18. 用户与权限管理

Posted 2022-02-12

一、用户管理

  MySQL用户可以分为普通用户和root用户。root用户是超级管理员，拥有所有权限，包括创建用户、删除用户和修改用户密码等权限管理；普通用户之只能拥有被授予的各种权限。MySQL提供了许多语句用来管理用户账号，这些语句可以用来管理包括登录和退出MySQL服务器、创建用户、删除用户、密码管理和权限管理等内容。MySQL数据库的安全性需要通过账户管理来保证。

1.1、登入MySQL服务器

mysql –h hostname|hostIP –P port –u username –p DatabaseName –e "SQL语句"

• -h参数 后面接主机名或者主机IP，hostname为主机，hostIP为主机IP。
• -P参数 后面接MySQL服务的端口，通过该参数连接到指定的端口。
  • MySQL服务的默认端口是3306，不使用该参数时自动连接到3306端口，port为连接的端口号。
• -u参数 后面接用户名，username为用户名。
• -p参数 会提示输入密码。
• DatabaseName参数 指明登录到哪一个数据库中。
  • 如果没有该参数，就会直接登录到MySQL数据库中，然后可以使用USE命令来选择数据库。
• -e参数 后面可以直接加SQL语句。登录MySQL服务器以后即可执行这个SQL语句，然后退出MySQL服务器。

1.2、创建用户

CREATE USER 用户名 [IDENTIFIED BY \'密码\'][,用户名 [IDENTIFIED BY \'密码\']];

• 用户名参数表示新建用户的账户，由 用户（User） 和 主机名（Host） 构成；
• “[ ]”表示可选，也就是说，可以指定用户登录时需要密码验证，也可以不指定密码验证，这样用户可以直接登录。
  • 如果指定密码值，这里需要使用IDENTIFIED BY指定明文密码值。
• CREATE USER语句可以同时创建多个用户。

example:

CREATE USER \'Sakura\' IDENTIFIED BY \'27185\';
CREATE USER \'Sakura\'@\'localhost\' IDENTIFIED BY \'27185\';
SELECT host,user FROM mysql.user;

1.3、修改用户

-- 修改用户名
UPDATE mysql.user SET USER = \'newUsername\' WHERE USER = \'oldUserName\';
FLUSH PRIVILEGES;

example:

SELECT host,user FROM mysql.user;
UPDATE mysql.user SET USER = \'Mikoto\' WHERE USER = \'Sakura\' AND HOST = \'localhost\';
FLUSH PRIVILEGES;
SELECT host,user FROM mysql.user;

1.4、删除用户

-- 方式1：使用DROP方式删除（推荐）
DROP USER user[,user]…;
-- 方式2：使用DELETE方式删除
DELETE FROM mysql.user WHERE Host = \'hostname\' AND User = \'username\';
FLUSH PRIVILEGES;

example:

SELECT host,user FROM mysql.user;
-- 默认删除host为%的用户
DROP USER \'Sakura\';
DELETE FROM mysql.user WHERE Host = \'localhost\' AND User = \'Mikoto\';
FLUSH PRIVILEGES;
SELECT host,user FROM mysql.user;

注意：不推荐通过 DELETE FROM mysql.user WHERE Host = \'hostname\' AND User = \'username\'; 进行删除，系统会有残留信息保留。而drop user命令会删除用户以及对应的权限，执行命令后你会发现mysql.user表和mysql.db表的相应记录都消失了。

1.5、设置用户密码

1.5.1、设置当前用户的密码

-- 使用ALTER USER命令来修改当前用户密码
ALTER USER USER() IDENTIFIED BY \'new_password\';
-- 使用SET语句来修改当前用户密码
SET PASSWORD = \'new_password\';

example:

ALTER USER USER() IDENTIFIED BY \'Kinomoto\';
SET PASSWORD = \'Sakura\';

1.5.2、修改其它用户的密码

-- 使用ALTER语句来修改普通用户的密码
ALTER USER \'username\' [IDENTIFIED BY \'newPassword\'] [,user[IDENTIFIED BY \'newPassword\']]…;
-- 使用SET命令来修改普通用户的密码
SET PASSWORD FOR \'username\' =\'new_password\';

example:

CREATE USER \'Sakura\' IDENTIFIED BY \'Kinomoto\';
CREATE USER \'Mikoto\' IDENTIFIED BY \'Misaka\';
SELECT host,user FROM mysql.user;

ALTER USER \'Sakura\' IDENTIFIED BY \'SakuraKinomoto\';
SET PASSWORD FOR \'Mikoto\' =\'MikotoMisaka\';

