本文目錄一覽:
MySQL 資料庫,如何分角色許可權建表?
角色一直存在各個資料庫中,比如 SQL Server、Oracle 等,MySQL 自從版本 8.0 release,引入了角色這個概念。
角色的概念
角色就是一組針對各種資料庫許可權的集合。比如,把一個角色分配給一個用戶,那這個用戶就擁有了這個角色包含的所有許可權。一個角色可以分配給多個用戶,另外一個用戶也可以擁有多個角色,兩者是多對多的關係。不過 MySQL 角色目前還沒有提供類似於其他資料庫的系統預分配的角色。比如某些資料庫的 db_owner、 db_datareader 、 db_datawriter 等等。那接下來我分幾個方面,來示例說明角色的使用以及相關注意事項。
示例 1:一個完整角色的授予步驟
用管理員創建三個角色:db_owner, db_datareader, db_datawriter
mysql create role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.02 sec)
mysql grant all on ytt_new.* to db_owner;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to db_datareader;
Query OK, 0 rows affected (0.01 sec)
mysql grant insert,delete,update on ytt_new.* to db_datawriter;
Query OK, 0 rows affected (0.01 sec)
創建三個普通用戶,分別為 ytt1、ytt2、ytt3。mysql create user ytt1 identified by ‘ytt’,ytt2 identified by ‘ytt’,ytt3 identified by ‘ytt’;Query OK, 0 rows affected (0.01 sec)
分別授予這三個用戶對應的角色。
— 授權角色
mysql grant db_owner to ytt1;
Query OK, 0 rows affected (0.02 sec)
— 激活角色
mysql set default role db_owner to ytt1;
Query OK, 0 rows affected (0.00 sec)
mysql grant db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql grant db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
以上是角色授予的一套完整步驟。那上面有點非常規的地方是激活角色這個步驟。MySQL 角色在創建之初默認是沒有激活的,也就是說創建角色,並且給一個用戶特定的角色,這個用戶其實並不能直接使用這個角色,除非激活了才可以。
示例 2:一個用戶可以擁有多個角色
— 用管理員登錄並且創建用戶
mysql create user ytt4 identified by ‘ytt’;
Query OK, 0 rows affected (0.00 sec)
— 把之前的三個角色都分配給用戶ytt4.
mysql grant db_owner,db_datareader,db_datawriter to ytt4;
Query OK, 0 rows affected (0.01 sec)
— 激活用戶ytt4的所有角色.
mysql set default role all to ytt4;
Query OK, 0 rows affected (0.02 sec)
— ytt4 用戶登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt4 -pytt -P3304 -hytt-pc
…
— 查看當前角色列表
mysql select current_role();
+——————————————————–+
| current_role() |
+——————————————————–+
| `db_datareader`@`%`,`db_datawriter`@`%`,`db_owner`@`%` |
+——————————————————–+
1 row in set (0.00 sec)
— 簡單創建一張表並且插入記錄, 檢索記錄,完了刪掉這張表
mysql use ytt_new
Database changed
mysql create table t11(id int);
Query OK, 0 rows affected (0.05 sec)
mysql insert into t11 values (1);
Query OK, 1 row affected (0.02 sec)
mysql select * from t11;
+——+
| id |
+——+
| 1 |
+——+
1 row in set (0.00 sec)
mysql drop table t11;
Query OK, 0 rows affected (0.04 sec)
示例 3:用戶在當前 session 里角色互換
其實意思是說,用戶連接到 MySQL 伺服器後,可以切換當前的角色列表,比如由 db_owner 切換到 db_datareader。
— 還是之前的用戶ytt4, 切換到db_datareader
mysql set role db_datareader;
Query OK, 0 rows affected (0.00 sec)
mysql select current_role();
+———————+
| current_role() |
+———————+
| `db_datareader`@`%` |
+———————+
1 row in set (0.00 sec)
— 切換後,沒有許可權創建表
mysql create table t11(id int);
ERROR 1142 (42000): CREATE command denied to user ‘ytt4’@’ytt-pc’ for table ‘t11’
— 切換到 db_owner,恢復所有許可權。
mysql set role db_owner;
Query OK, 0 rows affected (0.00 sec)
mysql create table t11(id int);
Query OK, 0 rows affected (0.04 sec)
示例 4:關於角色的兩個參數
activate_all_roles_on_login:是否在連接 MySQL 服務時自動激活角色mandatory_roles:強制所有用戶默認角色
— 用管理員連接MySQL,
— 設置默認激活角色
mysql set global activate_all_roles_on_login=on;
Query OK, 0 rows affected (0.00 sec)
— 設置強制給所有用戶賦予角色db_datareader
mysql set global mandatory_roles=’db_datareader’;
Query OK, 0 rows affected (0.00 sec)
— 創建用戶ytt7.
