grant授权和revoke回收权限
来源:互联网 发布:mac连接wifi开热点 编辑:程序博客网 时间:2024/05/20 07:19
在mysql维护工作中,做好权限管理是一个很重要的环节。下面对mysql权限操作进行梳理:
mysql的权限命令是grant,权限撤销的命令时revoke;
grant授权格式:grant 权限列表 on 库.表 to 用户名@'ip' identified by "密码";
revoke回收权限格式:revoke 权限列表 on 库.表 from 用户名@'ip';
下面通过一些例子说明:
1.grant授权
1)grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利。
mysql> grantallon *.* towang@'192.168.1.150'identifiedby "password"; //all等同于allprivilege,其中的privileges可以省略mysql> grantallprivileges on *.* to wang@'192.168.1.%'identified by "123456"; //192.168.1.%表示一个网段mysql> grantinsert,select,update,delete,drop,create,alteronhuanqiu.* towang@'%'identified by "123456";mysql> flush privileges //授权之后,不要忘记更新权限表2.查看权限
1)查看当前用户下所有的权限
mysql> show grants;+----------------------------------------------------------------------------------------------------------------------------------------+| Grants forroot@localhost |+----------------------------------------------------------------------------------------------------------------------------------------+| GRANTALLPRIVILEGES ON *.* TO 'root'@'localhost'IDENTIFIEDBY PASSWORD'*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9'WITHGRANT OPTION || GRANTPROXYON ''@''TO 'root'@'localhost'WITHGRANT OPTION |+----------------------------------------------------------------------------------------------------------------------------------------+2 rowsinset (0.00 sec)2)查看指定用户下的所有权限
USAGE是默认的初始状态,表示无任何权限!!
下面表示wang用户在192.168.1.0/24网段登陆本机mysql后,对huanqiu库下的所有表有insert,update,alter,delete,create,select的操作权限!
mysql> show grants for wang@'192.168.1.%'; //可以在selectuser,host,passwordfrommysql.user执行结果中找对应的权限用户信息+---------------------------------------------------------------------------------------------------------------+| Grants forwang@192.168.1.% |+---------------------------------------------------------------------------------------------------------------+| GRANTUSAGEON *.* TO'wang'@'192.168.1.%'IDENTIFIEDBY PASSWORD'*678E2A46B8C71291A3915F92736C080819AD76DF'|| GRANTSELECT,INSERT,UPDATE,DELETE,CREATE,ALTERON `huanqiu`.* TO'wang'@'192.168.1.%' |+---------------------------------------------------------------------------------------------------------------+2 rowsinset (0.00 sec)3.revoke撤销权限
revoke跟grant语法差不多,只需要把关键字 “to” 换成 “from” 即可,并且revoke语句中不需要跟密码设置。
注意:revoke可以回收所有权限,也可以回收部分权限。
mysql> revokeallon *.* fromwang@'192.168.1.150'; mysql> revokeallprivileges on *.* fromwang@'192.168.1.%'; mysql> revokeinsert,select,update,delete,drop,create,alteronhuanqiu.* fromwang@'%';mysql> flush privileges 注意事项:
1)grant, revoke用户权限后,该用户只有重新连接MySQL数据库,权限才能生效。
2)如果想让授权的用户,也可以将这些权限grant给其他用户,那么授权时需添加选项 "grant option"!
如下设置后,那么这个wang用户连接mysql后也可以将这些权限授予其他用户。
mysql> grantinsert,select,update,alteronhuanqiu.* towang@'%'identified by "123456"with grantoption;-------------------------------------------------------------------------------------------------------------------
mysql授权表一共涉及到5个表,分别是user、db、host、tables_priv和columns_priv。
这5张表的内容和用途如下:
1)user表
user表列出可以连接服务器的用户及其口令,并且它指定他们有哪种全局(超级用户)权限。在user表启用的任何权限均是全局权限,并适用于所有数据库。例如,如果你启用了DELETE权限,在这里列出的用户可以从任何表中删除记录,所以在你这样做之前要认真考虑。
2)db表
db表列出数据库,而用户有权限访问它们。在这里指定的权限适用于一个数据库中的所有表。
3)host表
host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限,这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响,所以,你可能发觉你根本不是用它。
4)tables_priv表
tables_priv表指定表级权限,在这里指定的一个权限适用于一个表的所有列。
5)columns_priv表
columns_priv表指定列级权限。这里指定的权限适用于一个表的特定列。
------------------------------------------------------------------------------------------------------------------
看下面一个实例:
给wang用户授权的权限太大了,现在要收回部分权限,只留给wang用户select和alter的权限。
mysql> show grants for wang@'192.168.1.%';+---------------------------------------------------------------------------------------------------------------+| Grants forwang@192.168.1.% |+---------------------------------------------------------------------------------------------------------------+| GRANTUSAGEON *.* TO'wang'@'192.168.1.%'IDENTIFIEDBY PASSWORD'*678E2A46B8C71291A3915F92736C080819AD76DF'|| GRANTSELECT,INSERT,UPDATE,DELETE,CREATE,ALTERON `huanqiu`.* TO'wang'@'192.168.1.%' |+---------------------------------------------------------------------------------------------------------------+2 rowsinset (0.00 sec)mysql> revokeinsert,update,delete,createonhuanqiu.* fromwang@'192.168.1.%';Query OK, 0 rows affected (0.00 sec)mysql> flush privileges;Query OK, 0 rows affected (0.00 sec)mysql> show grantsforwang@'192.168.1.%';+---------------------------------------------------------------------------------------------------------------+| Grants forwang@192.168.1.% |+---------------------------------------------------------------------------------------------------------------+| GRANTUSAGEON *.* TO'wang'@'192.168.1.%'IDENTIFIEDBY PASSWORD'*678E2A46B8C71291A3915F92736C080819AD76DF'|| GRANTSELECT,ALTERON `huanqiu`.* TO'wang'@'192.168.1.%' |+---------------------------------------------------------------------------------------------------------------+2 rowsinset (0.00 sec)发现revoke回收权限操作后,只剩下select和alter权限了。
revoke回收部分权限,剩下的权限的密码保持不变。
这里特别注意下:
如果给一个用户设置的权限过大,除了上面使用revoke回收部分权限外,还可以使用grant进行权限修改!
