MySQL管理員應(yīng)該知道怎樣通過指定哪些用戶可連接到服務(wù)器、從哪里進(jìn)行連接，以及在連接時(shí)做什么，來設(shè)置MySQL用戶賬號(hào)。MySQL3.22.11引入了兩個(gè)更容易進(jìn)行這項(xiàng)工作的語句：GRANT 語句創(chuàng)建MySQL用戶并指定其權(quán)限，REVOKE 語句刪除權(quán)限。這兩個(gè)語句充當(dāng)mysql數(shù)據(jù)庫中的授權(quán)表的前端，并提供直接操縱這些表內(nèi)容的可選擇的方法。GRANT 和REVOKE 語句影響以下四個(gè)表： 
　　授權(quán)表 內(nèi)容
　　user 可連接到服務(wù)器的用戶和他們擁有的任何全局特權(quán)
　　db 數(shù)據(jù)庫級(jí)的特權(quán)
　　tables _ priv 表級(jí)特權(quán)
　　c o l um n s _ priv 列級(jí)特權(quán)
　　還有第五個(gè)授權(quán)表（ host），但它不受GRANT 或REVOKE的影響。

　　當(dāng)您為某個(gè)用戶發(fā)布GRANT 語句時(shí)，應(yīng)在user表中為該用戶創(chuàng)建一個(gè)項(xiàng)。如果該語句指定了所有全局特權(quán)（管理權(quán)限或用于所有數(shù)據(jù)庫的權(quán)限），則這些指定也被記錄在user表中。如果指定了數(shù)據(jù)庫、表或列的權(quán)限，它們將記錄在db、tables_priv 和columns_priv表中。
       使用GRANT 和REVOKE語句比直接修改授權(quán)表更容易。但是，建議您最好通過閱讀第12章來補(bǔ)充本章的內(nèi)容，第12章中詳細(xì)討論了授權(quán)表。這些表非常重要，作為一位管理員應(yīng)該了解這些表是怎樣在GRANT 和REVOKE 語句級(jí)上工作的。
        本節(jié)下面的部分將討論如何設(shè)置MySQL用戶的賬號(hào)和授權(quán)，還將介紹如何取消權(quán)限以及從授權(quán)表中刪除全部用戶，并且將考慮一個(gè)困擾許多新的MySQL管理員的難題。
        您還要考慮使用mysqlaccess 和mysql_setpermission 腳本，它們是MySQL分發(fā)包的組成部分。這些是Perl 的腳本，它們提供了設(shè)置用戶賬號(hào)的GRANT 語句的代用品。mysql_setpermission 需要具有DBI 的支持環(huán)境。

　　創(chuàng)建新用戶和授權(quán)

　　GRANT 語句的語法如下：

　　GRANT privileges (columns) 

　　ON what 

　　TO user IDENTIFIEDBY "password" 

　　WITH GRANT OPTION 

　　要使用該語句，需要填寫以下部分：

　　privileges 分配給用戶的權(quán)限。下表列出了可在GRANT 語句中使用的權(quán)限說明符：

　　權(quán)限說明符權(quán)限允許的操作



上表顯示的第一組權(quán)限說明符適用于數(shù)據(jù)庫、表和列。第二組說明符是管理特權(quán)。通常，這些權(quán)限的授予相當(dāng)保守，因?yàn)樗鼈儠?huì)影響服務(wù)器的操作（例如， SHUTDOWN 特權(quán)不是按每天來分發(fā)的權(quán)限）。第三組說明符是特殊的。ALL的意思是“所有的權(quán)限”，而USAGE 的意思是“無權(quán)限”─即創(chuàng)建用戶，但不授予任何的權(quán)限。 

　　columns 權(quán)限適用的列。這是可選的，只來設(shè)置列專有的權(quán)限。如果命名多于一個(gè)列，則用逗號(hào)分開。

　　what 權(quán)限應(yīng)用的級(jí)別。權(quán)限可以是全局的（適用于所有數(shù)據(jù)庫和所有的表）、數(shù)據(jù)庫專有的（適用于某個(gè)數(shù)據(jù)庫中的所有表），或表專有的。可以通過指定一個(gè)C O L U M N S子句將權(quán)限授予特定的列。
        user 使用權(quán)限的用戶。它由用戶名和主機(jī)名組成。在MySQL中，不僅指定誰進(jìn)行連接，還要指定從哪里連接。它允許您擁有兩個(gè)帶有相同名字的、從不同位置連接的用戶。MySQL允許在它們之間進(jìn)行區(qū)別并相互獨(dú)立地分配權(quán)限。 

