第13章-MySQL權(quán)限管理

數(shù)據(jù)庫(kù)原理與應(yīng)用基礎(chǔ)第13章 MySQL權(quán)限管理第13章 MySQL權(quán)限管理訪問控制權(quán)限表用戶管理賬戶權(quán)限管理知識(shí)點(diǎn)小結(jié)本章實(shí)驗(yàn)第13章 MySQL權(quán)限管理為了保證數(shù)據(jù)庫(kù)的安全，MySQL數(shù)據(jù)庫(kù)提供了完善的管理機(jī)制和操作手段。MySQL數(shù)據(jù)庫(kù)中的用戶分為普通用戶和root用戶，用戶類型不同，其具體的權(quán)限也會(huì)有所不同。root用戶是超級(jí)管理員，擁有所有的權(quán)限；普通用戶只能擁有創(chuàng)建用戶時(shí)賦予它的權(quán)限。本章介紹MySQL數(shù)據(jù)庫(kù)中的用戶權(quán)限管理，主要包括3部分內(nèi)容，它們分別是權(quán)限管理表、用戶管理和權(quán)限管理。第13章 MySQL權(quán)限管理訪問控制權(quán)限表用戶管理賬戶權(quán)限管理知識(shí)點(diǎn)小結(jié)本章實(shí)驗(yàn)訪問控制為滿足mysql服務(wù)器的安全基礎(chǔ)，考慮以下內(nèi)容：1.多數(shù)用戶只需要對(duì)表進(jìn)行讀和寫，但少數(shù)用戶需要能創(chuàng)建和刪除表；2.某些用戶需要讀表，但可能不需要更新表；3.可能想允許用戶添加數(shù)據(jù)，但不允許他們刪除數(shù)據(jù)；4.某些用戶（管理員）可能需要處理用戶賬號(hào)的權(quán)限，但多數(shù)用戶不需要；5.可能想讓用戶通過存儲(chǔ)過程訪問數(shù)據(jù)，但不允許他們直接訪問數(shù)據(jù)；6.可能想根據(jù)用戶登錄的地點(diǎn)限制對(duì)某些功能的訪問。第13章 MySQL權(quán)限管理訪問控制權(quán)限表用戶管理賬戶權(quán)限管理知識(shí)點(diǎn)小結(jié)本章實(shí)驗(yàn)權(quán)限表mysql服務(wù)器通過mysql權(quán)限來來控制用戶對(duì)數(shù)據(jù)庫(kù)的訪問，安裝mysql數(shù)據(jù)庫(kù)成功后，會(huì)自動(dòng)安裝多個(gè)數(shù)據(jù)庫(kù)。mysql權(quán)限表存放在名稱為mysql的數(shù)據(jù)庫(kù)里。常用到的表有user、db、table_priv、columns_priv、column_priv和procs_priv。user表user表示mysql中最終的一個(gè)權(quán)限表。可以使用desc語句來查看user的基本結(jié)構(gòu)。user列主要分為4個(gè)部分：用戶列、權(quán)限列、安全列和資源控制列。用的最多的就是用戶列和權(quán)限列。權(quán)限普通權(quán)限：用于對(duì)數(shù)據(jù)庫(kù)的操作。管理權(quán)限：對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理的操作。user表當(dāng)用戶進(jìn)行連接時(shí)，權(quán)限表的存取過程有以下兩個(gè)階段：先從user表中的host、user和password這3個(gè)字段中判斷連接的ip、用戶名稱和密碼是否存在于表中，如果存在，則通過身份驗(yàn)證，否則拒絕連接。如果通過身份驗(yàn)證，按照以下權(quán)限的順序得到數(shù)據(jù)庫(kù)權(quán)限：user、db、table_priv、colums_priv。這幾個(gè)表的權(quán)限依次遞減，全局權(quán)限覆蓋局部權(quán)限。user表1）用戶字段：user表中的host、user和password字段都屬于用戶字段。2）權(quán)限字段user表中包含幾十個(gè)與權(quán)限有關(guān)以priv結(jié)尾的字段，這些權(quán)限字段決定了用戶的權(quán)限，這些權(quán)限包括基本權(quán)限、修改和添加權(quán)限、關(guān)閉服務(wù)器權(quán)限、超級(jí)權(quán)限和加載權(quán)限等。