微信搜索“coder-home”或扫一扫下面的二维码,关注公众号,
第一时间了解更多干货分享,还有各类视频教程资源。扫描它,带走我
背景
授权的通配符
权限存储范围和时效性对比
授予某个数据库的所有权限
授予数据库中某个表的所有权限
授予数据库表中某个字段的所有权限
总结
背景
MySQL中对权限的控制力度是怎样的?
能够控制某个用户只能访问某一个或某几个数据库吗?
能够控制某个用户只能访问某一些字母开头的数据库吗?
能够控制某个用户只能访问某个库下面某个表的某些字段吗?
这些授权的时效性是如何的?对于已经存在的数据库连接,这些授权能马上生效吗?
接下来带你找到这些问题的答案。
授权的通配符
如果需要让某个用户可以访问MySQL中以特定字母开头的数据库,可以使用%
来匹配。这样的需求常见于多租户的场景中。
例如下面的授权语句的功能是给用户'myuser'@'172.19.%'
授予所有以'my_'
开头的数据库的所有权限。SQL语句如下:
grant all on `my_%`.* to 'myuser'@'172.19.%';复制
**注意:**上面的my_%
前后的反引号"`"不能省略。否则授权不生效。如果不用%
匹配,也可以使用英文状态的下划线_
来匹配,每一个_
匹配一个字符。
权限存储范围和时效性对比
我们授权之后,这个授权动作何时生效?
对于新建立的连接,很明显会使用我们刚刚授权结果来验证新连接的用户的权限。
对于在授权更改之前已经存在的连接,这个新的授权会对它生效吗?下面我们分别来做一下示例。
授予某个数据库的所有权限
MySQL中除了对所有数据库可以授予权限之外,还可以对某一个数据库进行授权。
例如对某个用户只授予某个数据库的所有权限的语句如下:
grant all on mysql_db.* to 'test1'@'%';复制
上面的语句执行完成后,授权信息除了对新建的连接生效之外,对于已经存在的连接也是马上就生效的,也就是说已经存在的连接不需要退出重新登录就可以使用上面的授权。这个命令会在mysql.db
表中插入一个行数据,是关于test1
对于mysql_db
的权限配置信息。如下所示:
授予数据库中某个表的所有权限
除了可以给某个用户授予某个库的权限之外,更细粒度的授权,可以给某个用户授予某张表的权限。
例如对某个用户只属于某个库下面的某个表的所有权限,SQL语句如下:
grant all on mysql_db.user_info to test1;复制
上面的授权语句执行完成之后,授权信息除了对新建的连接生效之外,对于已经存在的连接也马上就生效的,也就是说已经存在的连接不需要退出重新登录就可以使用上面的授权。这个命令会在mysql.tables_priv
表中插入一条数据。这条数据是关于用户test1
对表mysql_db.user_info
的权限配置信息。记录如下所示:
授予数据库表中某个字段的所有权限
更细粒度的权限分配,MySQL可以支持某个用户对某个表的某个列有什么权限。
例如对某个用户授予某个数据库下面的某个表的某个列所有的权限,SQL如下所示:
grant select(name), insert(name,hostname) on mysql_db.test_tab to test1;复制
上面的语句是对用户test1
授予表mysql_db.test_tab
上的列name
查询的权限,在name
和hostname
上有插入数据的权限,但是没有对hostname
查询的权限。
上面语句执行完成后,授权信息除了对新建的连接生效之外,对于已经存在的连接也是有马上就生效的,也就是说已经存在的连接不需要退出重新登录就可以使用上面的授权。这个命令会在表mysql.columns_priv
表中插入2条记录,存储用户对某个表的某些列的权限配置信息。如下所示:
总结
这里引用一个关于权限范围和修改策略时效性的图片,我们可以参考如下的图片来明确MySQL中授权的范围和时效性。
http://ww1.sinaimg.cn/large/d1885ed1ly1g0ab2twmjaj21gs0js78u.jpg
微信搜索“coder-home”或扫一扫下面的二维码,关注公众号,
第一时间了解更多干货分享,还有各类视频教程资源。扫描它,带走我
