6.1 账户管理

用户拥有一个登录账号是使用MySQL的基础,本节就将介绍如何设置MySQL用户账号及其权限。

6.1.1 创建新账号

首先来看如何新建一个MySQL用户账号,以及授予其权限。MySQL可以使用GRANT命令语句来完成这一功能:

    GRANT privileges [(columns)]
    ON what
    TO user IDENTIFIED BY "password"
    WITH GRANT OPTION

参数说明:

● privileges:分配给用户的权限。表6-1列出了可在GRANT语句中使用的权限,及其代表的意义:

表6-1 GRANT命令可授予的用户权限列表

● columns:所授予权限所适用的列,可选,用来设置列级专有权限。如果多于一个列,则可用逗号将其分开。

● what:所授予权限的应用范围,包括全局的(“*.*”,适用于所有数据库和所有的表)、数据库专有的(“db_name.*”,适用于某个数据库中的所有表),以及表(“db_name.table_name”,适用于某个表)专有的。如果想更进一步指定权限适用的列,可以通过COLUMNS子句指定。

● user:授予权限的用户,由用户名和主机名组成,如user_name@host_name。即不单指定谁进行连接,还要指定从网络的哪个位置进行连接,MySQL支持多个同名、从不同位置连接的用户。

● password:用户口令,可选。如果不给新用户指定IDENTIFIED BY子句,该用户不分配口令。对于已有的用户,指定的口令将替代旧口令;如果不指定新口令,用户的旧口令仍然保持不变。当使用IDENTIFIED BY时,GRANT会自动对口令进行加密。

● WITH GRANT OPTION:可选。如果包含该子句,该用户可以将自身的权限授予其他用户。

例如下面的命令将建立一个新的用户newuser1@localhost,并授予其在数据库student_course上所有操作权。

    GRANT ALL ON student_course TO newuser1@localhost IDENTIFIED BY "password"

下面的命令授予newuser2@localhost在表student_course.students上的修改和删除权。

    GRANT UPDATE DELETE ON student_course.students TO newuser2@localhost IDENTIFIED BY
"password"

此时,如果使用newuser2登录,则只能看到student_course中的students表,如果试图查询表中的数据,则会报错:

    %mysql -u newuser2 -p
    Enter password: ********
    Welcome to the MySQL monitor.  Commands end with ; or \g.
    Your MySQL connection id is 8 to server version: 4.0.14-max-debug
    Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
    mysql> use student_course;
    Database changed
    mysql> show tables;
    +----------------------------------------+
    | Tables_in_student_course     |
    +----------------------------------------+
    | students                 |
    +----------------------------------------+
    1 row in set (0.00 sec)
    mysql> select * from students;
    ERROR 1142: select command denied to user: 'newuser2@localhost' for table 'students'
    mysql>

若想再进一步细化权利范围,比如限定newuser2@localhost只能修改students表中的sname列,命令如下:

        GRANT UPDATE(sname) ON student_course.students TO newuser2@localhost IDENTIFIED BY
"password"

6.1.2 控制权限传递

上面介绍了如何创建一个用户及对其授权,可用WITH GRANT OPTION子句来控制权限的传递。例如,如果要让tom能从host1进行连接并管理sales数据库中所有表,并能够将这个权限传递给其他用户,应使用下列GRANT语句:

    GRANT ALL ON student_courses.*
    TO tom@host1 IDENTIFIED BY "password"
    WITH GRANT OPTION

WITH GRANT OPTION子句允许将用户的权限授予给另一个用户,具有GRANT权限的两个用户可以相互授予自己的权限。如果只给一个用户授予SELECT权限,而给另一个用户除SELECT外还授予了其的权限,则第二个用户可以通过权限传递,使第一个用户更加“强大”。

6.1.3 取消权限和删除用户

为了收回某个用户的权限,可使用REVOKE语句。除了要用FROM替换TO,并且没有IDENTIFIED BY或WITH GRANT OPTION子句外,REVOKE的语法与GRANT语句非常相似:

    REVOKE privileges (columns) ON what FROM user

其中,user为想要取消权限的用户名,privileges为想要取消的权限。例如,下面命令取消newuser1的所有权限:

    mysql> REVOKE ALL ON student_course FROM newuser1@localhost;

REVOKE语句只删除权限,而不删除用户。即使取消了该用户的所有权限,用户仍然保留在系统(user表)中,这意味着该用户仍然可连接服务器。要想删除整个用户,必须用DELETE语句将该用户的记录从user表中直接删除:

    DELETE FROM user WHERE User="username" and Host="hostname";

例如,下面命令删除newuser1@localhost用户:

    mysql> use mysql
    Database changed
    mysql> DELETE FROM user
        -> WHERE User="newuser1" and Host="localhost";
    mysql> FLUSH PRIVILEGES;

其中,DELETE语句删除该用户,FLUSH语句告诉服务器重新加载授权表。

6.1.4 了解MySQL的用户管理表

前面两节介绍了如何使用GRANT和REVOKE来管理用户和权限,作为MySQL管理员,应该更进一步了解MySQL的用户和权限管理表。MySQL把用户和权限信息保存在一个叫做mysql数据库中。该数据库至少包含了四个表,如表6-2所示。

表6-2 MySQL的用户权限表

GRANT和REVOKE语句影响上面四个表,当通过GRANT为用户授权时,MySQL在user表中为该用户创建一个项。

● 如果GRANT语句授予用户所有全局权限,则这些权限也记录在user表中。

● 如果GRANT语句只授予该用户数据库、表或列上的权限,则这些权限将被分别记录在db、tables_priv和columns_priv表中。

使用GRANT和REVOKE语句比直接修改授权表更容易。例如,下面的命令通过update命令直接修改user表,来更改root用户的密码:

    % mysql -u root mysql
    % UPDATE user SET
        password=password('new_password')
        where user='root';
    % FLUSH PRIVILEGES