MySQL 8.0 ROLE管理

Posted 2021-06-10 数据和云

点击上方"蓝字"

关注我们，享更多干货！

数据库里对应的权限都可以指定赋予，那么角色的作用是什么？

数据库里角色是一个命名的权限集合，为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念。与用户账户一样，角色可以具有授予和撤销它们的特权。

比如：当多个用户分配复杂又细致的权限时，角色的作用就体现出来了。就是把一堆权限给一个角色，新用户只要使用这个角色，就能有对应的权限了。本文将探讨mysql 8.0里角色是怎样实现的。

角色相关命令和配置方式：

1.命令接口：

命令	说明
CREATE ROLE and DROP ROLE	创建和删除角色
GRANT and REVOKE	是否激活角色
SHOW GRANTS	显示 账户/角色 所拥有的 权限或者角色
SET DEFAULT ROLE	设置账户默认使用什么角色
SET ROLE	改变当前会话的角色
CURRENT_ROLE()	显示当前会话的角色
WITH ADMIN OPTION	授予和撤销其他用户或角色

2.my.cnf配置参数：

参数	说明
mandatory_roles	允许定义用户登录时强制权的角色
activate_all_roles_on_login	是否激活角色

角色和用户区别

1.不论创建用户还是角色都是在mysql.user表里：

备注：区别在于account_locked，password_expired

2.查了对应的mysql库发现没有特别的role相关的表，那是否可以理解 role其实也是用户，只是没有密码和锁住无法登录。

  
    
    
  

   
     
     
   ALTER USER 'role_developer'@'%' IDENTIFIED BY '123456';
  
    
    
  
  
    
    
  

   
     
     
   ALTER USER 'role_developer'@'%' ACCOUNT UNLOCK;
  
    
    
  

备注：role账号，发现可以正常登录。到这里可以大致理解，实际上角色和用户都是相等的。只是通过关系绑在一起。算是打破了常理，方式值得借鉴和学习。

看到这里，还是比较简单易懂的，大致都有了解。下面是练习SQL语句。

例子

1.创建角色

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   DROP ROLE IF EXISTS  'role_developer'@'%' ,'role_read'@'%' ,'role_write'@'%' ;
  
    
    
  
  
    
    
  

   
     
     
   CREATE ROLE 'role_developer'@'%', 'role_read'@'%', 'role_write'@'%'          ;
  
    
    
  

2.赋予权限

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   GRANT ALL ON world.* TO 'role_developer';
  
    
    
  
  
    
    
  

   
     
     
   GRANTSELECTON
   
     
     
    world.* 
   
     
     
   TO
   
     
     
   'role_read'
   
     
     
   ;
  
    
    
  
  
    
    
  

   
     
     
   GRANTINSERT
   
     
     
   , 
   
     
     
   UPDATE
   
     
     
   , 
   
     
     
   DELETEON
   
     
     
    world.* 
   
     
     
   TO
   
     
     
   'role_write'
   
     
     
   ;
   
     
     
   

  
    
    
  

3.创建用户

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   DROP USER IF EXISTS  'user_dev'@'%' , 'user_read'@'%' ,'user_write'@'%'    ;
  
    
    
  
  
    
    
  

   
     
     
   CREATE USER 'user_dev'@'%'   IDENTIFIED BY '123456' ; 
CREATE USER 'user_read'@'%'  IDENTIFIED BY '123456' ; 
CREATE USER 'user_write'@'%' IDENTIFIED BY '123456' ;

  
    
    
  

4.查询用户表状态

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   SELECT  user,host,account_locked,password_expired 
FROM mysql.user WHERE user LIKE 'user_%' OR user LIKE 'role_%';
  
    
    
  

5.角色授予和撤销:

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   GRANT 'role_developer'@'%' TO 'user_dev'@'%';
  
    
    
  
  
    
    
  

   
     
     
   GRANT 'role_developer'@'%' TO 'user_read'@'%'  WITH ADMIN OPTION;
  
    
    
  
  
    
    
  

   
     
     
   GRANT 'role_write'@'%'     TO 'user_write'@'%' WITH admin OPTION;

##回收角色
# REVOKE 'role_developer'@'%' FROM  'user_dev'@'%';
# REVOKE 'role_developer'@'%' FROM  'user_read'@'%';
# REVOKE 'role_write'@'%'     FROM  'user_write'@'%';
  
    
    
  

6.激活ROLE

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   SET DEFAULT ROLE ALL TO  'user_dev'@'%';
  
    
    
  
  
    
    
  

   
     
     
   SET DEFAULT ROLE ALL TO  'user_read'@'%';
  
    
    
  
  
    
    
  

   
     
     
   SET DEFAULT ROLE ALL TO  'user_write'@'%';
  
    
    
  

可以用user账号登录操作了。

7.ROLE操作

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   SET ROLE NONE;                     #无角色 
SET ROLE ALL EXCEPT 'role_write';  #除已命名的角色外的所有角色            
  
    
    
  
  
    
    
  

   
     
     
   SET ROLE ALL;                      #所有角色。
  
    
    
  
  
    
    
  

   
     
     
   SELECT CURRENT_ROLE();             #当前角色  
  
    
    
  

8.强制给所有用户赋予角色，启动角色方式

  
    
    
  

   
     
     
   mysql>
  
    
    
  
  
    
    
  

   
     
     
   SET PERSIST mandatory_roles = 'role1,role2@%,r3@%.example.com';
  
    
    
  
  
    
    
  

   
     
     
   SET PERSIST activate_all_roles_on_login = ON;
  
    
    
  

[msyqld]
mandatory_roles='role_developer'
activate_all_roles_on_login = ON

activate_all_roles_on_login：
服务器会在登录时激活每个帐户的所有角色。这优先于使用SET default ROLE指定的默认角色。对于在定义器上下文中执行的存储程序和视图，也只在开始执行时应用。

9.其他
ROLES_GRAPHML:返回utf8字符串xml(graphml)有用户信息，应该用户api接口扩展。

  
    
    
  

   
     
     
   mysql>SELECT ROLES_GRAPHML()

  
    
    
  

总结：

• 便利用户分类管理，实际场景用的不多。

• 角色和用户是可互通的。

参考：
https://dev.mysql.com/doc/refman/8.0/en/roles.html

墨天轮原文链接：https://www.modb.pro/db/688988（复制到浏览器或者点击“阅读原文”立即查看）

关于作者

崔虎龙，云和恩墨MySQL技术顾问，长期服务于金融、游戏、物流等行业的数据中心，设计数据存储架构，并熟悉数据中心运营管理的流程及规范，自动化运维等。擅长MySQL、Redis、MongoDB数据库高可用设计和运维故障处理、备份恢复、升级迁移、性能优化。自学通过了MySQL OCP 5.6和MySQL OCP 5.7认证。2年多开发经验，10年数据库运维工作经验，其中专职做MySQL工作8年；曾经担任过项目经理、数据库经理、数据仓库架构师、MySQL技术专家、DBA等职务；涉及行业：金融（银行、理财）、物流、游戏、医疗、重工业等。

END

推荐阅读：

推荐下载：

由ACDU（中国DBA联盟）和墨天轮联合出品的全新视频节目「数据三分钟」已发布多期，快速了解数据行业动态，快关注我们的视频号看看吧！↓↓↓

点击下图查看更多 ↓

云和恩墨大讲堂 | 一个分享交流的地方

请备注：云和恩墨大讲堂

  点个“在看” 

你的喜欢会被看到❤