　　MySQL的用戶名就是您在連接到服務(wù)器時(shí)指定的名字。該名字與您的UNIX 注冊(cè)名或Windows 名的沒有必然連系。缺省設(shè)置時(shí)，客戶機(jī)程序?qū)⑹褂媚?cè)的名字作為MySQL的用戶名（如果您不明確指定一個(gè)名字的話），但這只是一個(gè)約定。有關(guān)將root作為可以操作一切MySQL的超級(jí)用戶名也是這樣，就是一種約定。您也可以在授權(quán)表中將此名修改成nobody，然后作為nobody 用戶進(jìn)行連接，以執(zhí)行需要超級(jí)用戶特權(quán)的操作。

　　password 分配給該用戶的口令。這是可選的。如果您不給新用戶指定IDENTIFIEDBY子句，該用戶不分配口令（是非安全的）。對(duì)于已有的用戶，任何指定的口令將替代舊口令。如果不指定新口令，用戶的舊口令仍然保持不變。當(dāng)您確實(shí)要使用ID E N T I F I E DBY 時(shí)，該口令串應(yīng)該是直接量，GRANT 將對(duì)口令進(jìn)行編碼。當(dāng)用SET PA S S W O R D語句時(shí)，不要使用PASSWORD() 函數(shù)。 

　　WITH GRANT OPTION 子句是可選的。如果包含該子句，該用戶可以將GRANT 語句授予的任何權(quán)限授予其他的用戶。可以使用該子句將授權(quán)的能力授予其他的用戶。 


　　用戶名、口令以及數(shù)據(jù)庫和表的名稱在授權(quán)表項(xiàng)中是區(qū)分大小寫的，而主機(jī)名和列名則不是。

　　通過查詢某些問題，通?？梢酝茢喑鏊璧腉RANT 語句的類型： 
        誰可以進(jìn)行連接，從哪里連接？ 
        用戶應(yīng)具有什么級(jí)別的權(quán)限，這些權(quán)限適用于什么？ 
        允許用戶管理權(quán)限嗎？

 

讓我們來提問這些問題，同時(shí)看一些利用GRANT 語句設(shè)置MySQL用戶賬號(hào)的例子。 

　　1. 誰可以進(jìn)行連接，從哪里連接 

　　您可以允許用戶在特定的主機(jī)或涉及范圍很寬的一組主機(jī)中進(jìn)行連接。在一個(gè)極端，如果知道用戶將僅從那個(gè)主機(jī)中進(jìn)行連接，則可限定對(duì)單個(gè)主機(jī)的訪問： 

　　GRANT ALL ON samp_db.* TO boris@localhost IDENTFIEDBY "ruby" 

　　GRANT ALL ON samp_db.* TO fred@ares.mars.net IDENTFIEDBY "quartz" 

　　（符號(hào)samp_db.* 含義是“在samp_db 數(shù)據(jù)庫中的所有表”）在另一個(gè)極端，您可能會(huì)有一個(gè)用戶m a x，他周游世界并需要能夠從世界各地的主機(jī)中進(jìn)行連接。在這種情況下，無論他從哪里連接您都將允許：

　　GRANT ALL ON samp_db.* TO max@% IDENTFIEDBY "diamond" 

　‘%'字符起通配符的作用，與LIKE模式匹配的含義相同，在上個(gè)語句中，它的意思是“任何主機(jī)”。如果您根本不給出主機(jī)名部分，則它與指定“ %”的含義相同。因此， max和max@%是等價(jià)的。這是設(shè)置一個(gè)用戶最容易的方法，但安全性最小。 

　　要想采取妥協(xié)的辦法，可允許用戶在一組有限的主機(jī)中進(jìn)行連接。例如，要使mary 從snake.net 域的任何主機(jī)中進(jìn)行連接，可使用%.snake.net 主機(jī)說明符：

　　GRANT ALL ON samp_db.* TO mary@%.snake.net IDENTFIEDBY "topaz" 

