mysql8 新功能快速上手使用
1 更安全更快的的认证方式
5.7中无密码管理
5.8新增三个密码管理相关配置项
password_histroy=3 (不能和最近三次使用过的密码相同)
password_reuse_interval=90 (不能和最近90天使用过的密码相同)
password_require_current=ON (开启后修改密码需要验证旧密码,root用户不需要)
2 角色管理
MySQL角色是指定的权限集合.
像用户帐户一样,角色可以拥有授予和撤消的权限:
可以授予用户帐户角色,授予该帐户与每个角色相关的权限
用户被授予角色权限,则该用户拥有该角色的权限。
以下列表总结了MySQL提供的角色管理功能:
CREATE ROLE并 DROP ROLE角色创建和删除;
GRANT并 REVOKE为用户和角色分配和撤销权限;
SHOW GRANTS 显示用户和角色的权限和角色分配;
SET DEFAULT ROLE 指定哪些帐户角色默认处于活动状态;
SET ROLE 更改当前会话中的活动角色。
CURRENT_ROLE()功能显示当前会话中的活动角色。
创建角色并授予用户角色权限
考虑如下几种场景:
应用程序使用名为app_db的数据库 。
与应用程序相关联,可以为创建和维护应用程序的开发人员以及管理员账户。
开发人员需要完全访问数据库。有的用户只需要读取权限,有的用户需要读取/写入权限。
为清楚区分角色的权限,将角色创建为所需权限集的名称。通过授权适当的角色,可以轻松地为用户帐户授予所需的权限。
创建角色,CREATE ROLE
CREATE ROLE 'app_developer', 'app_read', 'app_write';
角色名称与用户帐户名称非常相似,由格式中的用户部分和主机部分组成.
主机部分,如果省略,则默认为%。用户和主机部分可以不加引号,除非它们包含特殊字符
与帐户名称不同,角色名称的用户部分不能为空
为角色分配权限,使用与为用户分配权限相同的语法执行:
GRANT ALL ON app_db.* TO 'app_developer';
GRANT SELECT ON app_db.* TO 'app_read';
GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';CREATE ROLE 'app_developer', 'app_read', 'app_write';
现在假设最初需要一个开发人员帐户,两个需要只读访问权的用户以及一个需要读取/写入权限的用户.
使用CREATEUSER创建用户:
CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';
要为每个用户分配其所需的权限,可以使用GRANT与刚才显示的形式相同的语句,但这需要列举每个用户的个人权限。相反,使用GRANT允许授权角色而非权限的替代语法:
GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';
结合角色所需的读取和写入权限,在GRANT中授权 rw_user1用户读取和写入的角色。
在GRANT授权角色的语法和授权用户的语法不同:有一个ON来区分角色和用户的授权,有ON的为用户授权,而没有ON用来分配角色。
由于语法不同,因此不能在同一语句中混合分配用户权限和角色。(允许为用户分配权限和角色,但必须使用单独的GRANT语句,每种语句的语法都要与授权的内容相匹配。)
检查角色权限
要验证分配给用户的权限,使用 SHOW GRANTS
mysql> SHOW GRANTS FOR 'dev1'@'localhost';
+-------------------------------------------------+
| Grants for dev1@localhost |
+-------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost` |
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |
+-------------------------------------------------+
但是,它会显示每个授予的角色,而不会将其显示为角色所代表的权限。如果要显示角色权限,添加一个 USING来显示:
mysql> SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';
+----------------------------------------------------------+
| Grants for dev1@localhost |
+----------------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost` |
| GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |
+----------------------------------------------------------+
同样验证其他类型的用户:
mysql> SHOW GRANTS FOR ‘read_user1’@‘localhost’ USING ‘app_read’;
±-------------------------------------------------------+
| Grants for read_user1@localhost |
±-------------------------------------------------------+
| GRANT USAGE ON . TO read_user1@localhost |
| GRANT SELECT ON app_db.* TO read_user1@localhost |
| GRANT app_read@% TO read_user1@localhost |
±-------------------------------------------------------+
mysql> SHOW GRANTS FOR ‘rw_user1’@‘localhost’ USING ‘app_read’, ‘app_write’;
±-----------------------------------------------------------------------------+
| Grants for rw_user1@localhost |
±-----------------------------------------------------------------------------+
| GRANT USAGE ON . TO rw_user1@localhost |
| GRANT SELECT, INSERT, UPDATE, DELETE ON app_db.* TO rw_user1@localhost |
| GRANT app_read@%,app_write@% TO rw_user1@localhost |
±-----------------------------------------------------------------------------+
2.3 撤消角色或角色权限
正如可以授权某个用户的角色一样,可以从帐户中撤销这些角色: