簡(jiǎn)述構(gòu)成mysql權(quán)限控制步驟

1、mysql的權(quán)限是，從某處來的用戶對(duì)某對(duì)象的權(quán)限。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了雨山免費(fèi)建站歡迎大家使用！

2、mysql的權(quán)限采用白名單策略，指定用戶能做什么，沒有指定的都不能做。

3、權(quán)限校驗(yàn)分成兩個(gè)步驟：

a、能不能連接，檢查從哪里來，用戶名和密碼，常見錯(cuò)誤 ERROR 1045 (28000): Access denied for user ...

b、能不能執(zhí)行操作，粒度從粗到細(xì)，分別為：mysql.user, mysql.db, msql.tables_priv, mysql.columns_priv, mysql.proc_priv。

需要注意的是，這些表各有分工，但是在權(quán)限分配上有一定的重合。

可以這樣理解，mysql 先檢查對(duì)大范圍是否有權(quán)限，如果沒有再到小范圍里去檢查。比如：先檢查對(duì)這個(gè)數(shù)據(jù)庫(kù)是否有select權(quán)限，如果有，就允許執(zhí)行。如果沒有，再檢查對(duì)表是否有select權(quán)限，一直到最細(xì)粒度，也沒有權(quán)限，就拒絕執(zhí)行。舉例來說：要檢查張三能否控制一個(gè)團(tuán)，我只要先檢查張三能否控制一個(gè)軍，如果可以，就是有權(quán)限，如果不行，再檢查張三能否控制一個(gè)師。因此，粒度控制越細(xì)，權(quán)限校驗(yàn)的步驟越多，性能越差，需要考慮。

4、mysql服務(wù)啟動(dòng)之后，就會(huì)把權(quán)限有關(guān)的表的數(shù)據(jù)讀到內(nèi)存中，對(duì)權(quán)限做的修改，是否會(huì)即時(shí)生效？要看情況，手動(dòng)修改表數(shù)據(jù)，需要 flush privileges

5、創(chuàng)建用戶 create user，修改密碼 set password，注意 alter user只是設(shè)置密碼過期，可以登錄，但是不能執(zhí)行任何操作，必須從新設(shè)置密碼，刪除用戶 drop user

6、host+user 標(biāo)示唯一的一個(gè)用戶，也就是說都叫張三，從不同地方來的張三是兩個(gè)用戶，他們有不同的權(quán)限。

7、那么問題來了，表中有兩條記錄：'root'@'192.168.1.101' 和 'root'@'%', 現(xiàn)在root來登錄，mysql 怎么匹配呢？認(rèn)為是哪個(gè)root呢？

mysql 對(duì)用戶進(jìn)行了排序，先對(duì)host排序，再對(duì)user排序，小范圍在前面，大范圍在后面，從上往下匹配。

8、權(quán)限授予，grant 權(quán)限 on 對(duì)象 to 用戶@哪里來 identified by 密碼

9、收回權(quán)限，revoke 權(quán)限 on 對(duì)象 from 用戶@哪里來，注意revoke 必須要與grant 對(duì)應(yīng)，也就是說，只能收回授予的權(quán)限。

10、那么問題來了，我授予張三 select的權(quán)限，現(xiàn)在revoke all privileges 也不能收回張三select的權(quán)限，因?yàn)闆]有對(duì)張三 grant all privileges，怎么解決這個(gè)問題？

使用 revoke all privileges，grant option from user

11、權(quán)限級(jí)別：從某臺(tái)主機(jī)來的某個(gè)用戶，對(duì)某個(gè)數(shù)據(jù)庫(kù)中某個(gè)表的某些列的某部分記錄，是否有權(quán)限。

12、全局：對(duì)象是mysql服務(wù)的所有數(shù)據(jù)庫(kù)，包含服務(wù)級(jí)的管理權(quán)限，比如showdown

13、數(shù)據(jù)庫(kù)：對(duì)象是某一個(gè)數(shù)據(jù)庫(kù)

14、表：對(duì)象是數(shù)據(jù)庫(kù)中某個(gè)表

15、列：對(duì)象是表中的某個(gè)列，比如：grant select (name) on xxx to xxx

16、程序：對(duì)象是存儲(chǔ)過程和方法。

17、information_scheme，數(shù)據(jù)庫(kù)和表是存放數(shù)據(jù)的，那么誰(shuí)來存放 數(shù)據(jù)庫(kù)和表這些信息呢？ information_scheme 就是記錄數(shù)據(jù)庫(kù)和表的，需要注意的是，infromation_scheme沒有對(duì)應(yīng)的物理文件，它是mysql在內(nèi)存中維護(hù)的。

18、權(quán)限設(shè)定原則：

a、盡量縮小權(quán)限

b、按業(yè)務(wù)，分離用戶，不同的業(yè)務(wù)對(duì)應(yīng)不同的用戶

c、避免權(quán)限粒度太細(xì)，因?yàn)閙ysql權(quán)限檢查，會(huì)影響性能。

19、文件泄密，linux下mysql客戶端執(zhí)行的操作記錄在文件 ~/.mysql_history中，輸出重定向/dev/null

20、密碼丟失怎么辦？

a、mysql啟動(dòng)，增加選項(xiàng)重置密碼

b、mysql啟動(dòng)，增加選項(xiàng)不檢查權(quán)限，登陸后修改密碼，退出重啟啟動(dòng)。

mysql 怎么收回root權(quán)限

如果是把root授權(quán)了全網(wǎng)段的話,可以通過修改 mysql.user 里面的host 來修改. sql: update mysql.user set host="127.0.0.1" 這樣就只有本機(jī)能登陸了.

如果是某個(gè)賬戶有讀寫執(zhí)行的權(quán)限. 這個(gè)是可以通過重新授權(quán)來做限制的. 如果想刪除某個(gè)賬戶 可以刪除mysql.user里面的這個(gè)賬戶的 所有記錄.

mysql降低用戶權(quán)限

不可以，你賦予什么權(quán)限，就收回什么權(quán)限，當(dāng)然你收回的時(shí)候可以放大，但是不能縮小。。 比如你賦予了database.* 那么你收回的時(shí)候可以寫all。。。

mysql中怎樣回收用戶wang在數(shù)據(jù)庫(kù)accounts的權(quán)限？

你可以直接刪除wang用戶

進(jìn)入mysql.user表，delete from user where user='wang'

MYSQL 給用戶賦予了 GRANT OPTION 權(quán)限，如何取消？

當(dāng)權(quán)限1,權(quán)限2

mysql grant 權(quán)限1,權(quán)限2,…權(quán)限n on 名稱.表名稱 to 用戶名@用戶地址 identified by ‘連接口令’;

權(quán)限1,權(quán)限2,…權(quán)限n代表select,insert,update,delete,create,drop,index,alter,grant,references,reload,shutdown,process,file等14個(gè)權(quán)限。

當(dāng)權(quán)限1,權(quán)限2,…權(quán)限n被all privileges或者all代替，表示賦予用戶全部權(quán)限。

當(dāng)數(shù)據(jù)庫(kù)名稱.表名稱被*.*代替，表示賦予用戶操作服務(wù)器上所有數(shù)據(jù)庫(kù)所有表的權(quán)限。

用戶地址可以是localhost，也可以是ip地址、機(jī)器名字、域名。也可以用’%表示從任何地址連接。

‘連接口令’不能為空，否則創(chuàng)建失敗。