入门MySQL——用户与权限

前言： 

前面几篇文章为大家介绍了各种sql语法的使用，本篇文章将主要介绍mysql用户及权限相关知识，如果你不是dba的话可能平时用的不多，但是了解下也是好处多多。

1.创建用户

官方推荐创建语法为：

create user [if not exists]
    user [auth_option] [, user [auth_option]] ...
    [require {none | tls_option [[and] tls_option] ...}]
    [with resource_option [resource_option] ...]
    [password_option | lock_option] ...

user:
    (see section 6.2.4, “specifying account names”)

auth_option: {
    identified by 'auth_string'
  | identified with auth_plugin
  | identified with auth_plugin by 'auth_string'
  | identified with auth_plugin as 'auth_string'
  | identified by password 'auth_string'
}

tls_option: {
   ssl
 | x509
 | cipher 'cipher'
 | issuer 'issuer'
 | subject 'subject'
}

resource_option: {
    max_queries_per_hour count
  | max_updates_per_hour count
  | max_connections_per_hour count
  | max_user_connections count
}

password_option: {
    password expire
  | password expire default
  | password expire never
  | password expire interval n day
}

lock_option: {
    account lock
  | account unlock
}

通常我们常用的创建语法为：

create user <用户名> [ identified ] by [ password ] <口令>

语法说明如下：
1) 用户名>
指定创建用户账号，格式为 'user_name'@'host_name'。这里user_name是用户名，host_name为主机名，即用户连接 mysql 时所在主机的名字。若在创建的过程中，只给出了账户的用户名，而没指定主机名，则主机名默认为“%”，表示一组主机。
2) password
可选项，用于指定散列口令，即若使用明文设置口令，则需忽略password关键字；若不想以明文设置口令，且知道 password() 函数返回给密码的散列值，则可以在口令设置语句中指定此散列值，但需要加上关键字password。
3) identified by子句
用于指定用户账号对应的口令，若该用户账号无口令，则可省略此子句。
4) 口令>
指定用户账号的口令，在identified by关键字或passwoed关键字之后。给定的口令值可以是只由字母和数字组成的明文，也可以是通过 password() 函数得到的散列值。

使用 create user 语句应该注意以下几点：

• 如果使用 create user 语句时没有为用户指定口令，那么 mysql 允许该用户可以不使用口令登录系统，然而从安全的角度而言，不推荐这种做法。
• 使用 create user 语句必须拥有 mysql 中 mysql 数据库的 insert 权限或全局 create user 权限。
• 使用 create user 语句创建一个用户账号后，会在系统自身的 mysql 数据库的 user 表中添加一条新记录。若创建的账户已经存在，则语句执行时会出现错误。
• 新创建的用户拥有的权限很少。他们可以登录 mysql，只允许进行不需要权限的操作，如使用 show 语句查询所有存储引擎和字符集的列表等。
• 如果两个用户具有相同的用户名和不同的主机名，mysql 会将他们视为不同的用户，并允许为这两个用户分配不同的权限集合。

示例：

#注意：test_user@'%' 和 test_user@'localhost' 是两个不同的用户
create user 'test_user'@'%' identified by '123456';
create user 'test_user'@'localhost' identified by '123456789';

2.更改用户

更改用户信息主要包括重命名，改密码，锁定或解锁用户。下面将通过案例为大家展示这些用法：

#重命名用户
rename user 'test_user'@'%' to 'test'@'%';

#修改密码
alter user 'test'@'%' identified by '123456789';

#锁定或解锁用户
alter user 'test'@'%' account lock;
alter user 'test'@'%' account unlock;

3.删除用户

mysql 数据库中可以使用 drop user 语句来删除一个或多个用户账号以及相关的权限。
官方推荐语法格式：

drop user [if exists] user [, user] ...

