本文實例講述了MySQL用戶權(quán)限驗證與管理方法。分享給大家供大家參考，具體如下：

一、Mysql權(quán)限分兩階段驗證

1. 服務(wù)器檢查是否允許連接：用戶名、密碼，主機地址。

2. 檢查每一個請求是否有權(quán)限實施。

二、Mysql權(quán)限列表

三、Mysql用戶權(quán)限管理操作

1. 權(quán)限查詢：

（1）查看mysql的所有用戶及其權(quán)限：

select * from mysql.user\G;

（格式化顯示）

（2）查看當(dāng)前mysql用戶權(quán)限：

show grants;

（3）查看某個用戶的權(quán)限：

show grants for 用戶名@主機;

示例：

show grants for root@localhost;

2. Mysql用戶創(chuàng)建：

方法一：使用create user命令創(chuàng)建。

create user '用戶名'@'主機' identified by '密碼';

示例：

create user 'wjt'@'localhost' identified by 'wujuntian';

方法二：直接向數(shù)據(jù)表mysql.user中插入一條用戶記錄。

示例：

注意：

使用方法二一定要記得要執(zhí)行flush privileges刷新權(quán)限。其次，mysql5.7以后，mysql.user表的password字段已被authentication_string代替，所以應(yīng)將“password”改為“authentication_string”，密碼一定要使用password函數(shù)加密。

3. Mysql用戶刪除：

drop user '用戶名'@'主機';

4. Mysql用戶權(quán)限授予：

剛創(chuàng)建的用戶默認(rèn)是沒有權(quán)限的，需要使用grant指令進(jìn)行權(quán)限的授予。

grant指令完整格式：

grant 權(quán)限列表 on 數(shù)據(jù)庫名.數(shù)據(jù)表名 to '用戶名'@'主機' identified by '密碼' with grant option;

示例：

grant all privileges on *.* to 'wjt'@'localhost' identified by "wujuntian" with grant option;

可使用“*”表示所有數(shù)據(jù)庫或所有數(shù)據(jù)表，“%”表示任何主機地址。

可以使用grant重復(fù)給用戶添加權(quán)限，進(jìn)行權(quán)限疊加。

with grant option：這個選項表示該用戶可以將自己擁有的權(quán)限授權(quán)給別人。

記得授權(quán)后一定要刷新權(quán)限：

flush privileges;

5. Mysql用戶權(quán)限回收：

revoke指令格式：

revoke 權(quán)限列表 on 數(shù)據(jù)庫名.數(shù)據(jù)表名 from 用戶名@主機;

示例：

revoke select on test.user from wjt@localhost;

注意：

其實GRANT語句在執(zhí)行的時候，如果權(quán)限表中不存在目標(biāo)賬號，則創(chuàng)建賬號；如果已經(jīng)存在，則執(zhí)行權(quán)限的新增。

usage權(quán)限不能被回收，也就是說，REVOKE用戶權(quán)限并不能刪除用戶。

6. 對賬戶重命名：

rename user '舊用戶名'@'舊主機' to '新用戶名'@'新主機';

示例：

rename user 'wujuntian'@'localhost' to 'ajun'@'localhost';

7. Mysql用戶密碼修改：

方法一：使用set password命令。

set password for '用戶名'@'主機' = password('新密碼');

示例：

set password for 'root'@'localhost' = password('123456');

方法二：修改mysql.user表中的password（或authentication_string）字段。

示例：

注意：

此方法一定要執(zhí)行“flush privileges;”指令刷新權(quán)限，否則密碼修改無法生效。Mysql5.7以后應(yīng)將“password”改為“authentication_string”。

方法三：使用grant指令在授權(quán)時修改密碼：

grant select on 數(shù)據(jù)庫名.數(shù)據(jù)表名 to 用戶名@主機 identified by '新密碼' with grant option;

示例：

方法四：運行mysqladmin腳本文件。

該文件一般在mysql安裝目錄下的bin目錄中。進(jìn)入該目錄，根據(jù)一下兩種具體情況輸入命令（只有root用戶有這個權(quán)限）。

（1）用戶尚無密碼：

mysqladmin -u 用戶名 password 新密碼;

（2）用戶已有密碼：

mysqladmin -u 用戶名 -p password 新密碼;

