在mysql数据库中,有mysql_install_db脚本初始化权限表,存储权限的表有:
1、user表
2、db表
3、host表
4、table_priv表
5、columns_priv表
6、proc_priv表
MySQL存取控制包含2个阶段:
阶段1:服务器检查你是否允许连接。
阶段2:假定你能连接,服务器检查你发出的每个请求。看你是否有足够的权限实施它。例如,如果你从数据库中一个表精选(select)行或从数据库抛弃一个表,服务器确定你对表有
select权限或对数据库有
drop权限。
服务器在存取控制的两个阶段使用在mysql的数据库中的user、db和host表,在这些授权表中字段如下:
| 表名称 |
user |
db |
host |
| 范围字段 |
Host |
Host |
Host |
| ? |
User |
Db |
Db |
| ? |
Password |
User |
? |
| 权限字段 |
Select_priv |
Select_priv |
Select_priv |
| ? |
Insert_priv |
Insert_priv |
Insert_priv |
| ? |
Update_priv |
Update_priv |
Update_priv |
| ? |
Delete_priv |
Delete_priv |
Delete_priv |
| ? |
Index_priv |
Index_priv |
Index_priv |
| ? |
Alter_priv |
Alter_priv |
Alter_priv |
| ? |
Create_priv |
Create_priv |
Create_priv |
| ? |
Drop_priv |
Drop_priv |
Drop_priv |
| ? |
Grant_priv |
Grant_priv |
Grant_priv |
| ? |
Reload_priv |
? |
? |
| ? |
Shutdown_priv |
? |
? |
| ? |
Process_priv |
? |
? |
| ? |
File_priv |
? |
? |
对存取控制的第二阶段(请求证实),如果请求涉及表,服务器可以另外参考tables_priv和columns_priv表。这些表的字段如下:
| 表名称 |
tables_priv |
columns_priv |
| 范围字段 |
Host |
Host |
| ? |
Db |
Db |
| ? |
User |
User |
| ? |
Table_name |
Table_name |
| ? |
? |
Column_name |
| 权限字段 |
Table_priv |
Column_priv |
| ? |
Column_priv |
? |
| 其他字段 |
Timestamp |
Timestamp |
| ? |
Grantor |
? |
每个授权表包含范围字段和权限字段。
user表主要分为:用户列、权限列、安全列、资源控制列
host表主要分为:用户列、权限列
这里美中不足的是mysql.user 没有一个列是保存用户创建时间的
有时候排查用户问题的时候,比如某个客户在某个时间说连接不上数据库,我们在user表里只能查到是否存在那个用户
但是不知道这个用户的创建时间,也就是说客户说的那个时间究竟用户是否已经创建我们是不知道的
帐户管理
MYSQL提供许多语句用来管理用户帐号,这些语句可以用来包括登录和退出MYSQL服务器、创建用户、删除用户、密码管理、权限管理
MYSQL数据库的安全性,需要通过帐户管理来保证
登录和退出MYSQL
mysql命令的常用参数
-h:主机名或ip,默认是localhost,最好指定-h参数
-u:用户名
-p:密码,注意:该参数后面的字符串和-p不能有空格
-P:端口号,默认为3306
数据库名:可以在命令最后指定数据库名
-e:执行SQL语句,如果指定该参数,将在登录后执行-e后面的命令或sql语句并退出
?
命令执行完之后返回book表的结构,查询返回之后会自动退出MYSQL
用户
?
CREATE USER user [IDENTIFIED BY [PASSWORD] 'password']
[, user [IDENTIFIED BY [PASSWORD] 'password']]
?
新建普通用户
?
CREATE USER 'jeffrey'@'localhost' identified BY 'mypass';
?
用户名部分为“jeffrey”,主机名默认为“%”(即对所有主机开放权限)
如果指定用户登录不需要密码,则可以省略identified BY部分
对于使用插件认证连接的用户,服务器调用指定名称的插件,客户端需要提供验证方法所需要的凭据。
如果创建用户时或者连接服务器时,服务器找不到对应的插件,将返回一个错误
identified with语法
?
CREATE user 'jeffrey'@'localhost' identified with my_auth_plugin;
?
identified with只能在MYSQL5.5.7及以上版本使用。
identified with和identified by是互斥的,所以对一个帐户来说只能使用一个验证方法。
CREATE USER语句的操作会被记录到服务器日志文件或者操作历史文件中
例如 ~/.mysql_history。这意味着对这些文件有读取权限的人,都可以读取到新添加用户的明文密码
一个办法就是新建用户的时候使用password关键字
?
CREATE user 'tom'@'localhost' identified BY password'*6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4';
SELECT password('mypass');
SELECT * FROM `mysql`.`user` WHERE `User` ='tom';
?
先查出你的密码的哈希值,然后在新建用户的时候输入哈希值
那么在日志里面就只能看到哈希值
?
使用GRANT语句创建新用户
GRANT USER语句可以用来创建帐户,通过该语句可以在user表中添加一条新记录
比起CREATE USER语句创建的新用户,还需要使用GRANT语句赋予用户权限
使用GRANT语句创建新用户时必须有GRANT权限。
语法
?
GRANT priv_type [(column_list)] [, priv_type [(column_list)]] ...
ON [object_type] {tbl_name | * | *.* | db_name.*}
TO user [IDENTIFIED BY [PASSWORD] 'password']
[, user [IDENTIFIED BY [PASSWORD] 'password']] ...
[REQUIRE
NONE |
[{SSL| X509}]
[CIPHER 'cipher' [AND]]
[ISSUER 'issuer' [AND]]
[SUBJECT 'subject']]
[WITH with_option [with_option] ...]
?
使用GRANT语句创建一个新用户testUser,密码为testpwd,并授予用户对所有数据表的SELECT和UPDATE权限
?
GRANT SELECT ,UPDATE ON *.* TO 'testUser'@'localhost