【MySQL】（10）用户和权限管理

一、应用场景

        通常一个应用对应一个数据库，我们希望某个数据库只能被相关人员操纵，就需要创建用户并指定权限。只有登录该用户，才能在权限范围内操纵数据库。root 是权限最高的用户，它拥有所有的权限。

二、查询用户

        在 mysql 数据库中查看 user 表：

        Host 能限制数据库服务能被哪些 主机 / IP范围 登录。以 _priv 结尾的字段表示一些权限，Y 表示有该权限。

三、创建用户

1、语法

create user [if not exists] 'user_name'@'host_name' identified by 'auth_string';

       'user_name'@'host_name' 是用户名完整描述，user_name 和 host_name 需要分别被 ' ' 引出。如果只用一个 ' '，'user_name@host_name'  表示 'user_name@host_name'@'%'，任意主机都能登录，容易出现安全问题。 

2、设置主机范围

        计算方法：ip 地址是一个4字节的整数，主机 ip 地址与子网掩码做与操作。

        三种 host_name 表示方法：

• 192.168.100.0/255.255.255.0，表示 192.168.100.0 子网中任意一台主机都能登录。
• MySQL 8.0.23 开始，主机的 IPv4 地址可以用 CIDR 表示法指定，如：192.168.100.0/24，前 24 位表示网络，后 8 位表示主机。
• 也可用 % 通配符，如 192.168.100.%，但是新版本已弃用，在以后可能会被删除。

3、示例

        查询本机 ip 地址：

        创建用户：

        登录：

        不指定 -h ip，默认以 localhost 地址登录。127.0.0.1、192.168.43.68 在连接时都需要指定 -h 参数，这三个地址虽然都是本地，但是 mysql 认为它们连接源并不相同。

        因为没有给用户 'user2'@'127.0.0.1' 赋予权限，所以查询不到数据库：

四、修改密码

ALTER USER 'user_name'@'host_name' IDENTIFIED BY 'auth_string';SET PASSWORD FOR 'user_name'@'host_name' = 'auth_string';SET PASSWORD = 'auth_string';  -- 为当前用户改密码

五、删除用户

drop user [if exists] 'user_name'@'host_name'[,......];

        有删除用户的权限才能执行。

六、授权与回收

        MySQL 支持的权限列表：

        授权语法：

grant 权限1[, 权限2...] on 操作范围 to 'user_name'@'host_name' [with grant option];

• 权限：表中的 privilege。
• 操作范围：*、*.*、db_name.*、db_name.table_name、table_name（当前数据库下某表的操作权限）。
• with grant option：允许把自己的权限授予给别的用户。

        示例：

        当前在 root 用户：

        创建两个用户：

        使用自定义数据库，查看表：

        授予 user1 插入当前数据库的表 class 的权限，并允许将自己的权限授予其他用户：

        查看 user1 的权限：

        登录 user1，将自己的权限授予 user2，也能回收，也能授予 with grant option：

        回收权限语法：

revoke if exists 权限1[, 权限2] ON 操作范围 
from 'user_name1'@'host_name1'[, 'user_name2'@'host_name2'];

       root 用户下回收 'user1'@'localhost' 的权限，不仅有 insert，还有 grant option，不然回收不干净：

        如果权限授权或收回没生效，就刷新：

flush privileges;