（回車后會提示輸入舊密碼，輸入之后即可修改成功。）

注意：

更改密碼時候一定要使用PASSWORD函數(shù)（mysqladmin 和GRANT 兩種方式不用寫，會自動加上）。

8. 忘記密碼登錄mysql：

方法一：

先停止正在運行的Mysql服務(wù)，在命令行窗口進(jìn)入mysql安裝目錄下的bin目錄，在-skip-grant-tables參數(shù)下運行mysqld文件（Linux系統(tǒng)運行mysqld_safe文件更安全）：

mysqld --skip-grant-tables

這樣可以跳過Mysql的訪問控制，在控制臺以管理員的身份進(jìn)入mysql數(shù)據(jù)庫。另外再開啟一個命令行窗口，進(jìn)入mysql安裝目錄下的bin目錄，直接輸入：mysql，回車，即可登錄mysql，然后就可以重新設(shè)置密碼了（注意：此時“Mysql用戶密碼修改”中的四種方法只有第二種方法能使用?。ＴO(shè)置成功后退出，重啟Mysql服務(wù)。

方法二：修改mysql配置文件my.ini。

其實原理和方法一一樣，都是利用Mysql提供的--skip-grant-tables參數(shù)來跳過Mysql的訪問控制。打開mysql配置文件my.ini，在'[mysqld]'下加入“skip-grant-tables”，保存，重啟Mysql服務(wù)，然后就可以不需密碼登錄mysql進(jìn)行密碼修改了。

Mysql中的“mysql”數(shù)據(jù)庫存儲著所有Mysql用戶的權(quán)限信息數(shù)據(jù)表。當(dāng)Mysql啟動時，所有的權(quán)限表內(nèi)容都被讀進(jìn)內(nèi)存中，進(jìn)行權(quán)限判斷時直接使用內(nèi)存中的內(nèi)容進(jìn)行判斷。用grant、revoke或set password對權(quán)限表進(jìn)行的修改會立即被服務(wù)器注意到，GRANT操作的本質(zhì)就是修改權(quán)限表后進(jìn)行權(quán)限的刷新。但是如果手工修改權(quán)限表，例如使用insert、update、delete等操作權(quán)限表的話，應(yīng)該執(zhí)行一個flush privileges命令，該命令會使服務(wù)器重新讀取權(quán)限表內(nèi)容到內(nèi)存，從而使修改生效。如果不執(zhí)行該命令，必須重啟mysql服務(wù)才能生效。所以，最好使用grant、revoke或set password對權(quán)限表進(jìn)操作，可以省去執(zhí)行flush privileges命令的麻煩，而且如果忘了執(zhí)行這個命令的話你會很抓狂。。。

不僅如此，刪除用戶、重命名用戶最好也分別使用drop user、rename user命令進(jìn)行操作，而不要使用delete、update命令進(jìn)行操作。前者不但會對mysql.user數(shù)據(jù)表進(jìn)行操作，同時也會更新其他權(quán)限表的記錄，而后者只會對mysql.user表的數(shù)據(jù)進(jìn)行操作，這樣會出現(xiàn)很多問題，因為用戶的權(quán)限信息不僅僅存在于mysql.user表中。比如你使用delete刪除了mysql.user表中的一個用戶，但是沒有操作其他權(quán)限數(shù)據(jù)表的話，那么其他權(quán)限數(shù)據(jù)表例如tables_priv中關(guān)于該用戶的權(quán)限記錄還存在著，下次如果想使用create user命令創(chuàng)建相同名稱的用戶會失敗，只能使用insert into指令向mysql.user表中插入記錄，或者先把其他權(quán)限數(shù)據(jù)表中與該用戶名相關(guān)的記錄刪除。使用update命令重命名用戶也會出現(xiàn)很大問題，重命名后用戶失去了很多的權(quán)限，而其他權(quán)限表中關(guān)于原用戶名的記錄則成了沒用的記錄，除非你對每一個權(quán)限表都進(jìn)行相同的更新操作，但這很麻煩。所以，使用drop user、rename user吧，一個命令就可以讓系統(tǒng)自動幫你完成所有事情，何樂而不為呢！

Mysql權(quán)限檢查：

mysql 先檢查對大范圍是否有權(quán)限，如果沒有再到小范圍里去檢查。比如：先檢查對這個數(shù)據(jù)庫是否有select權(quán)限，如果有，就允許執(zhí)行。如果沒有，再檢查對表是否有select權(quán)限，一直到最細(xì)粒度，也沒有權(quán)限，就拒絕執(zhí)行。因此，粒度控制越細(xì)，權(quán)限校驗的步驟越多，性能越差。

更多關(guān)于MySQL相關(guān)內(nèi)容感興趣的讀者可查看本站專題：《MySQL查詢技巧大全》、《MySQL事務(wù)操作技巧匯總》、《MySQL存儲過程技巧大全》、《MySQL數(shù)據(jù)庫鎖相關(guān)技巧匯總》及《MySQL常用函數(shù)大匯總》

希望本文所述對大家MySQL數(shù)據(jù)庫計有所幫助。

最新評論