶可同時建立的最大連接數(shù)。

如果我們想給一個用戶設(shè)置這個參數(shù)，可以使用如下的SQL來進(jìn)行設(shè)置：

mysql:mysql 20:01:58>>GRANT SELECT ON `yeyztest`.`test` TO ’dba_yeyz’@’192.168.18.%’ with max_queries_per_hour 1000;Query OK, 0 rows affected, 1 warning (0.00 sec)mysql:mysql 20:13:13>>select user,host,max_questions from mysql.user where user=’dba_yeyz’; +----------+--------------+---------------+| user | host | max_questions |+----------+--------------+---------------+| dba_yeyz | 192.168.18.% | 1000 |+----------+--------------+---------------+1 row in set (0.00 sec)

注意到，這里的grant語句中使用了with這個選項(xiàng)，with后面可以跟的選項(xiàng)有5個，分別是：

grant option：被授權(quán)的用戶可以將這些權(quán)限賦予別的用戶

max_queries_per_hour count:每個小時可以執(zhí)行count次查詢；

max_updates_per_hour count:每個小時可以執(zhí)行count次更新；

max_connections_per_hour count:每個小時可以建立count個連接；

max_user_connections count：設(shè)置單個用戶可以同時建立count個連接

9、設(shè)置全局變量：

SET GLOBAL default_password_lifetime = 180;

SET GLOBAL default_password_lifetime = 0;

可以設(shè)置密碼的生命周期為6個月，6個月之后失效，如果設(shè)置為0，則一直有效。

當(dāng)然，還可以在創(chuàng)建用戶的時候就指定密碼的修改周期或者禁用密碼的修改周期：

CREATE USER ’jeffrey’@’localhost’ PASSWORD EXPIRE INTERVAL 90 DAY;ALTER USER ’jeffrey’@’localhost’ PASSWORD EXPIRE INTERVAL 90 DAY;CREATE USER ’jeffrey’@’localhost’ PASSWORD EXPIRE NEVER;ALTER USER ’jeffrey’@’localhost’ PASSWORD EXPIRE NEVER;

10、有時候我們似乎已經(jīng)刪除了賬號密碼，但是卻還可以通過賬號密碼進(jìn)行訪問，這個時候，需要檢查一個設(shè)置，就是看看user表中是否有空記錄：

select user,host from mysql.user where user=’’;

很有可能是你設(shè)置了user為空的記錄，這樣導(dǎo)致所有的用戶都可以直接登陸。如果有，最好直接干掉它，因?yàn)樗`背了安全的宗旨。

以上就是MySQL 權(quán)限控制細(xì)節(jié)分析的詳細(xì)內(nèi)容，更多關(guān)于MySQL 權(quán)限控制的資料請關(guān)注好吧啦網(wǎng)其它相關(guān)文章！