3）安全字段：安全列只有6個(gè)字段兩個(gè)是ssl相關(guān)的：ssl_type和ssl_cipher，2個(gè)是x509相關(guān)的：x509_issuer和x509_subject，另外2個(gè)是授權(quán)插件相關(guān)的。ssl用于加密；x509標(biāo)準(zhǔn)可用于標(biāo)識(shí)用戶；plugin字段標(biāo)識(shí)可以用于驗(yàn)證用戶身份的插件，如果該字段為空，服務(wù)器使用內(nèi)建授權(quán)驗(yàn)證機(jī)制驗(yàn)證用戶身份。user表4）資源控制列資源控制列的字段用來限制用戶使用的資源，包含4個(gè)字段，分別為：max_questions：用戶每小時(shí)允許執(zhí)行的查詢操作次數(shù)。max_updates：用戶每小時(shí)允許執(zhí)行的更新操作次數(shù)。max_connections：用戶每小時(shí)允許執(zhí)行的連接操作次數(shù)。max_user_connections：?jiǎn)蝹€(gè)用戶可以同時(shí)具有的連接次數(shù)。這些字段的默認(rèn)值為0，表示沒有限制。db表和host表db表和host表也是mysql數(shù)據(jù)庫(kù)中非常重要的權(quán)限表。db表中存儲(chǔ)了用戶對(duì)某個(gè)數(shù)據(jù)庫(kù)的操作權(quán)限，決定用戶能從哪個(gè)主機(jī)存取哪個(gè)數(shù)據(jù)庫(kù)；host表中存儲(chǔ)了某個(gè)主機(jī)對(duì)數(shù)據(jù)庫(kù)的操作權(quán)限，配合db權(quán)限表對(duì)給定主機(jī)上數(shù)據(jù)庫(kù)級(jí)操作權(quán)限做更細(xì)致的控制。這兩個(gè)權(quán)限表不受grant和revoke語句的影響。db表比較常用，host表一般很少使用。db表和host表結(jié)構(gòu)相似，可以使用desc語句來查看這兩個(gè)表的基本結(jié)構(gòu)。字段大致可以分為兩類：用戶列和權(quán)限列。db表和host表1)用戶列db表的用戶列有3個(gè)字段：host、db和user。這3個(gè)字段分別表示主機(jī)名、數(shù)據(jù)庫(kù)名和用戶名；host表的用戶列有兩個(gè)字段：host和db。這兩個(gè)字段分別表示主機(jī)名和數(shù)據(jù)庫(kù)名。host表是db表的擴(kuò)展。如果db表中找不到host字段的值，就需要到host表中去尋找。但是host表很少用到，通常db表的設(shè)置已經(jīng)可以滿足權(quán)限控制要求了。db表和host表2)權(quán)限列db表和host表的權(quán)限列大致相同，表中create_routine_priv和alter_routine_priv這兩個(gè)字段表明用戶是否有創(chuàng)建和修改存儲(chǔ)過程的權(quán)限。user表中的權(quán)限是針對(duì)所有數(shù)據(jù)庫(kù)的。如果user表中的select_priv字段取值為y，那么該用戶可以查詢所有數(shù)據(jù)庫(kù)中的表；如果為某個(gè)用戶只設(shè)置了查詢test表的權(quán)限，那么user表的select_priv字段的取值為n。而這個(gè)select權(quán)限則記錄在db表中。db表中select_priv字段的取值將會(huì)是y。由此可知，用戶先根據(jù)user表的內(nèi)容獲取權(quán)限，然后再根據(jù)db表的內(nèi)容獲取權(quán)限。tables_priv表tables_priv表可以對(duì)單個(gè)表進(jìn)行權(quán)限設(shè)置,用來指定表級(jí)權(quán)限。這里指定的權(quán)限適用于一個(gè)表的所有列。用戶可以用desc語句查看表結(jié)構(gòu)。tables_priv表有8個(gè)字段：host、db、user、table_name、grantor、timestamp、table_priv和column_priv。各個(gè)字段說明如下：host、db、user和table_name等4個(gè)字段分別表示主機(jī)名、數(shù)據(jù)庫(kù)名、用戶名和表名。grantor表示修改該記錄的用戶。