本文目錄一覽:
MySQL 數據庫,如何分角色權限建表?
角色一直存在各個數據庫中,比如 SQL Server、Oracle 等,MySQL 自從版本 8.0 release,引入了角色這個概念。
角色的概念
角色就是一組針對各種數據庫權限的集合。比如,把一個角色分配給一個用戶,那這個用戶就擁有了這個角色包含的所有權限。一個角色可以分配給多個用戶,另外一個用戶也可以擁有多個角色,兩者是多對多的關係。不過 MySQL 角色目前還沒有提供類似於其他數據庫的系統預分配的角色。比如某些數據庫的 db_owner、 db_datareader 、 db_datawriter 等等。那接下來我分幾個方面,來示例說明角色的使用以及相關注意事項。
示例 1:一個完整角色的授予步驟
用管理員創建三個角色:db_owner, db_datareader, db_datawriter
mysql create role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.02 sec)
mysql grant all on ytt_new.* to db_owner;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to db_datareader;
Query OK, 0 rows affected (0.01 sec)
mysql grant insert,delete,update on ytt_new.* to db_datawriter;
Query OK, 0 rows affected (0.01 sec)
創建三個普通用戶,分別為 ytt1、ytt2、ytt3。mysql create user ytt1 identified by ‘ytt’,ytt2 identified by ‘ytt’,ytt3 identified by ‘ytt’;Query OK, 0 rows affected (0.01 sec)
分別授予這三個用戶對應的角色。
— 授權角色
mysql grant db_owner to ytt1;
Query OK, 0 rows affected (0.02 sec)
— 激活角色
mysql set default role db_owner to ytt1;
Query OK, 0 rows affected (0.00 sec)
mysql grant db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql grant db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
以上是角色授予的一套完整步驟。那上面有點非常規的地方是激活角色這個步驟。MySQL 角色在創建之初默認是沒有激活的,也就是說創建角色,並且給一個用戶特定的角色,這個用戶其實並不能直接使用這個角色,除非激活了才可以。
示例 2:一個用戶可以擁有多個角色
— 用管理員登錄並且創建用戶
mysql create user ytt4 identified by ‘ytt’;
Query OK, 0 rows affected (0.00 sec)
— 把之前的三個角色都分配給用戶ytt4.
mysql grant db_owner,db_datareader,db_datawriter to ytt4;
Query OK, 0 rows affected (0.01 sec)
— 激活用戶ytt4的所有角色.
mysql set default role all to ytt4;
Query OK, 0 rows affected (0.02 sec)
— ytt4 用戶登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt4 -pytt -P3304 -hytt-pc
…
— 查看當前角色列表
mysql select current_role();
+——————————————————–+
| current_role() |
+——————————————————–+
| `db_datareader`@`%`,`db_datawriter`@`%`,`db_owner`@`%` |
+——————————————————–+
1 row in set (0.00 sec)
— 簡單創建一張表並且插入記錄, 檢索記錄,完了刪掉這張表
mysql use ytt_new
Database changed
mysql create table t11(id int);
Query OK, 0 rows affected (0.05 sec)
mysql insert into t11 values (1);
Query OK, 1 row affected (0.02 sec)
mysql select * from t11;
+——+
| id |
+——+
| 1 |
+——+
1 row in set (0.00 sec)
mysql drop table t11;
Query OK, 0 rows affected (0.04 sec)
示例 3:用戶在當前 session 里角色互換
其實意思是說,用戶連接到 MySQL 服務器後,可以切換當前的角色列表,比如由 db_owner 切換到 db_datareader。
— 還是之前的用戶ytt4, 切換到db_datareader
mysql set role db_datareader;
Query OK, 0 rows affected (0.00 sec)
mysql select current_role();
+———————+
| current_role() |
+———————+
| `db_datareader`@`%` |
+———————+
1 row in set (0.00 sec)
— 切換後,沒有權限創建表
mysql create table t11(id int);
ERROR 1142 (42000): CREATE command denied to user ‘ytt4’@’ytt-pc’ for table ‘t11’
— 切換到 db_owner,恢復所有權限。
mysql set role db_owner;
Query OK, 0 rows affected (0.00 sec)
mysql create table t11(id int);
Query OK, 0 rows affected (0.04 sec)
示例 4:關於角色的兩個參數
activate_all_roles_on_login:是否在連接 MySQL 服務時自動激活角色mandatory_roles:強制所有用戶默認角色
— 用管理員連接MySQL,
— 設置默認激活角色
mysql set global activate_all_roles_on_login=on;
Query OK, 0 rows affected (0.00 sec)
— 設置強制給所有用戶賦予角色db_datareader
mysql set global mandatory_roles=’db_datareader’;
Query OK, 0 rows affected (0.00 sec)
— 創建用戶ytt7.
