grant语句会同时修改数据表和内存,判断权限的时候使用的是内存数据,因此 规范地使用grant和revoke语句,是不需要随后加上flush privileges语句的
flush privileges语句本身会用数据表的数据重建一份内存权限数据,所以在权限数据可能存在不一致的情况下再使用,而这种不一致往往是由于直接用DML语句操作系统权限表导致的,所以我们尽量不要使用这类语句.
mysql创建用户
create user 'ua'@'%' indentified by 'pa';
这条语句的逻辑是创建一个用户是 'ua'@'pa',密码是pa, 注意 在MySQL里面, 用户名(user)+地址(host)才表示一个用户,因此ua@ip1和ua@ip2代表是的两个不同的用户
这条命令做了两个动作:
1 在磁盘上 往mysql.user表里插入一行,由于没有指定权限,所以在这行数据上所有表示权限的字段的值都是N;
2 内存里,往数组acl_users里插入一个acl_user对象,这个对象的access字段值是0
在MySQL中,用户权限是有不同的范围的,全局权限/库权限/表权限和列权限
全局权限
全局权限,作用于整个MySQL实例,这些权限信息保存在Mysql库的User表里, 如果我要给用户ua赋一个最高权限的话,语句是这样写的
grant all privileges on *.* to 'ua'@'%' with grant option;
这个grant命令做了两个动作
1 磁盘上,将mysql.user表里,用户'ua'@'%'这一行的所有权限的字段的值都修改为'Y';
2 内存里,从数组acl_users中找到这个用户对应的对象,将access值(权限位)修改为二进制的"全1";
在这个grant命令执行完成后,如果有新的客户端使用用户名Ua登陆成功,mysql会为新连接维护一个线程对象,然后从acl_users数组里查到这个用户的权限,并将权限值靠背到这个线程对象中,之后在这个连接中执行的语句,所有关于全局权限的判断, 都直接使用线程对象内部保存的权限位
基于上面的分析我们可以知道:
1 grant命令对于全局权限,同时更新了磁盘和内存,命令完成后即时生效,接下来新创建的链接会使用新的权限
2 对于一个已经存在的链接,它的全局权限不受grant命令影响.