　　該用戶標(biāo)識(shí)符的主機(jī)部分可用IP 地址而不是主機(jī)名給出（如果愿意的話）?？梢灾付ㄒ粋€(gè)直接的IP 地址或包含模式字符的地址。同樣，自MySQL3.23 起，可以用一個(gè)網(wǎng)絡(luò)掩碼來指定IP 號(hào)，網(wǎng)絡(luò)掩碼表明了用于該網(wǎng)絡(luò)號(hào)的二進(jìn)制位數(shù)：

　　GRANT ALL ON samp_db.* TO joe@192.168.0.3 IDENTIFIEDBY "water" 

　　GRANT ALL ON samp_db.* TO ardis@192.168.128.% IDENTIFIEDBY "snow" 

　　GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIEDBY "ice" 

　　第一條語句指明用戶可進(jìn)行連接的特定的主機(jī)。第二條語句指定129.168.128 Class C 子網(wǎng)的IP 模式。在第三條語句中， 192.168.128.0/17 指定一個(gè)17 位二進(jìn)制的網(wǎng)絡(luò)號(hào)，并將任何主機(jī)與其IP 地址的前17 個(gè)二進(jìn)制位中的192.168.128.0/17 進(jìn)行匹配。

　　如果MySQL抱怨您指定的用戶值，則可能需要使用引號(hào)（但對(duì)用戶名和主機(jī)名分別加引號(hào)）： 

　　GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"

 

2. 用戶應(yīng)具有什么級(jí)別的權(quán)限，這些權(quán)限適用于什么 

　　您可授予不同級(jí)別的權(quán)限。全局權(quán)限的功能最強(qiáng)，因?yàn)樗鼈冞m用于任何數(shù)據(jù)庫。為了使ethel 成為可以進(jìn)行一切操作的超級(jí)用戶（其中包括可以對(duì)其他用戶授權(quán)），發(fā)布下列語句： 

　　GRANT ALL ON *.* TO ethel@localhost IDENTIFIEDBY "coffee" 

　　WITH GRANT OPTION 

　　ON 子句中*.* 說明符的意思是“所有數(shù)據(jù)庫，所有的表”，為保險(xiǎn)起見，我們已經(jīng)指定ethel 只能從本地主機(jī)中連接。限制超級(jí)用戶從哪些主機(jī)上進(jìn)行連接通常是明智的做法，因?yàn)樗拗谱×似渌脩魧?duì)口令進(jìn)行試探。

　　有些權(quán)限（ F I L E、P R O C E S S、RELOAD 和S H U T D O W N）是管理權(quán)限，只能用NO *.* 全局權(quán)限說明符來授予。如果希望的話，也可以不用授予數(shù)據(jù)庫級(jí)的權(quán)限來授予這些權(quán)限。例如，下列語句建立了一個(gè)flush 用戶，它除了發(fā)布FLUSH語句外不做其他任何事情。在管理腳本中這可能是有用的，因?yàn)樾枰谶@些腳本中執(zhí)行諸如在日志文件循環(huán)期間刷新日志的操作：

　　GRANT RELOAD ON *.* TO flush@localhost IDENTIFIEDBY "flushpass" 

　　通常授予管理權(quán)限應(yīng)該是保守的，因?yàn)榫哂羞@些權(quán)限的用戶可能影響服務(wù)器的操作。 

　　數(shù)據(jù)庫級(jí)的權(quán)限適用于特定數(shù)據(jù)庫中的所有表。這些權(quán)限使用ON db_name.* 子句進(jìn)行授予：

　　GRANT ALL ON samp_db.* TO bill@racer.snake.net IDENTIFIEDBY "rock" 

　　GRANT SELECT ON menagerie.* TO ro_user@% IDENTIFIEDBY "dirt" 

　　第一條語句將bill 的所有權(quán)限授予samp_db 數(shù)據(jù)庫的任何表。第二條語句創(chuàng)建一個(gè)限制訪問的用戶r o _ user（只讀用戶），它可以訪問menagerie 數(shù)據(jù)庫的所有表，但只能讀取。也就是說，該用戶只能發(fā)布SELECT 語句。