mysql create user ytt7;
Query OK, 0 rows affected (0.01 sec)
— 用 ytt7登錄數據庫
root@ytt-pc:/var/lib/mysql# mysql -uytt7 -P3304 -hytt-pc
…
mysql show grants;
+——————————————-+
| Grants for ytt7@% |
+——————————————-+
| GRANT USAGE ON *.* TO `ytt7`@`%` |
| GRANT SELECT ON `ytt_new`.* TO `ytt7`@`%` |
| GRANT `db_datareader`@`%` TO `ytt7`@`%` |
+——————————————-+
3 rows in set (0.00 sec)
示例 5 :create role 和 create user 都有創建角色權限,兩者有啥區別?
以下分別創建兩個用戶 ytt8、ytt9,一個給 create role,一個給 create user 權限。
— 管理員登錄,創建用戶ytt8,ytt9.
mysql create user ytt8,ytt9;
Query OK, 0 rows affected (0.01 sec)
mysql grant create role on *.* to ytt8;
Query OK, 0 rows affected (0.02 sec)
mysql grant create user on *.* to ytt9;
Query OK, 0 rows affected (0.01 sec)
— 用ytt8 登錄,
root@ytt-pc:/var/lib/mysql# mysql -uytt8 -P3304 -hytt-pc
…
mysql create role db_test;
Query OK, 0 rows affected (0.02 sec)
— 可以創建角色,但是不能創建用戶
mysql create user ytt10;
ERROR 1227 (42000): Access denied; you need (at least one of) the CREATE USER privilege(s) for this operation
mysql \q
Bye
— 用ytt9 登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt9 -P3304 -hytt-pc
…
— 角色和用戶都能創建
mysql create role db_test2;
Query OK, 0 rows affected (0.02 sec)
mysql create user ytt10;
Query OK, 0 rows affected (0.01 sec)
mysql \q
Bye
那這裡其實看到 create user 包含了 create role,create user 即可以創建用戶,也可以創建角色。
示例 6:MySQL 用戶也可以當角色來用
— 用管理員登錄,創建用戶ytt11,ytt12.
mysql create user ytt11,ytt12;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to ytt11;
Query OK, 0 rows affected (0.01 sec)
— 把ytt11普通用戶的權限授予給ytt12
mysql grant ytt11 to ytt12;
Query OK, 0 rows affected (0.01 sec)
— 來查看 ytt12的權限,可以看到擁有了ytt11的權限
mysql show grants for ytt12;
+———————————–+
| Grants for ytt12@% |
+———————————–+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` |
+———————————–+
2 rows in set (0.00 sec)
— 在細化點,看看ytt12擁有哪些具體的權限
mysql show grants for ytt12 using ytt11;
+——————————————–+
| Grants for ytt12@% |
+——————————————–+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT SELECT ON `ytt_new`.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` |
+——————————————–+
3 rows in set (0.00 sec)
示例 7:角色的撤銷
角色撤銷和之前權限撤銷類似。要麼 revoke,要麼刪除角色,那這個角色會從所有擁有它的用戶上移除。
— 用管理員登錄,移除ytt2的角色
mysql revoke db_datareader from ytt2;
Query OK, 0 rows affected (0.01 sec)
— 刪除所有角色
mysql drop role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.01 sec)
— 對應的角色也從ytt1上移除掉了
mysql show grants for ytt1;
+———————————-+
| Grants for ytt1@% |
+———————————-+
| GRANT USAGE ON *.* TO `ytt1`@`%` |
+———————————-+
1 row in set (0.00 sec)
