概述
mysql权限控制在不同的上下文和不同的操作水平上都能够进行控制,他们包括例如以下几个
** 管理权限能够同意用户管理mysql server的操作。
这些权限控制是全局的,不是针对某个特定的数据库的
** 数据库权限相应到一个数据库和里面的对象。这些权限被用来控制特定的数据库或者全局的,他们能够应用到全部的数据库
** 数据库对象的权限相应到数据库表,索引。视图。和存储过程,能够对数据库内部的某个对象进行授权控制。
权限的存储位置
** 账号权限信息被存储在mysql数据库的user,db,tables_priv ,columns_priv ,procs_priv 表中。
** mysql启动的时候读取这些信息到内存中去。或者在权限变更生效的时候,又一次读取到内存中去
mysql 账号管理
mysql 账号名字由username和主机名组成。这样能够同意同已用户在不同主机上分别控制权限。
这一部分描写叙述怎样分配账户名字包括特定的值和模糊
匹配规则,在sql语句中,create user, grant ,set password的时候。会用到这些规则:
- ‘user_name’@’host_name’ 就是账户名字的语法规则
- 只包括username的账号等同于 ‘username’@’%’
- 假设username是合法的字符,username和主机名不必用引號引起来。
在你的username包括’-‘这种字符的时候,须要用引號引起来。或者说主机名有
通配符的时候须要引起来。
- 引號能够用单引號也能够用双引號。
- 主机和username必须分别被引號括起来。假设必须要括的话。
mysql在mysql数据库中分别用两个列去存储username和主机名:
- 用户表每一个账户一行记录,此表也表示了账号有哪些全局权限。
- 其它授权表表示了账号拥有的数据库和数据库内的对象。这些表都实username和主机列。每行的账户信息和user表的账户信息是奕扬的。
username和主机名能够包括特殊字符或者通配符,以下是这些规则:
username要么是一个非空字符串字面上必须匹配连接字符串中指名的username,或者一个空字符串就会匹配人户username。空username是一个匿名用户。
主机名也能够又好多形式。或者通配符:
- 主机名能够是一个IP地址或者一个localhost样的字符串。
- %和sql中的like的效果是一样的。比如 ’%.mysql.com’ 就会匹配 a.mysql.com.
权限控制阶段1:连接校验
当你尝试去连接到mysqlserver,server基于以下两点条件去接受或者拒绝连接:
- 你的身份标识以及正确的password
- 你的账号是否被锁定了
server先校验password是否正确,然后校验是否锁定。
不论什么一个步骤失败,server将会拒绝连接。
假设通过校验。server接受连接。然后进入第二阶段而且等候请求。
认证检查先检查user表的三个列。host,user,password。锁定状态是在user表的account_locked列中记录着的。账号锁定状态能够通过alter user语句来变更。
你的身份由两部分来组成,你连接的客户主机以及你的mysqlusername。假设username不空,则必须全字符匹配才干够,假设username是空的,则匹配不论什么用户。假设用户表匹配到一个空username,这个用户被觉得是一个匿名用户。二不是客户实际提供的。这意味着空username是用来进一步检查用的也就是阶段2.
password能够为空,这个不是一个通配符。不意味着匹配不论什么password。它的意思是用户必须无password连接。假设服务起授权一个客户都安使用一个插件。这样
该插件实现的认证体系也许没实用password列。在这种情况下,外部password也能够用来去认证mysqlserver。
非空password都是加密存储的,mysql没有存储不论什么明文password。而且用户提供的password也是被加密的。这个加密的password后来在连接过程中,来检查password是否正确。
从mysql的观点来看,加密的password才是真正的password,所以不要告诉不论什么人这个加密的password。
假设在user表中有多行被匹配,server必须决定用哪一个,它的规则是这种:
- 不论什么时候server读取用户表到内存中的时候,它会排序。
- server检查的侍奉server按行顺序去检查
- server使用第一个匹配的行
server排序的规则是无通配符的在前面,统配的在后面。
权限控制阶段2:请求校验
当通过了连接校验,你和server建立了连接后,server进入权限控制的第二个阶段。你的每一个请求,server决定出你想做什么操作,然后检查你是否有
权限去做。此时。grant 表的privilege列就该出场了。这些列能够出自 user,db,tables_priv,columns_priv,procs_priv。不再细讲这些表了。
什么时候去权限变更生效
当server启动的时候,grant表的数据被读入内存。
假设你使用账户管理语句去更新权限控制,server将会知道这些变更,然后又一次读取它们。假设你
直接用sql语句去更新这些表,你的变更不会生效,直到你又一次启动server或者你告诉server去重建缓存。
你能够通过运行一个刷新权限操作来通知server重建缓存。以下三个语句都能够达到效果:
- flush_privileges
- mysqladmin_flush-privileges
- mysqladmin_reload
假设启动參数是 –skip-grant-tables ,那么server不再校验不论什么权限,非常不安全。