MySQL 用户创建与授权详解

MySQL 用户创建与授权详解

在MySQL中，用户管理和权限控制是数据库安全的重要组成部分。下面详细介绍如何在MySQL中创建用户并授予适当的权限。

一、MySQL用户管理基础

1. 用户账户组成

MySQL用户账户由两部分组成：

• 用户名(username)
• 主机名(host) - 指定用户可以从哪些主机连接

格式：'username'@'host'

2. 查看现有用户

SELECT User, Host FROM mysql.user;

二、创建用户

1. 基本语法

CREATE USER 'username'@'host' IDENTIFIED BY 'password';

2. 创建示例

-- 创建可以从本地连接的用户
CREATE USER 'dev_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';

-- 创建可以从任何主机连接的用户(不推荐，存在安全风险)
CREATE USER 'remote_user'@'%' IDENTIFIED BY 'AnotherStrongPassword!';

-- 创建可以从特定IP段连接的用户
CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY 'AppPassword456';

3. 用户创建选项

-- 设置密码过期策略
CREATE USER 'temp_user'@'localhost' 
IDENTIFIED BY 'temp_pass' 
PASSWORD EXPIRE INTERVAL 90 DAY;

-- 锁定新创建的用户
CREATE USER 'locked_user'@'localhost' 
IDENTIFIED BY 'locked_pass' 
ACCOUNT LOCK;

三、用户授权

1. 基本授权语法

GRANT privilege_type ON database_name.table_name TO 'username'@'host';

2. 常见权限类型

• 数据库/表权限：

  • ALL PRIVILEGES: 所有权限
  • CREATE: 创建表/数据库
  • ALTER: 修改表结构
  • DROP: 删除表/数据库
  • INSERT: 插入数据
  • SELECT: 查询数据
  • UPDATE: 更新数据
  • DELETE: 删除数据
  • INDEX: 创建/删除索引
  • REFERENCES: 创建外键

• 管理权限：

  • GRANT OPTION: 允许用户授权给其他用户
  • SUPER: 管理员权限
  • PROCESS: 查看进程信息
  • RELOAD: 执行FLUSH操作
  • SHUTDOWN: 关闭服务器

3. 授权示例

-- 授予特定数据库的所有权限
GRANT ALL PRIVILEGES ON mydb.* TO 'dev_user'@'localhost';

-- 授予特定表的SELECT, INSERT, UPDATE权限
GRANT SELECT, INSERT, UPDATE ON mydb.customers TO 'app_user'@'192.168.1.%';

-- 授予创建临时表的权限
GRANT CREATE TEMPORARY TABLES ON *.* TO 'report_user'@'localhost';

-- 授予执行存储过程的权限
GRANT EXECUTE ON PROCEDURE mydb.update_stats TO 'proc_user'@'localhost';

-- 授予所有数据库的只读权限
GRANT SELECT ON *.* TO 'readonly_user'@'%';

4. 授予权限并允许转授权

GRANT ALL PRIVILEGES ON mydb.* 
TO 'admin_user'@'localhost' 
WITH GRANT OPTION;

5. 刷新权限

授权后需要刷新权限才能使更改生效：

FLUSH PRIVILEGES;

四、查看和撤销权限

1. 查看用户权限

-- 查看特定用户的权限
SHOW GRANTS FOR 'username'@'host';

-- 例如
SHOW GRANTS FOR 'dev_user'@'localhost';

2. 撤销权限

-- 基本语法
REVOKE privilege_type ON database_name.table_name FROM 'username'@'host';

-- 示例：撤销INSERT权限
REVOKE INSERT ON mydb.* FROM 'app_user'@'192.168.1.%';

-- 撤销所有权限
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'username'@'host';

五、修改用户

1. 重命名用户

RENAME USER 'old_user'@'localhost' TO 'new_user'@'localhost';

2. 修改密码

-- MySQL 5.7.6及以上版本
ALTER USER 'username'@'host' IDENTIFIED BY 'new_password';

-- 旧版本语法
SET PASSWORD FOR 'username'@'host' = PASSWORD('new_password');

3. 锁定/解锁用户

-- 锁定用户
ALTER USER 'username'@'host' ACCOUNT LOCK;

-- 解锁用户
ALTER USER 'username'@'host' ACCOUNT UNLOCK;

六、删除用户

DROP USER 'username'@'host';

-- 示例
DROP USER 'old_user'@'localhost';

七、最佳实践

1. 遵循最小权限原则：只授予用户完成工作所需的最小权限
2. 避免使用’%'主机：尽量限制用户可以连接的主机范围
3. 使用强密码：密码应包含大小写字母、数字和特殊字符
4. 定期审查权限：定期检查并清理不再需要的用户和权限
5. 为不同应用创建单独用户：不要多个应用共享同一个数据库用户
6. 考虑使用角色(MySQL 8.0+)：通过角色管理权限更高效

八、MySQL 8.0+的新特性

1. 角色管理

-- 创建角色
CREATE ROLE 'read_only', 'app_developer';

-- 授予角色权限
GRANT SELECT ON *.* TO 'read_only';
GRANT ALL ON app_db.* TO 'app_developer';

-- 将角色授予用户
GRANT 'read_only' TO 'report_user'@'localhost';
GRANT 'app_developer' TO 'dev_user'@'localhost';

-- 激活角色
SET DEFAULT ROLE ALL TO 'dev_user'@'localhost';

2. 密码策略

-- 设置全局密码策略
SET GLOBAL validate_password.policy = STRONG;

-- 创建用户时指定密码策略
CREATE USER 'secure_user'@'localhost' 
IDENTIFIED WITH 'mysql_native_password' BY 'Complex@Password123' 
PASSWORD REQUIRE CURRENT;

通过合理创建用户和授权，可以确保MySQL数据库的安全性和数据的完整性，同时满足不同用户和应用的访问需求。