至此,我分了 7 個目錄說明了角色在各個方面的使用以及注意事項,希望對大家有幫助。
如何設置mysql的權限為所有的用戶權限
這個設置只要進入 Linux 系統的超級用戶狀態 # 下面,即可以使用 chmod 命令對 MySQL 數據庫系統下面的所有文件進行權限設置。具體的就看你想設置成什麼權限,你就可以設置成什麼權限了。chmod 的基本用法如下:
#chmod 750 myfile cr
該命令對 myfile 這個文件設置成:文件所有者(頭 3 位)具有:可讀(4)、可寫(2)、可執行(1)權限;同組用戶(中間 3 位)具有:可讀(4)、可執行(1)權限;其他用戶(後 3 位):不可讀(4)、不可寫(2)、不可執行(1)權限。
關於 chmod 更多的參數,你可以使用 man chmod 命令進行查看。
mysql 權限設置
背景
在了解動態權限之前,我們先回顧下 MySQL 的權限列表。
權限列表大體分為服務級別和表級別,列級別以及大而廣的角色(也是MySQL 8.0 新增)存儲程序等權限。我們看到有一個特殊的 SUPER 權限,可以做好多個操作。比如 SET 變量,在從機重新指定相關主機信息以及清理二進制日誌等。那這裡可以看到,SUPER 有點太過強大,導致了僅僅想實現子權限變得十分困難,比如用戶只能 SET 變量,其他的都不想要。那麼 MySQL 8.0 之前沒法實現,權限的細分不夠明確,容易讓非法用戶鑽空子。
那麼 MySQL 8.0 把權限細分為靜態權限和動態權限,下面我畫了兩張詳細的區分圖,圖 1 為靜態權限,圖 2 為動態權限。
圖 1- MySQL 靜態權限的權限管理圖
圖 2-動態權限圖
那我們看到其實動態權限就是對 SUPER 權限的細分。 SUPER 權限在未來將會被廢棄掉。
我們來看個簡單的例子,
比如, 用戶 ‘ytt2@localhost’, 有 SUPER 權限。
mysql show grants for ytt2@’localhost’;+———————————————————————————+| Grants for ytt2@localhost |+———————————————————————————+| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER, SUPER ON *.* TO ytt2@localhost |+———————————————————————————+1 row in set (0.00 sec)
但是現在我只想這個用戶有 SUPER 的子集,設置變量的權限。那麼單獨給這個用戶賦予兩個能設置系統變量的動態權限,完了把 SUPER 給拿掉。
mysql grant session_variables_admin,system_variables_admin on *.* to ytt2@’localhost’;Query OK, 0 rows affected (0.03 sec)mysql revoke super on *.* from ytt2@’localhost’;Query OK, 0 rows affected, 1 warning (0.02 sec)
我們看到這個 WARNINGS 提示 SUPER 已經廢棄了。
mysql show warnings;
+———+——+———————————————-+
| Level | Code | Message |
+———+——+———————————————-+
| Warning | 1287 | The SUPER privilege identifier is deprecated |
+———+——+———————————————-+
1 row in set (0.00 sec)`
mysql show grants for ytt2@’localhost’;
+———————————————————————————–+
| Grants for ytt2@localhost |
+———————————————————————————–+
| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER ON *.* TO ytt2@localhost |
| GRANT SESSION_VARIABLES_ADMIN,SYSTEM_VARIABLES_ADMIN ON *.* TO ytt2@localhost |
+———————————————————————————–+
2 rows in set (0.00 sec)
當然圖 2 上還有其它的動態權限,這裡就不做特別說明了。
微信第三方平台 後台mysql 用戶表怎麼設計
說起用戶表,大概是每個應用/網站立項動工(碼農們)考慮的第一件事情。用戶表結構的設計,算是整個後台架構的基石。如果基石不穩,待到後面需求跟進了發現不能應付,回過頭來反覆修改用戶表,要大大小小作改動的地方也不少。與其如此,不妨設計用戶表之初就考慮可拓展性,爭取不需要太多額外代價的情況下一步到位。
先前設計:
id
username
password
用戶名加上密碼,解決簡單需求,留個id作為其他表的外鍵。當然,那時候密碼還可能是明文存儲,好點的知道md5。
後來呢,隨着業務需求的拓展,要加個用戶狀態 status 判斷用戶是否被封禁,註冊時間和註冊IP地址、上次登錄時間和IP地址備查(並衍生出登錄記錄表,用來判斷是否異地登錄等,在此不表),用戶角色/權限 role (又衍生出用戶角色權限關係,還是另文討論),業務也需要個人的個人信息如真實姓名、地址等也一股腦往上添加,現在形成了一個很完整的用戶關係表。
原創文章,作者:BMYI,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/142015.html
微信掃一掃 
支付寶掃一掃 