timestamp字段表示修改該記錄的時(shí)間。table_priv字段表示對(duì)表進(jìn)行操作的權(quán)限，這些權(quán)限包括select、insert、update、delete、create、drop、grant、references、index和alter。column_priv字段表示對(duì)表中的列進(jìn)行操作的權(quán)限，這些權(quán)限包括select、insert、update和references。columns_priv表columns_priv表可以對(duì)表中的某一列進(jìn)行權(quán)限設(shè)置columns_priv表只有7個(gè)字段，分別是host、db、user、table_name、column_name、timestamp和column_priv。其中，column_name用來指定對(duì)哪些數(shù)據(jù)列具有操作權(quán)限。mysql中權(quán)限的分配是按照user表、db表、tables_priv表和columns_priv表的順序進(jìn)行分配的。數(shù)據(jù)庫(kù)系統(tǒng)中，先判斷user表中的值是否為y，如果user表中的值是y，就不需要檢查后面的表了；如果user表中的值為n，則依次檢查db表、tables_priv表和columns_priv表。procs_priv表procs_priv表可以對(duì)存儲(chǔ)過程和存儲(chǔ)函數(shù)進(jìn)行權(quán)限設(shè)置。可以使用desc語句來查看procs_priv表的基本結(jié)構(gòu)。procs_priv表包含8個(gè)字段：host、db、user、routine_name、routine_type、grantor、proc_priv和timestamp等。各個(gè)字段的說明如下：host、db和user字段分別表示主機(jī)名、數(shù)據(jù)庫(kù)名和用戶名。routine_name字段表示存儲(chǔ)過程或存儲(chǔ)函數(shù)的名稱。routine_type字段表示存儲(chǔ)過程或存儲(chǔ)函數(shù)的類型。該字段有兩個(gè)值，分別是function和procedure。function表示是一個(gè)存儲(chǔ)函數(shù)；procedure表示是一個(gè)存儲(chǔ)過程。grantor字段存儲(chǔ)插入或修改該記錄的用戶。proc_priv字段表示擁有的權(quán)限，包括execute、alterroutine、grant3種。timestamp字段存儲(chǔ)記錄更新的時(shí)間。第13章 MySQL權(quán)限管理訪問控制權(quán)限表用戶管理賬戶權(quán)限管理知識(shí)點(diǎn)小結(jié)本章實(shí)驗(yàn)用戶管理mysql用戶賬號(hào)和信息存儲(chǔ)在名為mysql的mysql數(shù)據(jù)庫(kù)中。這個(gè)數(shù)據(jù)庫(kù)里有一個(gè)名為user的數(shù)據(jù)表，包含了所有用戶賬號(hào)，并且它用一個(gè)名為user的列存儲(chǔ)用戶的登錄名。一般不需要直接訪問mysql數(shù)據(jù)庫(kù)和表，但有時(shí)需要直接訪問。在需要獲得所有用戶賬號(hào)列表時(shí)，可使用以下代碼實(shí)現(xiàn)：usemysql;selectuserfromuser;添加用戶作為一個(gè)新安裝的系統(tǒng)，當(dāng)前只有一個(gè)名為root的用戶。這個(gè)用戶是在成功安裝mysql服務(wù)器后，由系統(tǒng)創(chuàng)建的，并且被賦予了操作和管理mysql的所有權(quán)限。root用戶有對(duì)整個(gè)mysql服務(wù)器完全控制的權(quán)限。1、使用createuse創(chuàng)建用戶賬號(hào)2、使用Insert語句新建普通用戶3、使用grant語句來新建普通用戶添加用戶1.使用createuse創(chuàng)建用戶賬號(hào)用createuser語句來創(chuàng)建一個(gè)或多個(gè)mysql賬戶，并設(shè)置相應(yīng)的口令語法格式：createuseruseridentifiedby[password]'password'[,useridentifiedby[password]'password']…語法說明如下：user:指定創(chuàng)建用戶賬號(hào)，其格式為'user_name'@'hostname'。