在生产环境中通常不建议直接用数据库的root账号来管理每个数据库,这也是为什么安装好MySQL后root用户只能本地登录的原因。正确的做法是为每个业务建立独立的数据库,并且为这些数据库创建一个拥有合适权限的用户,通常只有DML权限即可。比如company_user用户拥有company库的SELECT、UPDATE、INSERT、DELETE权限。
一、MySQL权限细分介绍
二、MySQL用户与权限管理常用命令
1、查看数据库中所有用户和权限
mysql > select * from mysql.user #通过查看mysql库的user表可以查看数据库上所有用户及其权限
2、查看某个用户在某个主机上拥有的权限
mysql > show grants #直接查看当前用户权限
mysql > show grants for 'root'@'%' \G #查看指定用户权限
3、使用create user命令创建用户,仅创建未授权的用户只能登陆数据库,但无法进行任何操作
mysql > create user tanglu@localhost identified by '123456'; #创建tanglu这个数据库用户,密码为123456
mysql > create user tanglu@'%' identified by '123456'; #需要注意用户名+主机才是完整的用户格式,所以这行的用户和上面是不一样的
4、使用grant命令对用户进行授权,如果对同一用户进行grant操作,这些权限属于增加而不是覆盖。使用该命令虽然也可以创建用户并同时完成授权,但并不规范。授权可以细化到对库、表、列,支持通配符。需要注意的是MySQL会把localhost和127.0.0.1当做不同的地址,所以要对本机授权的话这两个地址都要写上
mysql > grant all privileges on DATABASE.TABLE to 'user'@'host' 'identified by 'PASSWORD';
mysql > grant all privileges on *.* to 'tanglu'@'%' 'identified by '123456' with grant option; #with grant option代表该用户可以将自己权限授予其它用户
#创建用户并完成授权的标准方法
mysql > CREATE USER 'tanglu'@'172.27.%' IDENTIFIED BY '123456';
mysql > GRANT SELECT ON *.* TO 'tanglu'@'172.27.%';
5、使用revoke命令取消用户权限。通常先show grants看下用户的权限,然后把权限复制过来撤销。
revoke all privileges from 'USERNAME'@'%';
6、使用drop user命令删除用户
mysql > drop user 'tanglu'@'localhost';
7、修改用户密码的几种方式(因为是用的专门修改密码的工具或者语句,所以不用刷新授权表也会立即生效,只有直接修改表数据才会需要执行flush privileges刷新授权)
#root用户修改自己密码的两种方式
/usr/local/mysql/bin/mysqladmin -uroot -p'OLD_PASSWORD' password 'NEW_PASSWORD'
mysql > set password=password('NEW_PASSWORD') #普通用户也可以这样修改自己的密码
#root用户修改其他用户密码
mysql > set password for 'USER'@'localhost'=password('NEW_PASSWORD')