长连接与用户权限
当客户端账号密码与服务器建立连接时,MySQL会读取该账号的所有权限并缓存,并在该连接持续期间使用这些权限,其他会话修改该账号权限,不会影响已有会话连接,仅对新创建的会话连接生效。
用户权限验证顺序
用户使用host、user、password 三项来验证登录,然后按照user>>db>>tables_priv>>columns_priv来得到用户权限。
对于相同用户名的登录用户,在进行匹配hostname时,按照最全匹配方式来匹配,如假设分别有以下授权用户:
user1@'192.168.1.1'
user1@'192.168.1.%'
user1@'192.%'
当user1用户登录时,先看登录IP是否匹配192.168.1.1,再看登录IP是否匹配192.168.1.%,最后看登录IP是否匹配192.%
实例级别授权
##授予用户所有数据库上的SELECT 权限
##授权后在mysql.user表的Select_priv=Y
GRANT SELECT ON *.* TO gga@localhost;
SELECT * FROM mysql.user where user='gga' \G
##取消上面授权
REVOKE SELECT ON *.* FROM gga@localhost;
数据库级别级别授权
##授予用户数据库上test的所有表的SELECT权限
##授权后在mysql.db表的Select_priv=Y
GRANT SELECT ON testdb1.* TO gga@localhost;
SELECT * FROM mysql.db WHERE User='gga' \G
##取消上面授权
REVOKE SELECT ON testdb1.* FROM gga@localhost;
表级别级别授权
##授予用户数据库上test的tb001表的SELECT权限
##授权后在mysql.db表的Select_priv=Y
GRANT SELECT ON testdb1.tb001 TO gga@localhost;
SELECT * FROM mysql.tables_priv WHERE User='gga' \G
##取消上面授权
REVOKE SELECT ON testdb1.tb001 FROM gga@localhost;
MySQL特殊权限
USAGE 权限只用用于数据库登录,不能执行任何操作,usage 权限不能被回收。
ALL: 允许做任何事(和root一样)。
MySQL数据库/数据表/数据列权限
Alter: 修改已存在的数据表(例如增加/删除列)和索引。
Create: 建立新的数据库或数据表。
Delete: 删除表的记录。
Drop: 删除数据表或数据库。
INDEX: 建立或删除索引。
Insert: 增加表的记录。
Select: 显示/搜索表的记录。
Update: 修改表中已存在的记录。
MySQL全局管理权限
FILE: 在MySQL服务器上读写文件。
PROCESS: 显示或杀死属于其它用户的服务线程。
RELOAD: 重载访问控制表,刷新日志等。
SHUTDOWN: 关闭MySQL服务。