user_name是用戶名，host_name為主機(jī)名，即用戶連接mysql時(shí)所在主機(jī)的名字。如果在創(chuàng)建的過程中，只給出了賬中的用戶名，而沒指定主機(jī)名，則主機(jī)名會(huì)默認(rèn)為是“%”，表示一組主機(jī)。identifiedby子句：用于指定用戶賬號(hào)對(duì)應(yīng)的口令，若該用戶賬號(hào)無口令，則可省略此子句。添加用戶使用createuse創(chuàng)建用戶賬號(hào)可選項(xiàng)password：用于指定散列口令（“散列”，其英文是“hash”，也有直接音譯為“哈?！钡?，就是把任意長(zhǎng)度的輸入（又叫做預(yù)映射，pre-image），通過散列算法，變換成固定長(zhǎng)度的輸出，該輸出就是散列值。），即若使用明文設(shè)置口令時(shí)，需忽略password關(guān)鍵字；如果不想以明文設(shè)置口令，且知道password()函數(shù)返回給密碼的散列值，則可以在此口令設(shè)置語句中指定此散列值，但需要加上關(guān)鍵字password。password：指令用戶賬號(hào)的口令，在identifiedby關(guān)鍵字或password關(guān)鍵字之后。給定的口令值可以是由字母和數(shù)字組成的明文，也可以是通過password（）函數(shù)得到的散列值。添加用戶(1)要使用createuser語句，必須擁有mysql中mysql數(shù)據(jù)庫(kù)的insert權(quán)限或全局createuser權(quán)限。(2)使用createuser語句創(chuàng)建一個(gè)用戶賬號(hào)后，會(huì)在系統(tǒng)自身的mysql數(shù)據(jù)庫(kù)的user表添加一條新記錄。如果創(chuàng)建的賬戶已經(jīng)存在，則語句執(zhí)行會(huì)出現(xiàn)錯(cuò)誤。(3)如果兩個(gè)用戶具有相同的用戶名和不同的主機(jī)名，mysql會(huì)將他們視為不同的用戶，并允許為這兩個(gè)用戶分配不同的權(quán)限集合。(4)如果createuser語句的使用中，沒有為用戶指定口令，那么mysql允許該用戶可以不使用口令登錄系統(tǒng)，然而從安全的角度而言，不推薦這種做法。(5)新創(chuàng)建的用戶擁有的權(quán)限很少。他們可以登錄到mysql，只允許進(jìn)行不需要權(quán)限的操作，不能使用use語句來讓其他用戶已經(jīng)創(chuàng)建的任何數(shù)據(jù)庫(kù)成為當(dāng)前數(shù)據(jù)庫(kù)，因而無法訪問相關(guān)數(shù)據(jù)庫(kù)的表。添加用戶2、使用Insert語句新建普通用戶可以使用Insert語句直接將用戶信息添加到mysql.user表中，但需要有對(duì)user表的插入權(quán)限。由于user表中的字段非常的多，插入數(shù)據(jù)時(shí)，要保證沒有默認(rèn)值的字段一定要給出值，所以插入數(shù)據(jù)時(shí)，至少要插入以下6個(gè)字段的值，即host,user,password,ssl_cipher,x09_issuer,x509_subject。添加用戶3、使用grant語句來新建普通用戶可以使用grant語句來創(chuàng)建新的用戶，在創(chuàng)建用戶時(shí)可以為用戶授權(quán)。grant語句是mysql中非常重要的一個(gè)命令，不僅可以創(chuàng)建用戶、授予權(quán)限、還可以修改密碼。查看用戶語法格式：select*frommysql.userwherehost=’host_name’anduser=‘user_name’其中，‘*’代表mysql數(shù)據(jù)庫(kù)中user表的所有列，也可以指定特定的列。常用的列名有:host、user、password、select_priv、insert_priv、update_priv、delete_priv、create_priv、drop_priv、grant_priv、references_priv、index_priv等。