mysql create user ytt7;
Query OK, 0 rows affected (0.01 sec)
— 用 ytt7登錄資料庫
root@ytt-pc:/var/lib/mysql# mysql -uytt7 -P3304 -hytt-pc
…
mysql show grants;
+——————————————-+
| Grants for ytt7@% |
+——————————————-+
| GRANT USAGE ON *.* TO `ytt7`@`%` |
| GRANT SELECT ON `ytt_new`.* TO `ytt7`@`%` |
| GRANT `db_datareader`@`%` TO `ytt7`@`%` |
+——————————————-+
3 rows in set (0.00 sec)
示例 5 :create role 和 create user 都有創建角色許可權,兩者有啥區別?
以下分別創建兩個用戶 ytt8、ytt9,一個給 create role,一個給 create user 許可權。
— 管理員登錄,創建用戶ytt8,ytt9.
mysql create user ytt8,ytt9;
Query OK, 0 rows affected (0.01 sec)
mysql grant create role on *.* to ytt8;
Query OK, 0 rows affected (0.02 sec)
mysql grant create user on *.* to ytt9;
Query OK, 0 rows affected (0.01 sec)
— 用ytt8 登錄,
root@ytt-pc:/var/lib/mysql# mysql -uytt8 -P3304 -hytt-pc
…
mysql create role db_test;
Query OK, 0 rows affected (0.02 sec)
— 可以創建角色,但是不能創建用戶
mysql create user ytt10;
ERROR 1227 (42000): Access denied; you need (at least one of) the CREATE USER privilege(s) for this operation
mysql \q
Bye
— 用ytt9 登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt9 -P3304 -hytt-pc
…
— 角色和用戶都能創建
mysql create role db_test2;
Query OK, 0 rows affected (0.02 sec)
mysql create user ytt10;
Query OK, 0 rows affected (0.01 sec)
mysql \q
Bye
那這裡其實看到 create user 包含了 create role,create user 即可以創建用戶,也可以創建角色。
示例 6:MySQL 用戶也可以當角色來用
— 用管理員登錄,創建用戶ytt11,ytt12.
mysql create user ytt11,ytt12;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to ytt11;
Query OK, 0 rows affected (0.01 sec)
— 把ytt11普通用戶的許可權授予給ytt12
mysql grant ytt11 to ytt12;
Query OK, 0 rows affected (0.01 sec)
— 來查看 ytt12的許可權,可以看到擁有了ytt11的許可權
mysql show grants for ytt12;
+———————————–+
| Grants for ytt12@% |
+———————————–+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` |
+———————————–+
2 rows in set (0.00 sec)
— 在細化點,看看ytt12擁有哪些具體的許可權
mysql show grants for ytt12 using ytt11;
+——————————————–+
| Grants for ytt12@% |
+——————————————–+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT SELECT ON `ytt_new`.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` |
+——————————————–+
3 rows in set (0.00 sec)
示例 7:角色的撤銷
角色撤銷和之前許可權撤銷類似。要麼 revoke,要麼刪除角色,那這個角色會從所有擁有它的用戶上移除。
— 用管理員登錄,移除ytt2的角色
mysql revoke db_datareader from ytt2;
Query OK, 0 rows affected (0.01 sec)
— 刪除所有角色
mysql drop role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.01 sec)
— 對應的角色也從ytt1上移除掉了
mysql show grants for ytt1;
+———————————-+
| Grants for ytt1@% |
+———————————-+
| GRANT USAGE ON *.* TO `ytt1`@`%` |
+———————————-+
1 row in set (0.00 sec)
