当前位置:数据库 > > 正文

mysql8使用技巧(一篇学会MySQL 8.0 ROLE管理)

时间:2021-10-15 00:45:15类别:数据库

mysql8使用技巧

一篇学会MySQL 8.0 ROLE管理

 mysql8使用技巧(一篇学会MySQL 8.0 ROLE管理)

数据库里对应的权限都可以指定赋予,那么角色的作用是什么?

数据库里角色是一个命名的权限集合,为了对许多拥有相似权限的用户进行分类管理,定义了角色的概念。与用户账户一样,角色可以具有授予和撤销它们的特权。

比如:当多个用户分配复杂又细致的权限时,角色的作用就体现出来了。就是把一堆权限给一个角色,新用户只要使用这个角色,就能有对应的权限了。本文将探讨MySQL 8.0里角色是怎样实现的。

角色相关命令和配置方式:

1.命令接口:

命令 说明
CREATE ROLE and DROP ROLE 创建和删除角色
GRANT and REVOKE 是否激活角色
SHOW GRANTS 显示 账户/角色 所拥有的 权限或者角色
SET DEFAULT ROLE 设置账户默认使用什么角色
SET ROLE 改变当前会话的角色
CURRENT_ROLE() 显示当前会话的角色
WITH ADMIN OPTION 授予和撤销其他用户或角色
 
  •  
  • 2.my.cnf配置参数:

  •  
  • 参数 说明
    mandatory_roles 允许定义用户登录时强制权的角色
    activate_all_roles_on_login 是否激活角色
  • 角色和用户区别

    1.不论创建用户还是角色都是在mysql.user表里:

    mysql8使用技巧(一篇学会MySQL 8.0 ROLE管理)

    备注:区别在于account_locked,password_expired

    2.查了对应的mysql库发现没有特别的role相关的表,那是否可以理解 role其实也是用户,只是没有密码和锁住无法登录。

    1. ALTER USER 'role_developer'@'%' IDENTIFIED BY '123456'
    2. ALTER USER 'role_developer'@'%' ACCOUNT UNLOCK; 

    备注:role账号,发现可以正常登录。到这里可以大致理解,实际上角色和用户都是相等的。只是通过关系绑在一起。算是打破了常理,方式值得借鉴和学习。

    看到这里,还是比较简单易懂的,大致都有了解。下面是练习SQL语句。

    例子

    1.创建角色

    1. mysql> 
    2. DROP ROLE IF EXISTS  'role_developer'@'%' ,'role_read'@'%' ,'role_write'@'%' ; 
    3. CREATE ROLE 'role_developer'@'%''role_read'@'%''role_write'@'%'          ; 

    2.赋予权限

    1. mysql> 
    2. GRANT ALL ON world.* TO 'role_developer'
    3. GRANTSELECTON world.* TO'role_read'
    4. GRANTINSERT, UPDATE, DELETEON world.* TO'role_write'

    3.创建用户

    1. mysql> 
    2. DROP USER IF EXISTS  'user_dev'@'%' , 'user_read'@'%' ,'user_write'@'%'    ; 
    3. CREATE USER 'user_dev'@'%'   IDENTIFIED BY '123456' ;  
    4. CREATE USER 'user_read'@'%'  IDENTIFIED BY '123456' ;  
    5. CREATE USER 'user_write'@'%' IDENTIFIED BY '123456' ; 

    4.查询用户表状态

    1. mysql> 
    2. SELECT  user,host,account_locked,password_expired  
    3. FROM mysql.user WHERE user LIKE 'user_%' OR user LIKE 'role_%'

    5.角色授予和撤销:

    1. mysql> 
    2. GRANT 'role_developer'@'%' TO 'user_dev'@'%'
    3. GRANT 'role_developer'@'%' TO 'user_read'@'%'  WITH ADMIN OPTION
    4. GRANT 'role_write'@'%'     TO 'user_write'@'%' WITH admin OPTION
    5.  
    6. ##回收角色 
    7. REVOKE 'role_developer'@'%' FROM  'user_dev'@'%'
    8. REVOKE 'role_developer'@'%' FROM  'user_read'@'%'
    9. REVOKE 'role_write'@'%'     FROM  'user_write'@'%'

    6.激活ROLE

    1. mysql> 
    2. SET DEFAULT ROLE ALL TO  'user_dev'@'%'
    3. SET DEFAULT ROLE ALL TO  'user_read'@'%'
    4. SET DEFAULT ROLE ALL TO  'user_write'@'%'

    可以用user账号登录操作了。

    7.ROLE操作

    1. mysql> 
    2. SET ROLE NONE;                     #无角色  
    3. SET ROLE ALL EXCEPT 'role_write';  #除已命名的角色外的所有角色             
    4. SET ROLE ALL;                      #所有角色。 
    5. SELECT CURRENT_ROLE();             #当前角色   

    8.强制给所有用户赋予角色,启动角色方式

    1. mysql> 
    2. SET PERSIST mandatory_roles = 'role1,role2@%,r3@%.example.com'
    3. SET PERSIST activate_all_roles_on_login = ON
    4. [msyqld] 
    5. mandatory_roles='role_developer' 
    6. activate_all_roles_on_login = ON 
    7. activate_all_roles_on_login: 

    服务器会在登录时激活每个帐户的所有角色。这优先于使用SET default ROLE指定的默认角色。对于在定义器上下文中执行的存储程序和视图,也只在开始执行时应用。

    9.其他

    ROLES_GRAPHML:返回utf8字符串xml(graphml)有用户信息,应该用户api接口扩展。

    1. mysql>SELECT ROLES_GRAPHML() 

    总结:

    便利用户分类管理,实际场景用的不多。

    角色和用户是可互通的。

    参考:

    https://dev.mysql.com/doc/refman/8.0/en/roles.html

    墨天轮原文链接:https://www.modb.pro/db/688988

    关于作者

    崔虎龙,云和恩墨MySQL技术顾问,长期服务于金融、游戏、物流等行业的数据中心,设计数据存储架构,并熟悉数据中心运营管理的流程及规范,自动化运维等。擅长MySQL、Redis、MongoDB数据库高可用设计和运维故障处理、备份恢复、升级迁移、性能优化。自学通过了MySQL OCP 5.6和MySQL OCP 5.7认证。2年多开发经验,10年数据库运维工作经验,其中专职做MySQL工作8年;曾经担任过项目经理、数据库经理、数据仓库架构师、MySQL技术专家、DBA等职务;涉及行业:金融(银行、理财)、物流、游戏、医疗、重工业等。

    原文链接:https://mp.weixin.qq.com/s/vE32lJE2tJIFQYz_nt2jag

    标签:
    上一篇下一篇

    猜您喜欢

    热门推荐