一篇學會MySQL 8.0 ROLE管理
數據庫里對應的權限都可以指定賦予,那么角色的作用是什么?
數據庫里角色是一個命名的權限集合,為了對許多擁有相似權限的用戶進行分類管理,定義了角色的概念。與用戶賬戶一樣,角色可以具有授予和撤銷它們的特權。
比如:當多個用戶分配復雜又細致的權限時,角色的作用就體現出來了。就是把一堆權限給一個角色,新用戶只要使用這個角色,就能有對應的權限了。本文將探討MySQL 8.0里角色是怎樣實現的。
角色相關命令和配置方式:
1.命令接口:
| 命令 | 說明 |
|---|---|
| CREATE ROLE and DROP ROLE | 創建和刪除角色 |
| GRANT and REVOKE | 是否激活角色 |
| SHOW GRANTS | 顯示 賬戶/角色 所擁有的 權限或者角色 |
| SET DEFAULT ROLE | 設置賬戶默認使用什么角色 |
| SET ROLE | 改變當前會話的角色 |
| CURRENT_ROLE() | 顯示當前會話的角色 |
| WITH ADMIN OPTION | 授予和撤銷其他用戶或角色 |
2.my.cnf配置參數:
| 參數 | 說明 |
|---|---|
| mandatory_roles | 允許定義用戶登錄時強制權的角色 |
| activate_all_roles_on_login | 是否激活角色 |
角色和用戶區別
1.不論創建用戶還是角色都是在mysql.user表里:
備注:區別在于account_locked,password_expired
2.查了對應的mysql庫發現沒有特別的role相關的表,那是否可以理解 role其實也是用戶,只是沒有密碼和鎖住無法登錄。
- ALTER USER 'role_developer'@'%' IDENTIFIED BY '123456';
- ALTER USER 'role_developer'@'%' ACCOUNT UNLOCK;
備注:role賬號,發現可以正常登錄。到這里可以大致理解,實際上角色和用戶都是相等的。只是通過關系綁在一起。算是打破了常理,方式值得借鑒和學習。
看到這里,還是比較簡單易懂的,大致都有了解。下面是練習SQL語句。
例子
1.創建角色
- mysql>
- DROP ROLE IF EXISTS 'role_developer'@'%' ,'role_read'@'%' ,'role_write'@'%' ;
- CREATE ROLE 'role_developer'@'%', 'role_read'@'%', 'role_write'@'%' ;
2.賦予權限
- mysql>
- GRANT ALL ON world.* TO 'role_developer';
- GRANTSELECTON world.* TO'role_read';
- GRANTINSERT, UPDATE, DELETEON world.* TO'role_write';
3.創建用戶
- mysql>
- DROP USER IF EXISTS 'user_dev'@'%' , 'user_read'@'%' ,'user_write'@'%' ;
- CREATE USER 'user_dev'@'%' IDENTIFIED BY '123456' ;
- CREATE USER 'user_read'@'%' IDENTIFIED BY '123456' ;
- CREATE USER 'user_write'@'%' IDENTIFIED BY '123456' ;
4.查詢用戶表狀態
- mysql>
- SELECT user,host,account_locked,password_expired
- FROM mysql.user WHERE user LIKE 'user_%' OR user LIKE 'role_%';
5.角色授予和撤銷:
- mysql>
- GRANT 'role_developer'@'%' TO 'user_dev'@'%';
- GRANT 'role_developer'@'%' TO 'user_read'@'%' WITH ADMIN OPTION;
- GRANT 'role_write'@'%' TO 'user_write'@'%' WITH admin OPTION;
- ##回收角色
- # REVOKE 'role_developer'@'%' FROM 'user_dev'@'%';
- # REVOKE 'role_developer'@'%' FROM 'user_read'@'%';
- # REVOKE 'role_write'@'%' FROM 'user_write'@'%';
6.激活ROLE
- mysql>
- SET DEFAULT ROLE ALL TO 'user_dev'@'%';
- SET DEFAULT ROLE ALL TO 'user_read'@'%';
- SET DEFAULT ROLE ALL TO 'user_write'@'%';
可以用user賬號登錄操作了。
7.ROLE操作
- mysql>
- SET ROLE NONE; #無角色
- SET ROLE ALL EXCEPT 'role_write'; #除已命名的角色外的所有角色
- SET ROLE ALL; #所有角色。
- SELECT CURRENT_ROLE(); #當前角色
8.強制給所有用戶賦予角色,啟動角色方式
- mysql>
- SET PERSIST mandatory_roles = 'role1,role2@%,r3@%.example.com';
- SET PERSIST activate_all_roles_on_login = ON;
- [msyqld]
- mandatory_roles='role_developer'
- activate_all_roles_on_login = ON
- activate_all_roles_on_login:
服務器會在登錄時激活每個帳戶的所有角色。這優先于使用SET default ROLE指定的默認角色。對于在定義器上下文中執行的存儲程序和視圖,也只在開始執行時應用。
9.其他
ROLES_GRAPHML:返回utf8字符串xml(graphml)有用戶信息,應該用戶api接口擴展。
- mysql>SELECT ROLES_GRAPHML()
總結:
便利用戶分類管理,實際場景用的不多。
角色和用戶是可互通的。
參考:
https://dev.mysql.com/doc/refman/8.0/en/roles.html
墨天輪原文鏈接:https://www.modb.pro/db/688988
關于作者
崔虎龍,云和恩墨MySQL技術顧問,長期服務于金融、游戲、物流等行業的數據中心,設計數據存儲架構,并熟悉數據中心運營管理的流程及規范,自動化運維等。擅長MySQL、Redis、MongoDB數據庫高可用設計和運維故障處理、備份恢復、升級遷移、性能優化。自學通過了MySQL OCP 5.6和MySQL OCP 5.7認證。2年多開發經驗,10年數據庫運維工作經驗,其中專職做MySQL工作8年;曾經擔任過項目經理、數據庫經理、數據倉庫架構師、MySQL技術專家、DBA等職務;涉及行業:金融(銀行、理財)、物流、游戲、醫療、重工業等。