怎樣在授權(quán)表項(xiàng)中指定本地主機(jī)名 

　　如果您使用服務(wù)器的主機(jī)名而非localhost，通常存在從該服務(wù)器主機(jī)連接的問題。這可能是由于在授權(quán)表中指定名字的方法和名字分解器例程（ name reslover routine）向程序報(bào)告名字的方法之間的錯(cuò)誤匹配。如果分解器報(bào)告了一個(gè)非限定的名字（如p i t - v i per），但授權(quán)表包含了具有全限定的名字的項(xiàng)（如p i t - v i per. s n a k e . n e t，反之亦然），則發(fā)生錯(cuò)誤匹配。

　　為了確定這種情況是否正在系統(tǒng)中發(fā)生，可試著用-h 選項(xiàng)連接到本地服務(wù)器，該選項(xiàng)指定了主機(jī)的名字。然后查看服務(wù)器的常規(guī)日志文件。它是怎樣報(bào)告主機(jī)名的？是以非限定形式還是限定形式？不論它是哪種形式，都將告訴您在發(fā)布GRANT 語句時(shí)需要怎樣指定用戶說明符的主機(jī)名部分。 

　　可以同時(shí)列出許多被授予的單個(gè)權(quán)限。例如，如果想讓用戶能讀取和修改已有表的內(nèi)容，但又不允許創(chuàng)建新表或刪除表，可按如下授權(quán)： 

　　GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db.* TO jennie@% 

　　IDENTIFIEDBY "boron" 

　　對(duì)于更小粒度（ f i n e - g r a i n e d）的訪問控制，可以在單個(gè)表上授權(quán)，甚至在表的單個(gè)列上授權(quán)。當(dāng)存在要對(duì)用戶隱藏的表時(shí)，或者，當(dāng)只允許用戶修改特定列時(shí)，列專有的權(quán)限是有用的。假定歷史同盟會(huì)中有一些志愿者利用您作為同盟會(huì)秘書應(yīng)履行的職責(zé)來幫助您工作。這是一個(gè)好消息，但您決定首先給新的助手授予對(duì)member 表只讀的權(quán)限（該表中包含了會(huì)員資格的信息），然后再對(duì)他們?cè)黾邮谟柙摫淼膃xpiration 列的列專有UPDATE權(quán)限。也就是說，您的助手可以在人們更新其會(huì)員資格時(shí)進(jìn)行更改


第一條語句授予對(duì)整個(gè)member 表的讀訪問權(quán)并設(shè)置口令。第二條語句增加UPDATE權(quán)限，但只是對(duì)expiration 列。此時(shí)不必要再指定口令，因?yàn)樵诘谝粭l語句中已經(jīng)完成了。 
截止日期的工作。設(shè)置此MySQL用戶的語句如下：


　如果想要為多個(gè)列授予列專有的權(quán)限，可指定一個(gè)列清單，并用逗號(hào)將這些列分隔。例如，為了給assistant 用戶增加對(duì)member 表地址列的UPDATE權(quán)限，可以使用下列語句。新的權(quán)限將被增加到對(duì)該用戶來說已經(jīng)存在的所有列上： 

　　GRANT UPDATE (street,city,state,zip) ON samp_db.member 

　　TO assistant@localhost 

　　通常，不要給用戶授予比實(shí)際需要更大的權(quán)限。但是，當(dāng)您想要使用戶能夠創(chuàng)建存儲(chǔ)中間結(jié)果的臨時(shí)表，而又不允許用戶在包含有他們不能修改的數(shù)據(jù)的數(shù)據(jù)庫中這樣做時(shí)，就有了要在數(shù)據(jù)庫上授予相當(dāng)多的許可權(quán)限的理由。您可以建立一個(gè)單獨(dú)的數(shù)據(jù)庫（筆者稱它為t m p）并授予用戶該數(shù)據(jù)庫的所有權(quán)限。例如，如果想要mars.net 域的主機(jī)中的任何用戶都能夠使用tmp 數(shù)據(jù)庫，可發(fā)布下列GRANT語句：

　　GRANT ALL ON tmp.* TO ""@%.mars.net 

　　在完成這些之后，用戶可使用tmp.tbl_name 格式的名字創(chuàng)建和引用tmp 數(shù)據(jù)庫中的表（用戶說明符中的“” 創(chuàng)建一個(gè)匿名用戶項(xiàng)，任何用戶都與空白用戶名相匹配）。 

