TIDB - TIDB用户角色权限管理

Posted 2021-12-18 小毕超

一、TIDB 中的权限

我们都知道TIDB是兼容mysql的，对于TiDB 的权限管理和MySql中的权限管理也是兼容的，所以说我们完全可以将MySQL中的那一套拿来到TIDB中，是完全适用的。

另外TiDB 将用户账户及角色存储在 mysql.user 系统表里面。每个账户由用户名和 host 作为标识。每个账户可以设置一个密码。

下面我们针对TIDB数据库来演示下用户角色权限的配置。注意以下所有操作均在TIDB数据库中进行。

二、用户管理

1. 创建新用户，并指定用户的登录密码

create user 'bxc' identified by 'bxc123';

这种方式创建的用户不限制主机，默认为 ‘bxc’@‘%‘ 所有的主机都可以使用此账户进行连接，如果要限制主机可以在用户名后@跟主机ip即可：

create user 'bxc'@'172.160.158.3' identified by 'bxc123';

2. 查看 mysql.user 表，查看我们创建的用户

select user, host, authentication_string from mysql.user;

可见已经创建成功了。

3. 修改用户密码

alter user 'bxc' identified by 'tidb123';

4. 删除用户

drop user 'bxc';

如果是指定了主机的用户，删除时也要携带主机ip，如：

drop user 'bxc'@'172.160.158.3';

从上面对用户的操作已经可以感觉出来，就是和我们在MYSQL中的操作相同，下面继续来感受下权限角色的设置。

三、用户权限管理

1. 赋予用户权限，比如赋予testdb库下所有表的读权限赋予bxc用户

grant select on testdb.* to 'bxc';

下面我们用bxc用户，进行查询和写入测试：

可以看到只有读的权限，没有写的权限，下面将写的权限赋予bxc用户：

grant insert on testdb.* to 'bxc';

下面再次进行读和写操作就已经有权限了：

2. 查看用户下的权限

show grants  for 'bxc';

3. 收回用户的权限

 revoke insert on testdb.* from bxc;

使用bxc再次进行写操作：

四、角色权限管理

1. 创建角色

create role manager, common;

角色信息也是存储在了mysql.user表中了，我们可以查询看下

select user, host, authentication_string,Account_locked from mysql.user;

从上面就可以看出角色和用户是用区别的，角色的 Account_locked是处于锁定状态，这也可以理解，毕竟角色我们是用来管理权限的不是用来登录的，同样角色也没有密码。

2. 赋予角色权限，比如赋予common角色testdb库下所有表的读权限

grant select on testdb.* to common;

3. 赋予manager角色testdb库下所有表的写权限

grant insert, update, delete on testdb.* to manager;

4. 将角色赋予用户

grant 'common' to 'bxc';

使用bxc 去查询发现还是查询不了，此时角色是空的，还需要进行角色的生效：

set role all;

然后查看当前的角色：

select current_role();

并且也有了查询的权限。

5. 解除角色与用户的关系

revoke 'common' from 'bxc';

6. 赋予manager角色全部的权限

grant all on testdb.* to manager;

7. 删除角色

 drop role common;