where后面緊跟的是查詢條件，where語句可有可無，視情而定，這里列舉的條件是host和user兩列。修改用戶賬號(hào)可以使用renameuser語句修改一個(gè)或多個(gè)已經(jīng)存在的mysql用戶賬號(hào)。倘若系統(tǒng)中舊賬戶不存在或者新賬戶已存在，則語句執(zhí)行會(huì)出現(xiàn)錯(cuò)誤。要使用renameuser語句，必須擁有mysql中mysql數(shù)據(jù)庫(kù)的update權(quán)限或全局createuser權(quán)限。語法格式：renameuserold_usertonew_user[，old_usertonew_user]…語法說明如下：(1)old_user:系統(tǒng)中已經(jīng)存在的mysql用戶賬號(hào)。(2)new_user:新的mysql用戶賬號(hào)。修改用戶口令1)使用mysqladmin命令來修改密碼mysqladmin–uusernameppassword（其中password為關(guān)鍵字）2)修改mysql數(shù)據(jù)庫(kù)下的user表，需要對(duì)mysql.user表的修改權(quán)限，又有root權(quán)限最高，一般情況我們可以使用root用戶登錄后，修改自己或普通用戶的密碼。3)使用set語句來修改密碼setpassword[for'username'@'hostname']=password('new_password');如果不加[for'username'@'hostname']，則修改當(dāng)前用戶密碼修改后，還是需要用flush命令重新加載權(quán)限。刪除用戶刪除用戶的兩種方式1、用dropuser語句來刪除普通用戶dropuser語句來刪除用戶，必須有dropuser權(quán)限。dropuseruser[,user]…其中user參數(shù)需要?jiǎng)h除的用戶，有用戶名和主機(jī)組成。dropuser語句可以同時(shí)刪除多個(gè)用戶，各個(gè)用戶用逗號(hào)隔開。2、使用delete語句來刪除普通用戶刪除后，還是需要用flush命令重新加載權(quán)限。第13章 MySQL權(quán)限管理訪問控制權(quán)限表用戶管理賬戶權(quán)限管理知識(shí)點(diǎn)小結(jié)本章實(shí)驗(yàn)賬戶權(quán)限管理權(quán)限授予新建的mysql用戶必須被授權(quán)，可以使用grant語句來實(shí)現(xiàn)。語法格式：grantpriv_type[(column_list)][，priv_type[(column_list)]]…on[object_type]priv_leveltouser_specification[，user_specification]…[withwith_option…]賬戶權(quán)限管理語法說明如下：(1)priv_type:用于指定權(quán)限的名稱，如select、update、delete等數(shù)據(jù)庫(kù)操作。(2)選項(xiàng)column_list：用于指定權(quán)限要授予該表中哪些具體的列。(3)on子句：用于指定權(quán)限授予的對(duì)象和級(jí)別，如可在on關(guān)鍵字后面給出要授予權(quán)限的數(shù)據(jù)庫(kù)名或表名等。(4)可選項(xiàng)object_type：用于指定權(quán)限授予的對(duì)象類型，包括表、函數(shù)和存儲(chǔ)過程，分別用關(guān)鍵字table、function和procedure標(biāo)識(shí)。賬戶權(quán)限管理語法說明如下：(5)priv_level：用于指定權(quán)限的級(jí)別?？梢允谟璧臋?quán)限有如下幾組：①列權(quán)限，其和表中的一個(gè)具體列相關(guān)。②表權(quán)限，其和一個(gè)具體表中的所有數(shù)據(jù)相關(guān)。③數(shù)據(jù)庫(kù)權(quán)限，其和一個(gè)具體的數(shù)據(jù)庫(kù)中的所有表相關(guān)。④用戶權(quán)限，其和mysql中所有的數(shù)據(jù)庫(kù)相關(guān)。賬戶權(quán)限管理對(duì)應(yīng)地，在grant語句中可用于指定權(quán)限級(jí)別的值有這樣幾類格式：*：表示當(dāng)前數(shù)據(jù)庫(kù)中的所有表。