至此,我分了 7 個目錄說明了角色在各個方面的使用以及注意事項,希望對大家有幫助。
如何設置mysql的許可權為所有的用戶許可權
這個設置只要進入 Linux 系統的超級用戶狀態 # 下面,即可以使用 chmod 命令對 MySQL 資料庫系統下面的所有文件進行許可權設置。具體的就看你想設置成什麼許可權,你就可以設置成什麼許可權了。chmod 的基本用法如下:
#chmod 750 myfile cr
該命令對 myfile 這個文件設置成:文件所有者(頭 3 位)具有:可讀(4)、可寫(2)、可執行(1)許可權;同組用戶(中間 3 位)具有:可讀(4)、可執行(1)許可權;其他用戶(後 3 位):不可讀(4)、不可寫(2)、不可執行(1)許可權。
關於 chmod 更多的參數,你可以使用 man chmod 命令進行查看。
mysql 許可權設置
背景
在了解動態許可權之前,我們先回顧下 MySQL 的許可權列表。
許可權列表大體分為服務級別和表級別,列級別以及大而廣的角色(也是MySQL 8.0 新增)存儲程序等許可權。我們看到有一個特殊的 SUPER 許可權,可以做好多個操作。比如 SET 變數,在從機重新指定相關主機信息以及清理二進位日誌等。那這裡可以看到,SUPER 有點太過強大,導致了僅僅想實現子許可權變得十分困難,比如用戶只能 SET 變數,其他的都不想要。那麼 MySQL 8.0 之前沒法實現,許可權的細分不夠明確,容易讓非法用戶鑽空子。
那麼 MySQL 8.0 把許可權細分為靜態許可權和動態許可權,下面我畫了兩張詳細的區分圖,圖 1 為靜態許可權,圖 2 為動態許可權。
圖 1- MySQL 靜態許可權的許可權管理圖
圖 2-動態許可權圖
那我們看到其實動態許可權就是對 SUPER 許可權的細分。 SUPER 許可權在未來將會被廢棄掉。
我們來看個簡單的例子,
比如, 用戶 ‘ytt2@localhost’, 有 SUPER 許可權。
mysql show grants for ytt2@’localhost’;+———————————————————————————+| Grants for ytt2@localhost |+———————————————————————————+| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER, SUPER ON *.* TO ytt2@localhost |+———————————————————————————+1 row in set (0.00 sec)
但是現在我只想這個用戶有 SUPER 的子集,設置變數的許可權。那麼單獨給這個用戶賦予兩個能設置系統變數的動態許可權,完了把 SUPER 給拿掉。
mysql grant session_variables_admin,system_variables_admin on *.* to ytt2@’localhost’;Query OK, 0 rows affected (0.03 sec)mysql revoke super on *.* from ytt2@’localhost’;Query OK, 0 rows affected, 1 warning (0.02 sec)
我們看到這個 WARNINGS 提示 SUPER 已經廢棄了。
mysql show warnings;
+———+——+———————————————-+
| Level | Code | Message |
+———+——+———————————————-+
| Warning | 1287 | The SUPER privilege identifier is deprecated |
+———+——+———————————————-+
1 row in set (0.00 sec)`
mysql show grants for ytt2@’localhost’;
+———————————————————————————–+
| Grants for ytt2@localhost |
+———————————————————————————–+
| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER ON *.* TO ytt2@localhost |
| GRANT SESSION_VARIABLES_ADMIN,SYSTEM_VARIABLES_ADMIN ON *.* TO ytt2@localhost |
+———————————————————————————–+
2 rows in set (0.00 sec)
當然圖 2 上還有其它的動態許可權,這裡就不做特別說明了。
微信第三方平台 後台mysql 用戶表怎麼設計
說起用戶表,大概是每個應用/網站立項動工(碼農們)考慮的第一件事情。用戶表結構的設計,算是整個後台架構的基石。如果基石不穩,待到後面需求跟進了發現不能應付,回過頭來反覆修改用戶表,要大大小小作改動的地方也不少。與其如此,不妨設計用戶表之初就考慮可拓展性,爭取不需要太多額外代價的情況下一步到位。
先前設計:
id
username
password
用戶名加上密碼,解決簡單需求,留個id作為其他表的外鍵。當然,那時候密碼還可能是明文存儲,好點的知道md5。
後來呢,隨著業務需求的拓展,要加個用戶狀態 status 判斷用戶是否被封禁,註冊時間和註冊IP地址、上次登錄時間和IP地址備查(並衍生出登錄記錄表,用來判斷是否異地登錄等,在此不表),用戶角色/許可權 role (又衍生出用戶角色許可權關係,還是另文討論),業務也需要個人的個人信息如真實姓名、地址等也一股腦往上添加,現在形成了一個很完整的用戶關係表。
原創文章,作者:BMYI,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/142015.html
微信掃一掃 
支付寶掃一掃 