MySQL權限控制的簡單介紹

這篇文章主要介紹“MySQL權限控制的簡單介紹”，在日常操作中，相信很多人在MySQL權限控制的簡單介紹問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”MySQL權限控制的簡單介紹”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

背景：MySQL-5.7.11-GA 
1.MySQL權限控制的簡單介紹 
2.需求 
3.實現中需要解決的幾個問題 
4.初步方案的設計 
5.改進方案的設想 

1.MySQL權限控制的簡單介紹 
MySQL的權限控制，從范圍上，由大到小分為三個級別：MySQL級，DB級，對象級；

MySQL級指的是對MySQL實例本身產生影響的操作，包括但不限于修改MySQL的參數，如buffer_pool_size；關閉/啟動MySQL等等，比較明顯的特點在于MySQL級別的操作權限沒有指定具體的數據庫（同樣意味著對任何MySQL實例中的數據庫生效，類似于全局權限的意思），（特殊的情況：創建數據庫，雖然會指定數據庫名，但是這個數據庫本身不存在，所以也算是MySQL級的權限）；

DB級指的是針對已存在的具體數據庫的操作，包括修改數據庫的字符集，創建或者刪除具體的已存在的數據庫等，比較明顯的特點在于DB級的操作權限是限制在特定的數據庫中；

對象級的操作主要指影響的是某個數據庫內部的對象，例如表，索引，存儲過程等；

不同級別之間權限的相互影響：采用交集，即MySQL級+DB級+對象級；

可以得出MySQL權限設置有兩個特點， 
DB級和對象級的權限，在設置的時候就必須要指明具體的DB和對象，如果DB和對象未知，則只能靠MySQL級的去設置全局權限，針對現有/新創建的DB和對象生效； 
如果在高級別設置了權限，則會取所有級別的權限的交集，比如設置了create,insert on *.*（MySQL級別），create on testdb.*（DB級）中，MySQL級（全局權限）禁止掉的insert不會生效，依然可以insert數據到testdb的表中；但是設置了create,insert on testdb.*（DB級）和create on *.*（MySQL級）時，用戶是可以在testdb進行insert操作的，意味著在高級別的權限上，設置的--“沒有insert權限”并不會覆蓋低級別上單獨賦予的“insert權限”。
如圖：

權限控制在MySQL中的實現：具體的權限設置存儲于MySQL系統庫的一些表里面，MySQL級的設置存在于user表中，當一個client試圖連接MySQL實例的時候，會先檢查這個表中的權限（包括賬戶名，密碼，HOST的驗證），通過之后，才能連接到MySQL實例。

其他級別的設置會保存在db，tables_priv，column_priv等表里面，具體信息可以在數據庫中查看。

2.需求
希望能夠有一個“admin”角色，具備root的所有權限，除了修改MySQL的global設置和主從設置等；

3.實現中需要解決的幾個問題
首先想到的辦法就是：grant all on *.* to admin@'%' with grant option，然后revoke super on *.* from admin@'%'，不過問題來了， 在這種設置下，admin是可以直接update mysql.user表，然后手動添加super權限的；
而且如果要能創建新的DB，且為新的用戶賦予新DB的各種權限的話，就需要至少是Create+增刪改查的權限，且對象為全局（on *.*），那么同樣的，admin一樣可以修改mysql.user表。

4.初步方案的設計 
使用shell腳本，在里面添加sudo mysql -u -p -e來完成創建新DB，創建新用戶，授權等操作，然后禁止所使用的系統用戶對這個腳本的cat，vim，vi等文本操作權限；
這種方案的問題也不少：其他的用戶可以登錄DB Server；腳本中保存的root密碼可能會被自身不熟悉的方式獲取；etc...

5.改進方案的設想
如果有個web就好了，能夠屏蔽所有服務器端的細節和操作，在頁面上點點點就做完了_(:з」∠)_

到此，關于“MySQL權限控制的簡單介紹”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！