在實際應用中,我們經常會有這樣一種需求——某一個項目的開發團隊只能對其正在進行項目的數據庫及數據表進行增刪改查操作,而無權對其他項目的數據庫進行上述操作,這就不能單單使用一個 root 用戶來搞定,需要我們爲 MySQL 添加普通用戶並賦予相應權限。
1.創建/ 移除一個MySQL 普通用戶:
mysql> create user 'newuser'@'%' identified by 'thepassword';
一旦用戶被創建,包括加密的密碼、權限和資源限制在內的所有賬號細節都會被存儲在名爲 mysql.user 的表中。
查看用戶是否創建成功:
mysql> select u.user,u.host,u.password from mysql.user where u.user='newuser';
刪除用戶對應的命令爲drop user :
mysql> drop user 'newuser'@'%';
補充:當然上面列出的是文藝青年的做法,如果你硬要做普通青年,也可以直接操作 mysql 數據庫的 user 表來創建 / 移除用戶:
mysql> use mysql;
mysql> insert into user values ('%','newuser','*AEA2E7D4D184B6C8F2702761DCC05BCF4421E31A','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','N','','','','',30,0,10,5);
mysql> delete from user where user='newuser' and host='%';
2.對用戶權限進行操作:
剛創建的 MySQL 用戶沒有任何訪問權限,這種用戶當然不能在 MySQL 數據庫中進行任何操作,以下是相關權限級別:
all: 所有可用的權限
select: 查看庫、表、視圖和索引
update: 修改表或列
delete: 刪除行
insert: 插入行(注:該權限不能插入列,插入列相當於 alter 操作)
create: 創建庫、表和索引(不能創建視圖,需要create view權限;同時,也不能創建臨時表)
alter: 修改表,包括添加列,修改表的字段屬性及長度等
drop: 刪除庫、表、視圖和索引(對於視圖來說,沒有具體的 drop view 權限,只要用戶有 drop 權限就可以通過 drop view 命令刪除視圖,這一點與 create 權限有別)
references: 操作外鍵
index: 操作索引
create view: 創建視圖
show view: 查看視圖(在具體實驗中感覺該權限有沒有並不影響查看視圖,如果視圖已經創建,即便沒有該權限,可以使用show tables; 命令查看,同時也可以使用 select 查看其詳細數據)
create temporary tables: 創建臨時表(create 權限不涵蓋該權限)
create routine: 創建存儲過程、函數
alter routine: 修改存儲過程、函數
execute: 執行存儲過程、函數
(1)爲 newuser 用戶授權:
mysql> grant <privileges> on <database>.<table> to 'newuser'@'%';
其中,<privileges>代表要授予的權限,<database>.<table>代表要授予的具體數據庫及數據表,可以使用通配符 * ,最後代表要授予的用戶及 host 。
注:這裏需要特別說明的一點是,如果將 create / drop 權限授予全部數據庫及數據表,如下所示:
mysql> grant create on *.* to 'newuser'@'%';
則 newuser 用戶可以新建數據庫及數據表;反之,如果只將 create / drop 權限授予某個數據庫,如下所示:
mysql> grant create on proving.* to 'newuser'@'%';
則 newuser 用戶只能在 proving 數據庫下創建數據表,而不能創建新的數據庫。
(2)查看 newuser 用戶所擁有的權限:
mysql> show grants for 'newuser'@'%';
(3)刪除 newuser 用戶擁有的權限:
mysql> revoke <privileges> on <database>.<table> from 'newuser'@'%';
參數與授權時代表的含義相同,只是授權爲 grant … to … ,取消授權爲 revoke … from … 。
刪除 newuser 用戶對 proving 數據庫中所有表的數據修改權限:
mysql> revoke update on proving.* from 'newuser'@'%';
3.對用戶資源進行操作:
除了對用戶進行權限操作以外,還能單獨設置 MySQL 的資源使用限制,可用的資源限制如下:
MAX_QUERIES_PER_HOUR 每小時允許的最大請求數量
MAX_UPDATES_PER_HOUR 每小時允許的最大更新數量
MAX_CONNECTIONS_PER_HOUR 每小時允許的最大連接數量
MAX_USER_CONNECTIONS 所有用戶對服務器的同時連接數量
使用如下命令爲newuser 用戶增加資源限制:
mysql> grant usage on <database>.<table> to 'newuser'@'%' with<resource-limits>;
在 <resource-limits>中可以指定多個使用空格分隔開的資源資源限制,如:
mysql> grant usage on proving.* to 'newuser'@'%' with max_queries_per_hour 30 max_connections_per_hour 6;
暫時不知道如何取消這些資源限制,這裏先做一個大概瞭解。
注:
通過 grant 、 revoke 修改過用戶權限後,即便使用
mysql> flush privileges;
命令,該用戶也只有在從新連接 MySQL時,新修改的權限纔會生效。mysql 庫中的授權表共有 5 個,分別是 user、db、host、tables_priv、columns_priv。權限範圍越來越小,先做大概瞭解。
有關權限推薦一篇寫的比較詳細的博客,寫的很清晰,看完以後感覺收穫很大,地址如下:
http://www.cnblogs.com/Richardzhu/p/3318595.html
本文出自 “細桶假狗屎” 博客,請務必保留此出處http://xitongjiagoushi.blog.51cto.com/9975742/1629990