MYSQL数据库管理中怎么实现权限管理

66次阅读
没有评论

共计 3409 个字符,预计需要花费 9 分钟才能阅读完成。

本篇文章为大家展示了 MYSQL 数据库管理中怎么实现权限管理,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

MYSQL 权限简介

关于 mysql 的权限简单的理解就是 mysql 允许你做你权利以内的事情, 不可以越界。比如只允许你执行 select 操作,那么你就不能执行 update 操作。只允许你从某台机器上连接 mysql,那么你就不能从除那台机器以外的其他机器连接 mysql。
那么 MYSQL 的权限是如何实现的呢?这就要说到 mysql 的两阶段的验证,下面详细来介绍:第一阶段:服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制,可以限制成本地、某个 IP、某个 IP 段、以及任何地方等,只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。第二阶段:如果你能连接,MYSQL 会检查你发出的每个请求,看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表,MYSQL 会检查你对哪个表或者某个列是否有权限。再比如,你要运行某个存储过程,MYSQL 会检查你对存储过程是否有执行权限等。

到底都有哪些权限呢?从官网复制一个表来看看:

权限权限级别权限说明
CREATE
数据库、表或索引
创建数据库、表或索引权限
DROP
数据库或表
删除数据库或表权限
GRANT OPTION
数据库、表或保存的程序
赋予权限选项
REFERENCES
数据库或表
 
ALTER
更改表,比如添加字段、索引等
DELETE
删除数据权限
INDEX
索引权限
INSERT
插入权限
SELECT
查询权限
UPDATE
更新权限
CREATE VIEW
创建视图权限
SHOW VIEW
查看视图权限
ALTER ROUTINE
存储过程
更改存储过程权限
CREATE ROUTINE
存储过程
创建存储过程权限
EXECUTE
存储过程
执行存储过程权限
FILE
服务器主机上的文件访问
文件访问权限
CREATE TEMPORARY TABLES
服务器管理
创建临时表权限
LOCK TABLES
服务器管理
锁表权限
CREATE USER
服务器管理
创建用户权限
PROCESS
服务器管理
查看进程权限
RELOAD
 
 
服务器管理
执行 flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload 等命令的权限
REPLICATION CLIENT
服务器管理
复制权限
REPLICATION SLAVE
服务器管理
复制权限
SHOW DATABASES
服务器管理
查看数据库权限
SHUTDOWN
服务器管理
关闭数据库权限
SUPER
服务器管理
执行 kill 线程权限

的权限如何分布,就是针对表可以设置什么权限,针对列可以设置什么权限等等,这个可以从官方文档中的一个表来说明:

权限分布
可能的设置的权限
Select , Insert , Update , Delete , Create , Drop , Grant , References , Index , Alter
Select , Insert , Update , References
过程权限
Execute , Alter Routine , Grant

针对权限这部分,最主要的是要知道 MYSQL 是如何验证的(两阶段验证),以及 mysql 各个权限是做什么用的,以及那些权限用在什么地方 (表 or 列?)。如果这些把握了那么 MYSQL 权限对你来说就是小菜一碟了,只要看一下后面的权限管理就可以融会贯通了。
 

MYSQL 权限经验原则

权限控制主要是出于安全因素,因此需要遵循一下几个经验原则:

只授予能满足需要的最小权限,防止用户干坏事。哈哈。比如用户只是需要查询,那就只给 select 权限就可以了,不要给用户赋予 update、insert 或者 delete 权限。

创建用户的时候限制用户的登录主机,一般是限制成指定 IP 或者内网 IP 段。

初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。

为每个用户设置满足密码复杂度的密码。

定期清理不需要的用户。回收权限或者删除用户。

MYSQL 权限实战

GRANT 命令使用说明

先来看一个例子,创建一个只允许从本地登录的超级用户 feihong,并允许将权限赋予别的用户,密码为 test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@ localhost IDENTIFIED BY test@feihong.111 WITH GRANT OPTION;

命令说明:

ALL PRIVILEGES 是表示所有权限,你也可以使用 select、update 等权限提到的权限。
ON 用来指定权限针对哪些库和表。
*.* 中前面的 * 号用来指定数据库名,后面的 * 号用来指定表名。
TO 表示将权限赋予某个用户。
feihong@ localhost 表示 feihong 用户,@后面接限制的主机,可以是 IP、IP 段、域名以及 %,% 表示任何地方。注意:这里 % 有的版本不包括本地,以前碰到过给某个用户设置了 % 允许任何地方登录,但是在本地登录不了,这个和版本有关系,遇到这个问题再加一个 localhost 的用户就可以了。
IDENTIFIED BY 指定用户的登录密码。
WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。注意:经常有人在创建操作用户的时候不指定 WITH GRANT OPTION 选项导致后来该用户不能使用 GRANT 命令创建用户或者给其他用户授权。
备注:可以使用 GRANT 重复给用户添加权限,权限叠加,比如你先给用户添加了一个 select 权限,然后又给用户添加了一个 insert 权限,那么该用户就同时拥有了 select 和 insert 权限。

创建一个超级用户

创建一个只允许从本地登录的超级用户 feihong,并允许将权限赋予别的用户,密码为 test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@ localhost IDENTIFIED BY test@feihong.111 WITH GRANT OPTION;

创建一个网站用户 (程序用户)

创建一个一般的程序用户,这个用户可能只需要 SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES 等权限如果有存储过程还需要加上 EXECUTE 权限,一般是指定内网网段 192.168.100 网段。

GRANT USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@ 192.168.100.% IDENTIFIED BY test@feihong.111

创建一个普通用户 (仅有查询权限)

GRANT USAGE,SELECT ON `test`.* TO public@ 192.168.100.% IDENTIFIED BY public@feihong.111

刷新权限

使用这个命令使权限生效,尤其是你对那些权限表 user、db、host 等做了 update 或者 delete 更新的时候。以前遇到过使用 grant 后权限没有更新的情况,大家可以养成习惯,只要对权限做了更改就使用 FLUSH PRIVILEGES 命令来刷新权限。

FLUSH PRIVILEGES;

查看权限

使用如下命令可以方便的查看到某个用户的权限:

SHOW GRANTS FOR webuser @ 192.168.100.%

回收权限

将前面创建的 webuser 用户的 DELETE 权限回收,使用如下命令

REVOKE DELETE ON test.* FROM webuser @ 192.168.100.%

删除用户

注意删除用户不要使用 DELETE 直接删除,因为使用 DELETE 删除后用户的权限并未删除,新建同名用户后又会继承以前的权限。正确的做法是使用 DROP USER 命令删除用户,比如要删除 webuser @ 192.168.100.% 用户采用如下命令:

DROP USER webuser @ 192.168.100.%

 
大家可以采用 percona-toolkit 工具中的 pt-show-grants 工具来辅助管理 mysql 权限。

上述内容就是 MYSQL 数据库管理中怎么实现权限管理,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-07-27发表,共计3409字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)