　　3. 允許用戶管理權(quán)限嗎

　　通過授予數(shù)據(jù)庫所有者數(shù)據(jù)庫的所有權(quán)限并在操作時(shí)指定WITH GRANT OPTION，可以允許數(shù)據(jù)庫所有者控制對(duì)該數(shù)據(jù)庫的訪問。例如，如果要讓alicia 能在big.corp.com 域的所有主機(jī)中進(jìn)行連接并管理sales 數(shù)據(jù)庫中所有表的權(quán)限，應(yīng)使用下列GRANT語句： 



實(shí)際上，WITH GRANT OPTION 子句允許將訪問的權(quán)利授予給另一個(gè)用戶。要知道，具有GRANT 權(quán)限的兩個(gè)用戶可以相互授予自己的權(quán)限。如果只給一個(gè)用戶授予SELECT 權(quán)限而給另一個(gè)用戶除SELECT 外還授予了GRANT 和其他的權(quán)限，則第二個(gè)用戶可以使第一個(gè)用戶“強(qiáng)大”起來。

　　取消權(quán)限和刪除用戶

　　為了收回某個(gè)用戶的權(quán)限，可使用REVOKE 語句。除了要用FROM 替換TO 并且沒有IDENTIFIEDBY 或WITH GRANT OPTION 子句外，REVOKE 的語法與GRANT 語句非常相似： 

　　REVOKE privileges (columns) ON what FROM user 

　　user 部分必須與您想要取消其權(quán)限的用戶的原始GRANT 語句的user 部分相匹配。priv i l e g e s 部分不需要匹配，您可用GRANT 語句授權(quán)，然后用REVOKE 語句取消其中的一部分。REVOKE 語句只刪除權(quán)限，不刪除用戶。用戶的項(xiàng)仍然保留在user 表中，即使您取消了該用戶的所有權(quán)限也是如此。這意味著該用戶仍然可連接到服務(wù)器上。要想刪除整個(gè)用戶，必須用DELETE 語句將該用戶的記錄從user 表中直接刪除：


　DELETE 語句刪除該用戶的項(xiàng)， FLUSH 語句告訴服務(wù)器重新加載授權(quán)表（當(dāng)使用GRANT 或REVOKE 語句，而不是直接修改授權(quán)表時(shí)，這些表將自動(dòng)重新加載）。 

一個(gè)權(quán)限難題，第一部分

　　下面是一個(gè)在MySQL郵件清單中反復(fù)出現(xiàn)的情況：一位新的MySQL管理員給某用戶增加一個(gè)項(xiàng)，使用了主機(jī)名部分，該部分是用一個(gè)模式來指定的。例如： 

　　GRANT ALL ON samp_db.* TO fred@%.snake.net IDENTIFIEDBY "cocoa" 

　　這里的意圖是允許用戶fred 從snake.net 域的所有主機(jī)中進(jìn)行連接，并且具有對(duì)samp_db 數(shù)據(jù)庫的所有權(quán)限。事實(shí)上， fred 能夠從那些主機(jī)中連接（除了服務(wù)器主機(jī)本身外）。當(dāng)fred 試著從服務(wù)器主機(jī)中進(jìn)行連接時(shí)，該企圖以“訪問被拒絕”的消息而告失敗。即使用戶指定了正確的口令也是如此。

　　如果授權(quán)表中包含了由mysql_install_db 安裝腳本安裝的缺省項(xiàng)，這種情況也會(huì)發(fā)生。其原因是，當(dāng)服務(wù)器驗(yàn)證fred 連接的企圖時(shí)，一個(gè)匿名用戶項(xiàng)（ anonymous-user entry）比fred 項(xiàng)優(yōu)先。匿名用戶項(xiàng)要求該用戶不用口令來連接，并且一個(gè)口令錯(cuò)誤匹配發(fā)生。 

　　該問題的另一個(gè)背景將在第12章“權(quán)限難題，第二部分”中給出。目前，只要說修正此問題的方法是從user 表中刪除匿名用戶項(xiàng)就足夠了，我們不能用R E V O K E，因?yàn)樵撁钪粍h除權(quán)限。要想完全擺脫這些匿名項(xiàng)，執(zhí)行如下操作：

　　 % mysql-uroot mysql mysql> DELETE FROM user where User=""; 

　　mysql>FLUSH PRIVILEGES; 

　　現(xiàn)在，當(dāng)fred 試圖從本地主機(jī)連接時(shí)成功了。

最新評(píng)論