用户和权限管理复习
- 用户管理
-
- 1.格式
- 注意
- 权限管理
-
- 查看用户权限
-
- 1、查看所有用户(用户名、给谁授权)
- 2、查看单个用户所有情况
- 权限表
- Grant命令来创建用户并设置权限
- 授权
-
- 每次更新权限后记得刷新权限--**`FLUSH PRIVILEGES;`**
- 格式
-
- GRANT命令说明
- 1、全局授权(直接把 root 限制主机改为 %,任意主机)
- 2、单个数据库授权
- 3、单个数据库单个表授权
- 4、单个数据库单个表授权某些字段授权
- 四、收回权限、删除用户
-
- 1、收回权限
- 2、删除用户
- 补充
-
- 远程登录mysql
- 修改用户密码
- 修改用户名
- 修改连接方式
- 查看用户权限
- 参考文章
用户管理
1.格式
create user '用户名' @'host' identified by 'password';
用户名,就是用户名
host:指定该用户在哪个主机上可以登陆,如果是本地用户可用localhost,如果想让该用户可以从任意远程主机登陆,可以使用通配符%,主要有以下几种写法
password:该用户的登陆密码,密码可以为空,如果为空则该用户可以不需要密码登陆服务器
- localhost,本机访问某个指定的ip地址,
- 通过指定的ip地址进行的TCP方式连接,
- 可以多个ip,用逗号(,)分隔%,所有远程通过TCP方式的连接密码,符合当前MySQL数据库的密码检查策略的密码
#本地访问数据库
CREATE USER '用户名'@'localhost' IDENTIFIED BY '密码';
#指定192.168.0.123可以访问数据库
CREATE USER '用户名'@'192.168.0.123' IDENTIFIED BY '密码';
#指定多个ip可以访问数据库
CREATE USER '用户名'@'192.168.0.123,192,168,0,124' IDENTIFIED BY '密码';
#指定任意ip可以访问
CREATE USER '用户名'@'%' IDENTIFIED BY '密码';
注意
- 在Windows系统中,按照mysql8,可以直接使用简单的密码来创建用户
- 在Linux系统中,按照mysql8,就不行,不能直接使用简单密码
- 在Windows系统中,使用Navict登录时,如果是登录mysql8,需要修改默认的密码加密策略,不然等不上去
权限管理
- 全局——可以管理整个MySQL
- 库——可以管理指定的数据库
- 表——可以管理指定数据库的指定表
- 字段——可以管理指定数据库的指定表的指定字段
权限存储在mysql库的**user, db, tables_priv, columns_priv, procs_priv
**这几个系统表中,待MySQL实例启动后就加载到内存中
查看用户权限
1、查看所有用户(用户名、给谁授权)
SELECT user,host FROM mysql.user;
2、查看单个用户所有情况
SELECT * FROM mysql.user WHERE user='root'\G
\g 相当于’;’
\G使每个字段打印到单独的行,也有’;'的作用
用户信息:授权对象,连接用户名,用户密码
Host: % # 授权用户,% 代表所有
User: root # 用户名
authentication_string: *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 #密码,MD5加密
授权信息
Select_priv:确定用户是否可以通过SELECT命令选择数据
Insert_priv:确定用户是否可以通过INSERT命令插入数据
Update_priv:确定用户是否可以通过UPDATE命令修改现有数据
Delete_priv:确定用户是否可以通过DELETE命令删除现有数据
Create_priv:确定用户是否可以创建新的数据库和表
Drop_priv:确定用户是否可以删除现有数据库和表
Reload_priv:确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令,包括日志、权限、主机、查询和表
Shutdown_priv:确定用户是否可以关闭MySQL服务器,将此权限提供给root账户之外的任何用户时,都应当非常谨慎
Process_priv:确定用户是否可以通过SHOW
File_priv:确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令
Grant_priv:确定用户是否可以将已经授予给该用户自己的权限再授予其他用户,例如,如果用户可以插入、选择和删除foo数据库中的信息,并且授予了GRANT权限,则该用户就可以将其任何或全部权限授予系统中的任何其他用户
References_priv:目前只是某些未来功能的占位符,现在没有作用
Index_priv:确定用户是否可以创建和删除表索引
Alter_priv:确定用户是否可以重命名和修改表结构
Show_db_priv:确定用户是否可以查看服务器上所有数据库的名字,包括用户拥有足够访问权限的数据库,可以考虑对所有用户禁用这个权限,除非有特别不可抗拒的原因
Super_priv:确定用户是否可以执行某些强大的管理功能,例如通过KILL命令删除用户进程,使用SET GLOBAL修改全局MySQL变量,执行关于复制和日志的各种命令
Create_tmp_table_priv:确定用户是否可以创建临时表
Lock_tables_priv:确定用户是否可以使用LOCK
Execute_priv:确定用户是否可以执行存储过程,此权限只在MySQL 5.0及更高版本中有意义
Repl_slave_priv:确定用户是否可以读取用于维护复制数据库环境的二进制日志文件,此用户位于主系统中,有利于主机和客户机之间的通信
Repl_client_priv:确定用户是否可以确定复制从服务器和主服务器的位置
Create_view_priv:确定用户是否可以创建视图,此权限只在MySQL 5.0及更高版本中有意义
Show_view_priv:确定用户是否可以查看视图或了解视图如何执行,此权限只在MySQL 5.0及更高版本中有意义 Create_routine_priv:确定用户是否可以更改或放弃存储过程和函数,此权限是在MySQL 5.0中引入的 Alter_routine_priv:确定用户是否可以修改或删除存储函数及函数,此权限是在MySQL 5.0中引入的 Create_user_priv:确定用户是否可以执行CREATE
