MySQL權限控制的簡(jiǎn)單介紹

這篇文章主要介紹“權限控制的簡(jiǎn)單介紹”，在日常操作中，相信很多人在MySQL權限控制的簡(jiǎn)單介紹問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對大家解答”MySQL權限控制的簡(jiǎn)單介紹”的疑惑有所幫助！接下來(lái)，請跟著(zhù)小編一起來(lái)學(xué)習吧！

背景：MySQL-5.7.11-GA 
1.MySQL權限控制的簡(jiǎn)單介紹 
2.需求 
3.實(shí)現中需要解決的幾個(gè)問(wèn)題 
4.初步方案的設計 
5.改進(jìn)方案的設想 

1.MySQL權限控制的簡(jiǎn)單介紹 
MySQL的權限控制，從范圍上，由大到小分為三個(gè)級別：MySQL級，DB級，對象級；

MySQL級指的是對MySQL實(shí)例本身產(chǎn)生影響的操作，包括但不限于修改MySQL的參數，如buffer_pool_size；關(guān)閉/啟動(dòng)MySQL等等，比較明顯的特點(diǎn)在于MySQL級別的操作權限沒(méi)有指定具體的數據庫（同樣意味著(zhù)對任何MySQL實(shí)例中的數據庫生效，類(lèi)似于全局權限的意思），（特殊的情況：創(chuàng )建數據庫，雖然會(huì )指定數據庫名，但是這個(gè)數據庫本身不存在，所以也算是MySQL級的權限）；

DB級指的是針對已存在的具體數據庫的操作，包括修改數據庫的字符集，創(chuàng )建或者刪除具體的已存在的數據庫等，比較明顯的特點(diǎn)在于DB級的操作權限是限制在特定的數據庫中；

對象級的操作主要指影響的是某個(gè)數據庫內部的對象，例如表，索引，存儲過(guò)程等；

不同級別之間權限的相互影響：采用交集，即MySQL級+DB級+對象級；

可以得出MySQL權限設置有兩個(gè)特點(diǎn)， 
DB級和對象級的權限，在設置的時(shí)候就必須要指明具體的DB和對象，如果DB和對象未知，則只能靠MySQL級的去設置全局權限，針對現有/新創(chuàng )建的DB和對象生效； 
如果在高級別設置了權限，則會(huì )取所有級別的權限的交集，比如設置了create,insert on *.*（MySQL級別），create on testdb.*（DB級）中，MySQL級（全局權限）禁止掉的insert不會(huì )生效，依然可以insert數據到testdb的表中；但是設置了create,insert on testdb.*（DB級）和create on *.*（MySQL級）時(shí)，用戶(hù)是可以在testdb進(jìn)行insert操作的，意味著(zhù)在高級別的權限上，設置的--“沒(méi)有insert權限”并不會(huì )覆蓋低級別上單獨賦予的“insert權限”。
如圖：

權限控制在MySQL中的實(shí)現：具體的權限設置存儲于MySQL系統庫的一些表里面，MySQL級的設置存在于user表中，當一個(gè)client試圖連接MySQL實(shí)例的時(shí)候，會(huì )先檢查這個(gè)表中的權限（包括賬戶(hù)名，密碼，HOST的驗證），通過(guò)之后，才能連接到MySQL實(shí)例。

其他級別的設置會(huì )保存在db，tables_priv，column_priv等表里面，具體信息可以在數據庫中查看。

2.需求
希望能夠有一個(gè)“admin”角色，具備root的所有權限，除了修改MySQL的global設置和主從設置等；

3.實(shí)現中需要解決的幾個(gè)問(wèn)題
首先想到的辦法就是：grant all on *.* to admin@'%' with grant option，然后revoke super on *.* from admin@'%'，不過(guò)問(wèn)題來(lái)了， 在這種設置下，admin是可以直接update mysql.user表，然后手動(dòng)添加super權限的；
而且如果要能創(chuàng )建新的DB，且為新的用戶(hù)賦予新DB的各種權限的話(huà)，就需要至少是Create+增刪改查的權限，且對象為全局（on *.*），那么同樣的，admin一樣可以修改mysql.user表。

4.初步方案的設計 
使用shell腳本，在里面添加sudo mysql -u -p -e來(lái)完成創(chuàng )建新DB，創(chuàng )建新用戶(hù)，授權等操作，然后禁止所使用的系統用戶(hù)對這個(gè)腳本的cat，vim，vi等文本操作權限；
這種方案的問(wèn)題也不少：其他的用戶(hù)可以登錄DB Server；腳本中保存的root密碼可能會(huì )被自身不熟悉的方式獲??；etc...

5.改進(jìn)方案的設想
如果有個(gè)web就好了，能夠屏蔽所有端的細節和操作，在頁(yè)面上點(diǎn)點(diǎn)點(diǎn)就做完了_(:з」∠)_