1.6、MySQL 8.0 密码管理

1.6.1、密码过期策略

• 在MySQL中，数据库管理员可以 手动设置 账号密码过期，也可以建立一个 自动 密码过期策略。
• 过期策略可以是 全局的 ，也可以为 每个账号 设置单独的过期策略。

ALTER USER \'username\' PASSWORD EXPIRE;

该语句将指定用户的密码设置为过期，该用户仍可以登录进入数据库，但无法进行查询。密码过期后，只有重新设置了新密码，才能正常使用。

example:

ALTER USER \'Mikoto\' PASSWORD EXPIRE;

手动设置指定时间过期方式：全局

• 如果密码使用时间大于允许的时间，服务器会自动设置为过期，不需要手动设置。
• MySQL使用default_password_lifetime系统变量建立全局密码过期策略
  • 它的默认值是0，表示禁用自动密码过期
  • 它允许的值是正整数N，表示允许的密码生存期。密码必须每隔N天进行修改
• 两种实现方式：
  • 使用SQL语句更改该变量的值并持久化
    • SET PERSIST default_password_lifetime = N;
  • 配置文件my.cnf中进行维护
    • default_password_lifetime=N

手动设置指定时间过期方式：单独设置
  每个账号既可以延用全局密码过期策略，也可以单独设置策略。在 CREATE USER 和 ALTER USER 语句加入 PASSWORD EXPIRE 选项可实现单独设置策略。

-- 设置指定账号密码指定天数后过期
CREATE USER \'username\' PASSWORD EXPIRE INTERVAL N DAY; 
ALTER USER \'username\' PASSWORD EXPIRE INTERVAL N DAY;

-- 设置密码永不过期
CREATE USER \'username\' PASSWORD EXPIRE NEVER; 
ALTER USER \'username\' PASSWORD EXPIRE NEVER;

-- 延用全局密码过期策略
CREATE USER \'username\' PASSWORD EXPIRE DEFAULT; 
ALTER USER \'username\' PASSWORD EXPIRE DEFAULT;

1.6.2、密码重用策略

  MySQL限制使用已用过的密码。重用限制策略基于密码更改的数量和使用的时间。重用密码策略可以是全局的，也可以为每个账号设置单独的策略。

• 账号的历史密码包含过去该账号所使用的密码。MySQL基于以下规则来限制密码重用。
  • 如果账号的密码限制基于密码更改的数量，那么新密码不能从最近限制的密码数量中选择。
    • 例如，如果密码更改的最小值为3，那么新密码不能与最近3个密码中任何一个相同
  • 如果账号密码限制基于时间，那么新密码不能从规定时间内选择。
    • 例如，如果密码重用周期为30天，那么新密码不能从最近30天内使用的密码中选择
• MySQL使用password_history和password_reuse_interval系统变量设置密码重用策略
  • password_history：规定密码重用的数量
  • password_reuse_interval：规定密码重用的周期
  • 这两个值可在服务器的配置文件中进行维护，也可在运行期间使用SQL语句更改该变量并持久化。
  • 手动设置密码重用方式：全局
    • 使用SQL

    SET PERSIST password_history = N;           -- 设置不能选择最近使用过的N个密码
    SET PERSIST password_reuse_interval = N;    -- 设置不能选择最近N天内的密码
    

    • 配置文件：my.cnf配置文件

    [mysqld]
    password_history=N
    password_reuse_interval=N
    

  • 手动设置密码重用方式：单独设置

  -- 不能使用最近N个密码
  CREATE USER \'username\' PASSWORD HISTORY N;
  ALTER USER \'username\' PASSWORD HISTORY N;
  
  -- 不能使用最近N天内的密码
  CREATE USER \'username\' PASSWORD REUSE INTERVAL N DAY;
  ALTER USER \'username\' PASSWORD REUSE INTERVAL N DAY;
  
  -- 既不能使用最近N个密码，又不能使用M天内的密码
  CREATE USER \'username\' PASSWORD HISTORY N PASSWORD REUSE INTERVAL M DAY;
  ALTER USER \'username\' PASSWORD HISTORY N PASSWORD REUSE INTERVAL M DAY;
  
  -- 延用全局策略
  CREATE USER \'username\' PASSWORD HISTORY DEFAULT PASSWORD REUSE INTERVAL DEFAULT;
  ALTER USER \'username\' PASSWORD HISTORY DEFAULT PASSWORD REUSE INTERVAL DEFAULT;
  

二、权限管理

  关于MySQL的权限简单的理解就是MySQL允许你做你权限以内的事情，不可以越界。比如只允许你执行SELECT操作，那么你就不能执行UPDATE操作，只允许你从某台机器上连接MySQL，那么你就不能从除那台机器以外的其它机器连接MySQL。可以通过show privileges;查看MySQL的权限。