使用 drop user 语句应该注意以下几点：

• drop user 语句可用于删除一个或多个 mysql 账户，并撤销其原有权限。
• 使用 drop user 语句必须拥有 mysql 中的 mysql 数据库的 delete 权限或全局 create user 权限。
• 在 drop user 语句的使用中，若没有明确地给出账户的主机名，则该主机名默认为“%”。

4.用户授权

当成功创建用户后，还不能执行任何操作，需要为该用户分配适当的访问权限。可以使用 show grant for 语句来查询用户的权限。

注意：新创建的用户只有登录 mysql 服务器的权限，没有任何其他权限，不能进行其他操作。
usage on . 表示该用户对任何数据库和任何表都没有权限。

对于新建的 mysql 用户，必须给它授权，可以用 grant 语句来实现对新建用户的授权。官方推荐语法格式：

grant
    priv_type [(column_list)]
      [, priv_type [(column_list)]] ...
    on [object_type] priv_level
    to user [auth_option] [, user [auth_option]] ...
    [require {none | tls_option [[and] tls_option] ...}]
    [with {grant option | resource_option} ...]

grant proxy on user
    to user [, user] ...
    [with grant option]

object_type: {
    table
  | function
  | procedure
}

priv_level: {
    *
  | *.*
  | db_name.*
  | db_name.tbl_name
  | tbl_name
  | db_name.routine_name
}

user:
    (see section 6.2.4, “specifying account names”)

auth_option: {
    identified by 'auth_string'
  | identified with auth_plugin
  | identified with auth_plugin by 'auth_string'
  | identified with auth_plugin as 'auth_string'
  | identified by password 'auth_string'
}

tls_option: {
    ssl
  | x509
  | cipher 'cipher'
  | issuer 'issuer'
  | subject 'subject'
}

resource_option: {
  | max_queries_per_hour count
  | max_updates_per_hour count
  | max_connections_per_hour count
  | max_user_connections count
}

首先大家要知道，权限是分级别的。可以授予的权限有如下几组：

• 列级别，和表中的一个具体列相关。例如，可以使用 update 语句更新表 students 中 student_name 列的值的权限。
• 表级别，和一个具体表中的所有数据相关。例如，可以使用 select 语句查询表 students 的所有数据的权限。
• 数据库级别，和一个具体的数据库中的所有表相关。例如，可以在已有的数据库 mytest 中创建新表的权限。
• 全局，和 mysql 中所有的数据库相关。例如，可以删除已有的数据库或者创建一个新的数据库的权限。

下表是所有可授予的权限及其意义：

其实grant语句可以直接创建用户并授权，这里建议大家先用create user语句创建好用户之后再单独进行授权。下面我将用示例为大家展示如何授权：

#全局权限
grant super,select on *.* to 'test_user'@'%';

#库权限
grant select,insert,update,delete,create,alter,execute on `testdb`.* to 'test_user'@'%';

#表权限
grant select,insert on `testdb`.tb to 'test_user'@'%';

#列权限
grant select (col1), insert (col1, col2) on `testdb`.mytbl to 'test_user'@'%';

5.回收权限

在mysql中，可以使用 revoke 语句回收一个用户的权限，此用户不会被删除。

revoke
    priv_type [(column_list)]
      [, priv_type [(column_list)]] ...
    on [object_type] priv_level
    from user [, user] ...

revoke all [privileges], grant option
    from user [, user] ...

语法说明如下：

• revoke 语法和 grant 语句的语法格式相似，但具有相反的效果。
• 第一种语法格式用于回收某些特定的权限。
• 第二种语法格式用于回收特定用户的所有权限。
• 要使用 revoke 语句，必须拥有 mysql 数据库的全局 create user 权限或 update 权限。

一般情况下我们先会使用show grants语法查询该用户的权限，如果发现权限过大，会用revoke语法回收权限。示例如下：

#查看用户权限
mysql> show grants for 'test_user'@'%';
+-----------------------------------------------------------------------------------------------------+
| grants for test_user@%                                                                              |
+-----------------------------------------------------------------------------------------------------+
| grant usage on *.* to 'test_user'@'%'                                                               |
| grant select, insert, update, delete, create, drop, alter, execute on `testdb`.* to 'test_user'@'%' |
+-----------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

#发现权限过大，想回收drop，alter权限 则可以这样回收：
revoke drop,alter on `testdb`.* from 'test_user'@'%';

总结： 

本篇文章为大家介绍了如何创建，更改，删除用户以及如何授于和回收权限。希望大家能对mysql中用户管理这一块能有更深的认识。入门mysql系列文章写了好几篇了，一开始并没有想好写多少篇的准备，可能逻辑也不太合理，还是感谢大家的阅读。最后一篇打算写备份与恢复相关内容，大家期待一下哦！