Mysql学习笔记（十三）权限管理

学习内容：

1.权限管理：

关于mysql的权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作，那么你就不能执行update操作。只允许你从某台机器上连接mysql，那么你就不能从除那台机器以外的其他机器连接mysql。

那么MYSQL的权限是如何实现的呢？这就要说到mysql的两阶段的验证：

第一阶段：服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制，可以限制成本地、某个IP、某个IP段、以及任何地方等，只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。

第二阶段：如果你能连接，MYSQL会检查你发出的每个请求，看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表，MYSQL会检查你对哪个表或者某个列是否有权限。再比如，你要运行某个存储过程，MYSQL会检查你对存储过程是否有执行权限等。

mysql的权限：

官网上涉及mysql的权限有很多。。。。这里只是简单的介绍一下分类。。。

权限分布	可能的设置的权限
表权限	'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
列权限	'Select', 'Insert', 'Update', 'References'
过程权限	'Execute', 'Alter Routine', 'Grant'

最主要的还是mysql的两个权限是如何验证的。。。并且熟悉了mysql的权限是做什么的，那么这方面的知识就很容易理解了。。。

2.MYSQL权限经验原则

权限控制主要是出于安全因素，因此需要遵循一下几个经验原则：

i.只授予能满足需要的最小权限，比如用户只是需要查询，那就只给select权限就可以了，不要给用户赋予update、insert或者delete权限。

ii.创建用户的时候限制用户的登录主机，一般是限制成指定IP或者内网IP段。

iii.初始化数据库的时候删除没有密码的用户。

iv.安装完数据库的时候会自动创建一些用户，这些用户默认没有密码。为每个用户设置满足密码复杂度的密码。

v.定期清理不需要的用户。回收权限或者删除用户。

3.如何创建用户呢？并且如何为用户设置权限呢？

GRANT ALL PRIVILEGES ON *.* TO clearlove@'localhost' IDENTIFIED BY '49681888' WITH GRANT OPTION;

解释一下上面语句的含义：

grant 关键字    all privileges 赋予所有权限   

*.*表示（数据库.表格名）比如说我们想在samp数据库里的shop表建立一个超级权限用户，那么*.*就可以写成 samp.shop

to 表示将权限赋予某个用户。。

clearlove@'localhost'表示clearlove这个用户@后面可以接ip,或者域名，这里接的是自己的主机...

identified by 表示为用户设置一个登陆密码为：49681888

with grant option 表示可以将自己的权限赋予给别人。。这句话尤其重要。。。

注：可以使用GRANT重复给用户添加权限，权限叠加，比如你先给用户添加了一个select权限，然后又给用户添加了一个insert权限，那么该用户就同时拥有了select和insert权限。

4.创建一个超级用户

grant all privileges on samp_db.shop to clearlove@'localhost' identified by '49681888' with grant option;

5.创建一个普通用户

创建一个一般的程序用户，这个用户可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等权限如果有存储过程还需要加上EXECUTE权限，一般是指定内网网段192.168.100网段。

GRANT  USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON samp.shop TO webuser@'192.168.100.%' IDENTIFIED BY  '49681888';

6.创建一个网站用户

GRANT USAGE,SELECT ON samp.shop TO public@'192.168.100.%' IDENTIFIED BY  '49681888';

7.刷新权限

权限刷新一般指的就是我们在更改了权限的时候，我们需要对权限进行刷新才能使得我们更改的权限生效。。。

FLUSH PRIVILEGES;

8.查看任意用户的权限

SHOW GRANTS FOR 'webuser'@'192.168.100.%';

9.回收权限

REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';

10.删除用户

注意删除用户不要使用DELETE直接删除，因为使用DELETE删除后用户的权限并未删除，新建同名用户后又会继承以前的权限。正确的做法是使用DROP USER命令删除用户，比如要删除'webuser'@'192.168.100.%'用户采用如下命令...

DROP USER 'webuser'@'192.168.100.%';

自己对权限管理算是有了一个基本的学习，也只是简单的介绍了一些基本的东西。。。权限管理一般在大型项目中使用得到。。。在这里也就不再进行班门弄斧了。。。。