2.1、权限列表

MySQL权限分布

权限分布	可能的设置的权限
表权限	Select,Insert,Update,Delete,Create,Drop,Grant,Reference,Index,Alter
列权限	Select,Insert,Update,Reference
过程权限	Execute,Alter,Routine,Grant

• CREATE和DROP权限 可以创建新的数据库和表，或删除（移掉）已有的数据库和表。
  • 如果将MySQL数据库中的DROP权限授予某用户，用户就可以删除MySQL访问权限保存的数据库。
• SELECT、INSERT、UPDATE和DELETE权限 允许在一个数据库现有的表上实施操作。
• SELECT权限 只有在它们真正从一个表中检索行时才被用到。
• INDEX权限 允许创建或删除索引，INDEX适用于已有的表。
  • 如果具有某个表的CREATE权限，就可以在CREATE TABLE语句中包括索引定义。
• ALTER权限 可以使用ALTER TABLE来更改表的结构和重新命名表。
• CREATE ROUTINE权限 用来创建保存的程序（函数和程序）
  • ALTER ROUTINE权限用来更改和删除保存的程序
  • EXECUTE权限 用来执行保存的程序。
• GRANT权限 允许授权给其他用户，可用于数据库、表和保存的程序。
• FILE权限 使用户可以使用LOAD DATA INFILE和SELECT ... INTO OUTFILE语句读或写服务器上的文件，
  • 任何被授予FILE权限的用户都能读或写MySQL服务器上的任何文件（说明用户可以读任何数据库目录下的文件，因为服务
    器可以访问这些文件）

2.2、授予权限的原则

• 只授予能 满足需要的最小权限 ，防止用户干坏事。
  • 比如用户只是需要查询，那就只给select权限就可以了，不要给用户赋予update、insert或者delete权限。
• 创建用户的时候，限制用户的登录主机 ，一般是限制成指定IP或者内网IP段。
• 为每个用户设置满足密码复杂度的密码 。
• 定期清理不需要的用户 ，回收权限或者删除用户。

2.3、授予权限

  给用户授权的方式有 2 种，分别是通过把角色赋予用户给用户授权和直接给用户授权。用户是数据库的
使用者，我们可以通过给用户授予访问数据库中资源的权限，来控制使用者对数据库的访问，消除安全
隐患。

授权命令：

-- 该权限如果发现没有该用户，则会直接新建一个用户。
GRANT 权限1,权限2,…权限n ON 数据库名称.表名称 TO 用户名@用户地址 [IDENTIFIED BY ‘密码口令’];

example:

CREATE DATABASE test18;
USE test18;

CREATE TABLE employees 
AS
SELECT * FROM atguigudb.employees;

CREATE TABLE departments
AS
SELECT * FROM atguigudb.departments;

GRANT SELECT,INSERT,DELETE,UPDATE ON test18.* TO \'Sakura\';
GRANT ALL PRIVILEGES ON *.* TO \'Sakura\';

2.4、查看权限

-- 查看当前用户权限
SHOW GRANTS; 
SHOW GRANTS FOR CURRENT_USER; 
SHOW GRANTS FOR CURRENT_USER();

-- 查看某用户的全局权限
SHOW GRANTS FOR \'user\'@\'主机地址\';

example:

-- 查看当前用户权限
SHOW GRANTS; 
SHOW GRANTS FOR CURRENT_USER; 
SHOW GRANTS FOR CURRENT_USER();

-- 查看某用户的全局权限
SHOW GRANTS FOR \'Sakura\';

2.5、收回权限

  收回权限就是取消已经赋予用户的某些权限。收回用户不必要的权限可以在一定程度上保证系统的安全性。MySQL中使用REVOKE句取消用户的某些权限。使用REVOKE收回权限之后，用户账户的记录将从db、host、tables_priv和columns_priv表中删除，但是用户账户记录仍然在user表中保存（删除user表中的账户记录使用DROP USER语句）。

注意：在将用户账户从user表删除之前，应该收回相应用户的所有权限。

收回权限命令

REVOKE 权限1,权限2,…权限n ON 数据库名称.表名称 FROM 用户名@用户地址;

example:

SHOW GRANTS FOR \'Sakura\';
REVOKE delete ON test18.*  FROM \'Sakura\';
SHOW GRANTS FOR \'Sakura\';
REVOKE ALL PRIVILEGES ON *.*  FROM \'Sakura\';
SHOW GRANTS FOR \'Sakura\';

三、权限表

  MySQL服务器通过权限表来控制用户对数据库的访问，权限表存放在mysql数据库中。MySQL数据库系统会根据这些权限表的内容为每个用户赋予相应的权限。这些权限表中最重要的是user表、db表。除此之外，还有table_priv表、column_priv和proc_priv表。在MySQL启动时，服务器将这些数据库中权限信息的内容读入内存.

