mysql8 新功能快速上手使用

更安全更快的的认证方式

5.7中无密码管理
5.8新增三个密码管理相关配置项

password_histroy=3 (不能和最近三次使用过的密码相同)
password_reuse_interval=90 (不能和最近90天使用过的密码相同)
password_require_current=ON (开启后修改密码需要验证旧密码,root用户不需要)

角色管理

MySQL角色是指定的权限集合.
像用户帐户一样,角色可以拥有授予和撤消的权限:

可以授予用户帐户角色,授予该帐户与每个角色相关的权限
用户被授予角色权限,则该用户拥有该角色的权限。
以下列表总结了MySQL提供的角色管理功能:

CREATE ROLE并 DROP ROLE角色创建和删除;
GRANT并 REVOKE为用户和角色分配和撤销权限;
SHOW GRANTS 显示用户和角色的权限和角色分配;
SET DEFAULT ROLE 指定哪些帐户角色默认处于活动状态;
SET ROLE 更改当前会话中的活动角色。
CURRENT_ROLE()功能显示当前会话中的活动角色。
创建角色并授予用户角色权限
考虑如下几种场景:

应用程序使用名为app_db的数据库 。

与应用程序相关联,可以为创建和维护应用程序的开发人员以及管理员账户。

开发人员需要完全访问数据库。有的用户只需要读取权限,有的用户需要读取/写入权限。

为清楚区分角色的权限,将角色创建为所需权限集的名称。通过授权适当的角色,可以轻松地为用户帐户授予所需的权限。

创建角色,CREATE ROLE

CREATE ROLE 'app_developer', 'app_read', 'app_write'; 

角色名称与用户帐户名称非常相似,由格式中的用户部分和主机部分组成.
主机部分,如果省略,则默认为%。用户和主机部分可以不加引号,除非它们包含特殊字符
与帐户名称不同,角色名称的用户部分不能为空

为角色分配权限,使用与为用户分配权限相同的语法执行:

GRANT ALL ON app_db.* TO 'app_developer';  
GRANT SELECT ON app_db.* TO 'app_read';  
GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';CREATE ROLE 'app_developer', 'app_read', 'app_write'; 

现在假设最初需要一个开发人员帐户,两个需要只读访问权的用户以及一个需要读取/写入权限的用户.
使用CREATEUSER创建用户:

CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';  
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';  
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';  
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass'; 

要为每个用户分配其所需的权限,可以使用GRANT与刚才显示的形式相同的语句,但这需要列举每个用户的个人权限。相反,使用GRANT允许授权角色而非权限的替代语法:

GRANT 'app_developer' TO 'dev1'@'localhost';  
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';  
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost'; 

结合角色所需的读取和写入权限,在GRANT中授权 rw_user1用户读取和写入的角色。

在GRANT授权角色的语法和授权用户的语法不同:有一个ON来区分角色和用户的授权,有ON的为用户授权,而没有ON用来分配角色。

由于语法不同,因此不能在同一语句中混合分配用户权限和角色。(允许为用户分配权限和角色,但必须使用单独的GRANT语句,每种语句的语法都要与授权的内容相匹配。)

检查角色权限
要验证分配给用户的权限,使用 SHOW GRANTS

mysql> SHOW GRANTS FOR 'dev1'@'localhost';  
+-------------------------------------------------+  
| Grants for dev1@localhost                       |  
+-------------------------------------------------+  
| GRANT USAGE ON *.* TO `dev1`@`localhost`        |  
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |  
+-------------------------------------------------+ 

但是,它会显示每个授予的角色,而不会将其显示为角色所代表的权限。如果要显示角色权限,添加一个 USING来显示:

mysql> SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';  
+----------------------------------------------------------+  
| Grants for dev1@localhost                                |  
+----------------------------------------------------------+  
| GRANT USAGE ON *.* TO `dev1`@`localhost`                 |  
| GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |  
| GRANT `app_developer`@`%` TO `dev1`@`localhost`          |  
+----------------------------------------------------------+ 

同样验证其他类型的用户:

mysql> SHOW GRANTS FOR ‘read_user1’@‘localhost’ USING ‘app_read’;
±-------------------------------------------------------+
| Grants for read_user1@localhost |
±-------------------------------------------------------+
| GRANT USAGE ON . TO read_user1@localhost |
| GRANT SELECT ON app_db.* TO read_user1@localhost |
| GRANT app_read@% TO read_user1@localhost |
±-------------------------------------------------------+
mysql> SHOW GRANTS FOR ‘rw_user1’@‘localhost’ USING ‘app_read’, ‘app_write’;
±-----------------------------------------------------------------------------+
| Grants for rw_user1@localhost |
±-----------------------------------------------------------------------------+
| GRANT USAGE ON . TO rw_user1@localhost |
| GRANT SELECT, INSERT, UPDATE, DELETE ON app_db.* TO rw_user1@localhost |
| GRANT app_read@%,app_write@% TO rw_user1@localhost |
±-----------------------------------------------------------------------------+

2.3 撤消角色或角色权限

正如可以授权某个用户的角色一样,可以从帐户中撤销这些角色:

赞(1) 打赏
特别声明:除特殊标注,本站文章均为原创,遵循CC BY-NC 3.0,转载请注明出处。三伏磨 » mysql8 新功能快速上手使用

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