*.*：表示所有數(shù)據(jù)庫(kù)中的所有表。db_name.*：表示某個(gè)數(shù)據(jù)庫(kù)中的所有表，db_name指定數(shù)據(jù)庫(kù)名db_name.tbl_name：表示某個(gè)數(shù)據(jù)庫(kù)中的某個(gè)表或視圖，db_name指定數(shù)據(jù)庫(kù)名，tbl_name指定表名或視圖名。tbl_name：表示某個(gè)表或視圖，tbl_name指定表名或視圖名。db_name.routine_name：表示某個(gè)數(shù)據(jù)庫(kù)中的某個(gè)存儲(chǔ)過程或函數(shù)。routine_name指定存儲(chǔ)過程名或函數(shù)名。賬戶權(quán)限管理(6)to子句：用來設(shè)定用戶的口令，以及指定被授予權(quán)限的用戶user。若在to子句中給系統(tǒng)中存在的用戶指定口令，則新密碼會(huì)將原密碼覆蓋；如果權(quán)限被授予給一個(gè)不存在的用戶，mysql會(huì)自動(dòng)執(zhí)行一條createuser語句來創(chuàng)建這個(gè)用戶，但同時(shí)必須為該用戶指定口令。由此可見，grant語句亦可以用于創(chuàng)建用戶賬號(hào)。(7)user_specification：to子句中的具體描述部分，其與createuser語句中的user_specification部分一樣。(8)with子句：grant語句的最后可以使用with子句，為可選項(xiàng)，其用于實(shí)現(xiàn)權(quán)限的轉(zhuǎn)移或限制。賬戶權(quán)限管理Grant命令要求至少提供以下信息：（1）要授予的權(quán)限；（2）被授予訪問權(quán)限的數(shù)據(jù)庫(kù)或表；（3）用戶名。賬戶權(quán)限管理grant語句中priv_type的使用說明如下：授予表權(quán)限時(shí)，priv_type可以指定為以下值：·select:表示授予用戶可以使用select語句訪問特定表的權(quán)限?！nsert:表示授予用戶可以使用insert語句向一個(gè)特定表中添加數(shù)據(jù)行的權(quán)限?！elete:表示授予用戶可以使用delete語句從一個(gè)特定表中刪除數(shù)據(jù)行的權(quán)限。·update:表示授予用戶可以使用update語句修改特定數(shù)據(jù)表中值的權(quán)限?！eferences：表示授予用戶可以創(chuàng)建一個(gè)外鍵來參照特定數(shù)據(jù)表的權(quán)限?！reate:表示授予用戶可以使用特定的名字創(chuàng)建一個(gè)數(shù)據(jù)表的權(quán)限?！lter：表示授予用戶可以使用altertable語句修改數(shù)據(jù)表的權(quán)限?！ndex:表示授予用戶可以再表上定義索引的權(quán)限?！rop：表示授予用戶可以刪除數(shù)據(jù)表的權(quán)限?！ll或allprivileges:表示所有的權(quán)限名。授予列權(quán)限時(shí)，priv_type的值只能指定為select、insert和update，同時(shí)權(quán)限的后面還需要加上列名列表colimn_list.授予數(shù)據(jù)庫(kù)權(quán)限時(shí)，priv_type可以指定為以下值：select、insert、delete、update等。權(quán)限的轉(zhuǎn)移和限制權(quán)限的轉(zhuǎn)移與限制可以通過在grant語句中使用with子句來實(shí)現(xiàn)。1）轉(zhuǎn)移權(quán)限如果將with子句指定為withgrantoption，則表示to子句中所指定的所有用戶都具有把自己所擁有的權(quán)限授予其他用戶的權(quán)利，而無論那些其他用戶是否擁有該權(quán)限。2）限制權(quán)限如果with子句中with關(guān)鍵字后面緊跟的是max_queries_per_hourcount、max_updates_per_hourcount、max_connections_per_hourcount或max_user_connectionscount中的某一項(xiàng)，則