3.1、user表

  user表是MySQL中最重要的一个权限表， 记录用户账号和权限信息。如下图：

  这些字段可以分成4类，分别是范围列（或用户列）、权限列、安全列和资源控制列。

• 范围列（或用户列）
  • host ： 表示连接类型
    • % 表示所有远程通过 TCP方式的连接
    • IP 地址 通过制定ip地址进行的TCP方式的连接
    • 机器名 通过制定网络中的机器名进行的TCP方式的连接
    • ::1 IPv6的本地ip地址，等同于IPv4的 127.0.0.1
    • localhost 本地方式通过命令行方式的连接
  • user ： 表示用户名，同一用户通过不同方式链接的权限是不一样的
  • password ： 密码
    • 所有密码串通过 password(明文字符串) 生成的密文字符串。MySQL 8.0 在用户管理方面增加了角色管理，默认的密码加密方式也做了调整，由之前的 SHA1 改为了 SHA2 ，不可逆 。同时加上 MySQL 5.7 的禁用用户和用户过期的功能，MySQL 在用户管理方面的功能和安全性都较之前版本大大的增强了。
    • mysql 5.7 及之后版本的密码保存到 authentication_string 字段中不再使用password 字段。
• 权限列
  • Grant_priv字段 表示是否拥有GRANT权限
  • Shutdown_priv字段 表示是否拥有停止MySQL服务的权限
  • Super_priv字段 表示是否拥有超级权限
  • Execute_priv字段 表示是否拥有EXECUTE权限。拥有EXECUTE权限，可以执行存储过程和函数。
  • Select_priv , Insert_priv等 为该用户所拥有的权限。
• 安全列
  • 安全列只有6个字段，
  • 其中两个是ssl相关的（ssl_type、ssl_cipher），用于 加密 ；
  • 两个是x509相关的（x509_issuer、x509_subject），用于 标识用户 ；
  • 另外两个Plugin字段用于 验证用户身份 的插件，该字段不能为空。
    • 如果该字段为空，服务器就使用内建授权验证机制验证用户身份。
• 资源控制列
  • 资源控制列的字段用来 限制用户使用的资源 ，包含4个字段，分别为：
    • max_questions，用户每小时允许执行的查询操作次数；
    • max_updates，用户每小时允许执行的更新操作次数；
    • max_connections，用户每小时允许执行的连接操作次数；
    • max_user_connections，用户允许同时建立的连接次数。

3.2、db表

• 用户列
  • db表用户列有3个字段，分别是Host、User、Db。这3个字段分别表示主机名、用户名和数据库名。表示从某个主机连接某个用户对某个数据库的操作权限，这3个字段的组合构成了db表的主键。
• 权限列
  • Create_routine_priv和Alter_routine_priv这两个字段决定用户是否具有创建和修改存储过程的权限。

3.3、tables_priv表和columns_priv表

• tables_priv表用来 对表设置操作权限
• columns_priv表用来对表的 某一列设置权限
• tables_priv表有8个字段，分别是Host、Db、User、Table_name、Grantor、Timestamp、Table_priv和 Column_priv，各个字段说明如下：
  • Host、Db、User和Table_name四个字段分别表示主机名、数据库名、用户名和表名。
  • Grantor表示修改该记录的用户。
  • Timestamp表示修改该记录的时间。
  • Table_priv表示对象的操作权限。
    • 包括Select、Insert、Update、Delete、Create、Drop、Grant、 References、Index和Alter。
  • Column_priv字段表示对表中的列的操作权限
    • 包括Select、Insert、Update和References。

tables_priv表

columns_priv表

3.4、procs_priv表

  procs_priv表可以对 存储过程和存储函数设置操作权限

四、访问控制

4.1、连接核实阶段

  当用户试图连接MySQL服务器时，服务器基于用户的身份以及用户是否能提供正确的密码验证身份来确定接受或者拒绝连接。即客户端用户会在连接请求中提供用户名、主机地址、用户密码，MySQL服务器接收到用户请求后，会使用user表中的host、user和authentication_string这3个字段匹配客户端提供信息。

  服务器只有在user表记录的Host和User字段匹配客户端主机名和用户名，并且提供正确的密码时才接受连接。如果连接核实没有通过，服务器就完全拒绝访问；否则，服务器接受连接，然后进入阶段2等待用户请求。

