%ign%ignore_a_1%re_a_1%权限系统非常重要,但同时又是一个很多开发者或管理者所忽略的。权限分配不但,将会造成难以挽回的悲惨后果。我之前所在一家公司,关于数据库权限这块就完全不重视,所有开发者都有线上系统的最高权限。想想看,如果哪天有其中一个人删库了,那么多人你知道是谁弄的吗?所以,大家一定要引起重视。
一般建议最高权限只会给一个人,这个人做为管理者,再去分配其他开发者对应权限。开发阶段本地的库还好些,对于线上的库,给予权限时要慎重。
权限认证的原理
MySQL的权限认证是通过两个方面来认证的。首先会进行用户的ip、用户名及密码校验,校验通过的用户,才能连接上Mysql。当连上后,用户进行任何操作时,Mysql都会对其所拥有的权限进行校验,拥有该权限,才会执行用户请求的操作。否则,不执行。
Mysql权限分类
MySQL的权限大致分为三类:
对数据的操作,比如增删改查。
结构的操作,比如创建库,修改表结构等。
管理方面的权限,比如创建用户、分配权限等。
Mysql权限分配原则
给予最小权限,比如目前该用户只需要看的权限且只需要看一个表时,那就不要去分配所有表的读权限。只限制为一个表的权限,不要怕麻烦就给予所有表的读权限。
创建用户时一定要限制ip及设定足够强度的密码。
定期清理不需要的用户,及回收那些不需要的权限。
账号管理
创建账号
mysql文档里创建用户的语法如下:
CREATE USER [IF NOT EXISTS] user [auth_option] [, user [auth_option]] ... [REQUIRE {NONE | tls_option [[AND] tls_option] ...}] [WITH resource_option [resource_option] ...] [password_option | lock_option] ...
参数有点多,别急,慢慢来通过例子来看。首先用最少的选项创建一个账号。
# 创建一个无需密码即可本地登录的用户mysql> CREATE USER 'u1'@'localhost';Query OK, 0 rows affected# 创建一个需要密码授权的用户,但不限制ipmysql> CREATE USER 'u2'@'%' identified by '321232';# 注意,密码必须使用引号,单引号或双引号都行,但不加就出错。# 如果不想使用明文的密码,可以使用passwordmysql> select password('111111');+-------------------------------------------+| password('111111') |+-------------------------------------------+| *FD571203974BA9AFE270FE62151AE967ECA5E0AA |+-------------------------------------------+1 row in setmysql> CREATE USER 'u3'@'192.168.1.%' IDENTIFIED BY PASSWORD '*FD571203974BA9AFE270FE62151AE967ECA5E0AA';Query OK, 0 rows affected
查看用户列表
系统用户列表是存放是mysql库里的user表。
mysql> SELECT user,host,account_locked FROM mysql.user;
+—————+————-+—————-+
| user | host | account_locked |
+—————+————-+—————-+
| root | localhost | N |
| mysql.session | localhost | Y |
| mysql.sys | localhost | Y |
| u1 | localhost | N |
| u2 | % | N |
| u2 | localhost | N |
| u3 | 192.168.1.% | N |
+—————+————-+—————-+
7 rows in set
网龙b2b仿阿里巴巴电子商务平台
本系统经过多次升级改造,系统内核经过多次优化组合,已经具备相对比较方便快捷的个性化定制的特性,用户部署完毕以后,按照自己的运营要求,可实现快速定制会费管理,支持在线缴费和退费功能财富中心,管理会员的诚信度数据单客户多用户登录管理全部信息支持审批和排名不同的会员级别有不同的信息发布权限企业站单独生成,企业自主决定更新企业站信息留言、询价、报价统一管理,分系统查看分类信息参数化管理,支持多样分类信息,
0 查看详情
删除用户
删除用户的语法如下:
DROP USER 用户名@ip;
现在我们来删除u2@’%’
mysql> drop user u2@'%';Query OK, 0 rows affected
这样u2用户就被删除了。
修改用户账号
语法如下:
rename user old@'oldip' to new@'newip';
案例如下:
mysql> RENAME USER u1@localhost to user1@'127.0.0.1';Query OK, 0 rows affected
授权
学完了如何创建账号及管理账号后,我们来看看如何给用户授权以及如何回收不需要的权限。
用户授权
给用户授权语法如下:
GRANT 权限 ON 数据库名*表名 TO 用户名@ip;
案例如下:
mysql> GRANT SELECT ON *.* TO 'u1'@'localhost' ; Query OK, 0 rows affected (0.00 sec) -- 全局级别授权 mysql> GRANT ALL ON test.* TO 'u2'@'localhost'; Query OK, 0 rows affected (0.00 sec) -- 数据库级别授权 mysql> GRANT ALL ON test.student TO 'u3'@'localhost' WITH GRANT OPTION; -- 表级别授权
查看用户的权限
给用户授权后,我们来查看用户是否已经获得到了这些权限。
回收用户权限
当发现给与的权限多了,那么就应该及时回收这些权限。回收权限的语法和授权的语法非常像。
REVOKE 权限 ON 数据库*表 FROM 用户名@ip地址
以上就是MySQL权限及安全管理的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/889850.html
微信扫一扫 
支付宝扫一扫 
