一文總結MySQL數據庫訪問控制實現原理
MySQL 訪問控制實際上由兩個功能模塊共同組成,一個是負責“看守 MySQL 大門”的用戶管理模塊,另一個就是負責監控來訪者每一個動作的訪問控制模塊。用戶管理模塊決定用戶是否能登陸數據庫,而訪問控制模塊則決定在數據庫中具體可以做的事。下面是一張 MySQL 中實現訪問控制的簡單流程圖。
1. 用戶管理
在 MySQL 中,用戶訪問控制部分的實現比較簡單,所有授權用戶都存放在一個系統表中:mysql.user,當然這個表不僅僅存放了授權用戶的基本信息,還存放有部分細化的權限信息。用戶管理模塊需要使用的信息很少,主要就是Host,User,Password 這三項,都在 mysql.user 表中
2. 訪問控制
當客戶端連接通過用戶管理模塊的驗證,可連接上 MySQL Server 之后,就會發送各種Query 和 Command 給 MySQL Server,以實現客戶端應用的各種功能。當 MySQL 接收到客戶端的請求之后,訪問控制模塊是需要校驗該用戶是否滿足提交的請求所需要的權限。權限校驗過程是從最大范圍的權限往最小范圍的權限開始依次校驗所涉及到的每個對象的每個權限。
在驗證所有所需權限的時候,MySQL 首先會查找存儲在內存結構中的權限數據,首先查找 Global Level 權限,如果所需權限在 Global Level 都有定義(GRANT 或者 REVOKE),則完成權限校驗(通過或者拒絕),如果沒有找到所有權限的定義,則會繼續往后查找Database Level 權限,進行 Global Level 未定義的所需權限的校驗,如果仍然沒有能夠找到所有所需權限的定義,MySQL 會繼續往更小范圍的權限定義域查找,也就是 Table Level,最后則是 Column Level 或者 Routine Level。
3. 五個授權表
mysql數據庫包含五個主要的授權表。
- user表:包含用戶帳戶和全局權限列。MySQL使用user表來接受或拒絕來自主機的連接。 在user表中授予的權限對MySQL服務器上的所有數據庫都有效。
- db表:包含數據庫級權限。MySQL使用數據庫表來確定用戶可以訪問哪個數據庫以及哪個主機。在db表中的數據庫級授予的特權適用于數據庫,所有對象屬于該數據庫,例如表,觸發器,視圖,存儲過程等。
- table_priv和columns_priv表:包含表級和列級權限。 在table_priv表中授予的權限適用于表及其列,而在columns_priv表中授予的權限僅適用于表的特定列。
- procs_priv表:包含存儲函數和存儲過程的權限。
4. 參考訪問授權策略
這里附一份我平時做mysql數據庫授權的策略,僅供參考。
- //針對root賬號
- set global validate_password_policy=0; --設置判斷密碼的標準基于密碼的長度(validate_password_length)
- grant all privilges on *.* to root@'localhost' identified by 'password';
- grant all privilges on *.* to root@'%' identified by 'password'; --根據具體情況決定是否開啟
- //針對日常運維賬號
- grant select, insert, update, delete on database_name.* to hwb@'%' identified by 'password';
- grant create,alter,drop,references on database_name.* to hwb@'%';
- grant create temporary tables on database_name.* to hwb@'%';
- grant index on database_name.* to hwb@'%';
- grant create view on database_name.* to hwb@'%';
- grant show view on database_name.* to hwb@'%';
- grant create routine on database_name.* to hwb@'%'; -- 查看存儲過程、函數狀態
- grant alter routine on database_name.* to hwb@'%'; --刪除存儲過程、函數
- grant execute on database_name.* to hwb@'%';
- grant all privileges on mysql.* to hwb@'%' identified by 'password'; --不增加不能對其他用戶的函數或存儲過程做操作
- //針對應用連接賬號
- grant all privileges on database_name.* to hwb2@'應用服務器IP' identified by 'password';
- grant all privileges on mysql.* to hwb2@'應用服務器IP'; --不增加無法對其他用戶的函數或存儲過程做操作
- //針對只讀賬號(導出數據庫權限)
- grant select on database_name.* to hwbread@'%' identified by 'hwbread123';
- grant select on mysql.* to hwbread@'%';
- grant show view on database_name.* to hwbread@'%';
- grant file on *.* to hwbread@'%'; --if database_name.* will ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
