MySQL8.0——role功能

Posted 2020-12-24

mysql8.0新增了role功能：

   role可以看做一个权限的集合，这个集合有一个统一的名字role名。可以给多个账户统一的某个role的权限权限的修改直接通过修改role来实现，不需要每个账户一个一个的grant权限，方便运维和管理。role可以创建、删除、修改并作用到他管理的账户上。（和Oracle数据库中的角色差不多）

官方文档：

https://dev.mysql.com/doc/refman/8.0/en/roles.html

官方给的案例：

--创建3个角色：

mysql> CREATE ROLE 'app_developer', 'app_read', 'app_write';

--给每个角色授权：

mysql> GRANT ALL ON app_db.* TO 'app_developer';    --:app_db给这个角色所有权限

mysql> GRANT SELECT ON app_db.* TO 'app_read';      --:app_db给这个角色只读权限

mysql> GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';   --:app_db给这个角色写权限

--给每个用户授予不同的角色：

GRANT 'app_developer' TO 'dev1'@'localhost';

GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';

GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

--当然，还可以针对某个表的权限 做角色，如：

mysql> grant select on testdb.emp to app_read;

2、强制定义角色：mandatory_roles

   通过在mandatory_roles系统变量的值做设置，可以指定角色为强制性的。服务器将强制角色视为授予所有用户，因此不需要显式地授予任何帐户。

在配置文件中，添加：

[mysqld]

mandatory_roles='role1,[email protected],[email protected]%.example.com'

或者，在命令行中执行：

SET PERSIST mandatory_roles = 'role1,[email protected],[email protected]%.example.com';

例子：

①：首先建一个角色并授权：

mysql> CREATE ROLE app_developer;

mysql> GRANT ALL ON test.* TO app_developer;

--然后我们把这个参数设成这个角色：（意思是：凡是创建的用户指定了@'%'用户可以在任意客户端登录数据库，默认创建用户会拥有app_developer角色）

mysql> SET PERSIST mandatory_roles = '[email protected]%';

--然后我们创建一个用户 并不赋权

mysql> create user [email protected]'%' identified by 'test_user';

mysql> FLUSH PRIVILEGES;

--使用新用户登录数据库，然后可以直接set这个role

mysql> set role app_developer;

mysql> show databases;

+--------------------+

| Database           |

+--------------------+

| information_schema |

| test               |

+--------------------+

2 rows in set (0.00 sec)

注意：当一个角色被set了之后是不可以被删除的

3、检查用户的权限或角色，如：

mysql> SHOW GRANTS FOR [email protected]'%';

+-----------------------------------+

| Grants for [email protected]%                |

+-----------------------------------+

| GRANT USAGE ON *.* TO `zhang`@`%` |

+-----------------------------------+

1 row in set (0.00 sec)

--扩展显示，把授予角色的内容也显示出来：

mysql> SHOW GRANTS FOR 'zhang'@'%' USING 'app_developer';

+-------------------------------------------------+

| Grants for [email protected]%                              |

+-------------------------------------------------+

| GRANT USAGE ON *.* TO `zhang`@`%`               |

| GRANT ALL PRIVILEGES ON `test`.* TO `zhang`@`%` |

+-------------------------------------------------+

2 rows in set (0.00 sec)

4、移除角色：

REVOKE role FROM user;

或者，将角色的权限移除：

REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

5、删除角色

DROP ROLE 'app_read', 'app_write';