4.2、请求核实阶段

  一旦建立了连接，服务器就进入了访问控制的阶段2，也就是请求核实阶段。对此连接上进来的每个请求，服务器检查该请求要执行什么操作、是否有足够的权限来执行它，这正是需要授权表中的权限列发挥作用的地方。这些权限可以来自user、db、table_priv和column_priv表

  确认权限时，MySQL首先 检查user表 ，如果指定的权限没有在user表中被授予，那么MySQL就会继续 检 查db表 ，db表是下一安全层级，其中的权限限定于数据库层级，在该层级的SELECT权限允许用户查看指定数据库的所有表中的数据；如果在该层级没有找到限定的权限，则MySQL继续 检查tables_priv表 以 及 columns_priv表 ，如果所有权限表都检查完毕，但还是没有找到允许的权限操作，MySQL将 返回错 误信息 ，用户请求的操作不能执行，操作失败。

  MySQL通过向下层级的顺序（从user表到columns_priv表）检查权限表，但并不是所有的权限都要执行该过程。例如，一个用户登录到MySQL服务器之后只执行对MySQL的管理操作，此时只涉及管理权限，因此MySQL只检查user表。另外，如果请求的权限操作不被允许，MySQL也不会继续检查下一层级的表。

五、角色管理

  在MySQL中，角色是权限的集合，可以为角色添加或移除权限。用户可以被赋予角色，同时也被授予角色包含的权限。对角色进行操作需要较高的权限。并且像普通用户账号一样，角色可以拥有属于的撤销的权限。引入角色的目的是方便管理拥有相同权限的用户。

• 创建角色
  • CREATE ROLE \'role_name\'[@\'host_name\'] [,\'role_name\'[@\'host_name\']]...;
• 给角色赋予权限
  • GRANT privileges ON table_name TO \'role_name\'[@\'host_name\'];
• 查看角色的权限
  • SHOW GRANTS FOR \'role_name\';
• 回收角色的权限
  • REVOKE privileges ON tablename FROM \'role_name\';
• 删除角色
  • DROP ROLE \'role_name\' [,\'role2\']...;
• 给用户赋予角色
  • GRANT \'role_name\' [,\'role2\',...] TO \'user_name\' [,\'user2\',...];
• 激活角色
  • 方式1：使用set default role 命令激活角色
    • SET DEFAULT ROLE \'role_name\' TO \'user_name\'[@\'host_name\'];
  • 方式2：将activate_all_roles_on_login设置为ON
    • SET GLOBAL activate_all_roles_on_login = ON;
• 撤销用户的角色
  • REVOKE \'role_name\' FROM \'user_name\';
• 设置强制角色（mandatory role）
  • 强制角色是给每一个账号的默认角色，不需要手动设置。强制角色无法被REVOKE和DROP
  • 方式一：服务启动前设置

    [musqld]
    mandatory_roles=\'role\'
    

  • 方式二：运行时设置

    SET PERSIST mandatory_roles = \'role\';   -- 系统重启后仍然有效
    SET GLOBAL mandatory_roles = \'role\';    -- 系统重启后失效
    

example:

CREATE ROLE \'manager\';					    -- 创建角色，默认这个角色是没有任何权限的
SHOW GRANTS FOR \'manager\';				    -- 查看角色的权限
GRANT SELECT,UPDATE ON test18.* TO \'manager\';		    -- 给角色赋予权限
SHOW GRANTS FOR \'manager\';


CREATE USER \'Rimuru\'@\'localhost\' IDENTIFIED BY \'Tempest\';   -- 创建一个用户
SHOW GRANTS FOR \'Rimuru\'@\'localhost\';
GRANT \'manager\' TO \'Rimuru\'@\'localhost\';		    -- 给用户赋予角色
SHOW GRANTS FOR \'Rimuru\'@\'localhost\';
SELECT CURRENT_ROLE();
SET DEFAULT ROLE \'manager\' TO \'Rimuru\'@\'localhost\';	    -- 激活角色
SELECT CURRENT_ROLE();					    -- 退出，重新连接


REVOKE \'manager\' FROM \'Rimuru\'@\'localhost\';	            -- 撤销用户的角色
SHOW GRANTS FOR \'Rimuru\'@\'localhost\';
DROP USER \'Rimuru\'@\'localhost\';				    -- 删除用户

REVOKE SELECT,UPDATE ON test18.* FROM \'manager\';	    -- 回收角色的权限
SHOW GRANTS FOR \'manager\';
DROP ROLE \'manager\';				            -- 删除角色