也就是说,grant不仅可以添加权限,也可以修改权限(实际上就是对同一'用户名'@'ip'设置权限,以覆盖之前的权限);
grant修改后的权限将覆盖之前的权限!
那么问题来了:授权后的密码是密文形式保存的,如果记不住之前授权时的密码,那么怎样保证覆盖后的权限跟之前的权限一致?
莫慌!
grant授权操作中其实不仅可以设置明文密码,也可以设置密文密码,如下:
1)grant 权限列表 on 库.表.* to 用户名@'ip' identified by "明文密码"
2)grant 权限列表 on 库.表.* to 用户名@'ip' identified by password "密文密码"
也就是说:
在grant重置权限的时候可以用查看的密文密码当做新的密码,然后去覆盖之前的权限,这就保证了修改前后的密码一致!
如上的例子,采用grant的操作如下:
mysql> show grants for wang@'192.168.1.%';+---------------------------------------------------------------------------------------------------------------+| Grants forwang@192.168.1.% |+---------------------------------------------------------------------------------------------------------------+| GRANTUSAGEON *.* TO'wang'@'192.168.1.%'IDENTIFIEDBY PASSWORD'*678E2A46B8C71291A3915F92736C080819AD76DF'|| GRANTSELECT,INSERT,UPDATE,DELETE,CREATE,ALTERON `huanqiu`.* TO'wang'@'192.168.1.%' |+---------------------------------------------------------------------------------------------------------------+2 rowsinset (0.00 sec)mysql> grantalter,selectonhuanqiu.* towang@'192.168.1.%'identifiedby password'*678E2A46B8C71291A3915F92736C080819AD76DF';Query OK, 0 rows affected (0.00 sec)mysql> flush privileges;Query OK, 0 rows affected (0.00 sec)mysql> show grantsforwang@'192.168.1.%';+---------------------------------------------------------------------------------------------------------------+| Grants forwang@192.168.1.% |+---------------------------------------------------------------------------------------------------------------+| GRANTUSAGEON *.* TO'wang'@'192.168.1.%'IDENTIFIEDBY PASSWORD'*678E2A46B8C71291A3915F92736C080819AD76DF'|| GRANTSELECT,ALTERON `huanqiu`.* TO'wang'@'192.168.1.%' |+---------------------------------------------------------------------------------------------------------------+2 rowsinset (0.00 sec)通常开发同事在让运维同事开通mysql权限时,他们会在自己本地mysql里生成一个密文密码,然后把这个密文密码给运维同事,运维同事在用这个密文密码进行授权,
那么授权的密码就只有开发同事自己知道了,其他人都不知道!比较安全的一种做法~
数据库/数据表/数据列权限:
Alter: 修改已存在的数据表(例如增加/删除列)和索引。
Create: 建立新的数据库或数据表。
Delete: 删除表的记录。
Drop: 删除数据表或数据库。
INDEX: 建立或删除索引。
Insert: 增加表的记录。
Select: 显示/搜索表的记录。
Update: 修改表中已存在的记录。
全局管理MySQL用户权限:
file: 在MySQL服务器上读写文件。
PROCESS: 显示或杀死属于其它用户的服务线程。
RELOAD: 重载访问控制表,刷新日志等。
SHUTDOWN: 关闭MySQL服务。
特别的权限:
ALL: 允许做任何事(和root一样)。
USAGE: 只允许登录--其它什么也不允许做。
- grant授权和revoke回收权限
- 数据库安全--授权GRANT和回收REVOKE
- Oracle常见授权与回收权限——grant和revoke
- oracle常见受权与回收权限 grant和revoke
- SQL—授权grant与回收revoke
- Grant授权、revoke取消授权
- MySQL中授权(grant)和撤销授权(revoke)
- MySQL中授权(grant)和撤销授权(revoke)
- MySQL中授权(grant)和撤销授权(revoke) 【转】
- MySQL中授权(grant)和撤销授权(revoke)
- MySQL中授权(grant)和撤销授权(revoke)
- MySQL 授权(grant[GRANT])与 撤销授权(revoke[REVOKE])
- GRANT和REVOKE语句
- mysql中授权(grant)和撤销授权(revoke)等命令的用法详解
- mysql中授权(grant)和撤销授权(revoke)等命令的用法详解[转]
- mysql中授权(grant)和撤销授权(revoke)等命令的用法详解[转]
- mysql中授权(grant)和撤销授权(revoke)等命令的用法详解[转]
- mysql中授权(grant)和撤销授权(revoke)等命令的用法详解
- 欢迎使用CSDN-markdown编辑器
- java,结构模式,GoF设计模式
- ROS---用catkin创建ROS包、编译
- Linux内核设计与实现 进程管理
- js 键盘监听事件
- grant授权和revoke回收权限
- Hamming Distance
- HTML关于居中的问题
- JNI日志打印
- Java类的加载与初始化
- 50行python代码实现的小区块链
- web.xml之<context-param>与<init-param>的区别与作用
- java线程
- 处理JS中定义对象和集合