Event_priv:确定用户能否创建、修改和删除事件,这个权限是MySQL 5.1.6新增的
Trigger_priv:确定用户能否创建和删除触发器,这个权限是MySQL 5.1.6新增的
Create_tablespace_priv: 创建表的空间
权限表
Grant命令来创建用户并设置权限
格式:grant 权限 on 数据库.表名 to 用户名@登录主机 identified by “密码”;
例1:增加一个test1用户,密码为123456,可以在任何主机上登录,并对所有数据库有查询,增加,修改和删除的功能。需要在mysql的root用户下进行
grant select,insert,update,delete on *.* to test1@”%” identified by “123456″;
flush privileges;
例2:增加一个test2用户,密码为123456,只能在192.168.2.12上登录,并对数据库student有查询,增加,修改和删除的功能。需要在mysql的root用户下进行
grant select,insert,update,delete on student.* to test2@192.168.2.12 identified by “123456″;
flush privileges;
例3:授权用户test3拥有数据库student的所有权限
grant all privileges on student.* to test3@localhost identified by ’123456′;
flush privileges;
授权
每次更新权限后记得刷新权限–FLUSH PRIVILEGES;
格式
GRANT
[权限]
ON [库.表]
TO [用户名]@[IP]
IDENTIFIED BY [密码]
# WITH GRANT OPTION;
GRANT命令说明
- (1)ALL PRIVILEGES 表示所有权限,你也可以使用select、update等权限。
- (2)ON 用来指定权限针对哪些库和表
- (3). 中前面的号用来指定数据库名,后面的号用来指定表名。
- (4)TO 表示将权限赋予某个用户。
- (5)@ 前面表示用户,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。
- (6)IDENTIFIED BY 指定用户的登录密码。
- (7)WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。
注意:经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其它用户授权。
备注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加一个select权限,然后又给用户添加一个insert权限,那么该用户就同时拥有了select和insert权限。
1、全局授权(直接把 root 限制主机改为 %,任意主机)
因为 root 是数据库用户默认最高权限
UPDATE mysql.user SET user.Host='%' where user.User='root';
FLUSH PRIVILEGES;
当然也可以新建一个用户,给与全部权限
GRANT
ALL PRIVILEGES
ON *.*
TO admin@'175.155.59.133'
IDENTIFIED BY 'admin';
这样你就可以在远程连接到该数据库,且获取全部权限。
2、单个数据库授权
只给175.155.59.133这个 IP 赋给 ctrip 数据库 查询的权限,用户:ctrip,密码:ctrip
GRANT
select
ON ctrip.*
TO ctrip@'175.155.59.133'
IDENTIFIED BY 'ctrip';
声明:
(1)用ipconfig查询出来的IP,那是局域网的,这么设置只能局域网内使用,
(2)要想服务器和本机连接,IP 必须是网关的IP,推荐使用 https://www.ipip.net/ 查询自己的 IP。
可以看到本机连接有 ctrip 数据库和一个数据库本身库,而看不到其他库。注意此时可以看到两个表。
3、单个数据库单个表授权
GRANT
select
ON ctrip.t_plane
TO ctrip@'175.155.59.133'
IDENTIFIED BY 'ctrip';
可以看到只有一个表显示出来,注意现在字段
4、单个数据库单个表授权某些字段授权
GRANT
select(id,EN)
ON ctrip.t_plane
TO ctrip@'175.155.59.133'
IDENTIFIED BY 'ctrip';
这样做的话,我们是连表都是打不开的,只能通过查询语句,查出对我们开放的字段
四、收回权限、删除用户
1、收回权限
格式:
REVOKE
[权限]
ON [库.表]
FROM [用户名]@[IP];
操作:
REVOKE
select(id,EN)
ON ctrip.t_plane
FROM ctrip@'175.155.59.133';
2、删除用户
格式:
DROP USER [用户名]@[IP];
操作:
DROP USER ctrip@'175.155.59.133';
补充
远程登录mysql
mysql -h ip -u root -p 密码
修改用户密码
alter user '用户名'@'主机名' identified by '新密码';
flush privileges;
修改用户名
update mysql.user set user='新用户名' where user='旧用户名';
flush privileges;
修改连接方式
#将root用户修改为允许任意来源的连接,这里必须用%,用0.0.0.0不生效
UPDATE mysql.user SET host='%' where user='root';
flush privileges;
查看用户权限
SHOW GRANTS FOR 'Name'@'Host';
参考文章
MySQL查看用户权限及权限管理
MySQL5.7用户权限管理