账户管理
- 在生产环境下操作数据库时,绝对不可以使用root账户连接,而是创建特定的账户,授予这个账户特定的操作权限,然后连接进行操作,主要的操作就是数据的crud
- MySQL账户体系:根据账户所具有的权限的不同,MySQL的账户可以分为以下几种
服务实例级账号:,启动了一个mysqld,即为一个数据库实例;如果某用户如root,拥有服务实例级分配的权限,那么该账号就可以删除所有的数据库、连同这些库中的表
数据库级别账号:对特定数据库执行增删改查的所有操作
数据表级别账号:对特定表执行增删改查等所有操作
字段级别的权限:对某些表的特定字段进行操作
存储程序级别的账号:对存储程序进行增删改查的操作 - 账户的操作主要包括创建账户、删除账户、修改密码、授权权限等
创建用户
命令:CREATE USER ‘username’@‘host’ IDENTIFIED BY ‘password’;
说明:
- username:登录的用户名
- password:是登录的密码
- host:指定可以登录的主机,其中localhost表示本机,%表示所有主机
举例:
CREATE USER 'testuser'@'%' IDENTIFIED BY '123';修改用户
MySQL修改用户的信息使用ALTER USER语句,比如我们要修改当前用户的密码,可以这样
mysql> ALTER USER USER() IDENTIFIED BY 'test123457';删除用户
MySQL删除用户使用DROP USER语句,该语句用法如下
DROP USER [IF EXISTS] user [, user] ...删除用户,要用root用户进行删除
drop USER juran;授予权限
需要使用实例级账户登录后操作,以root为例
主要操作包括:
- 查看所有用户
- 修改密码
- 删除用户
查看所有用户
- 所有用户及权限信息存储在mysql数据库的user表中
- 查看user表的结构
desc user;主要字段说明:
Host表示允许访问的主机
User表示用户名
authentication_string表示密码,为加密后的值
查看所有用户
select host,user,authentication_string from user;创建账户、授权
- 需要使用实例级账户登录后操作,以root为例
- 常用权限主要包括:create、alter、drop、insert、update、delete、select
- 如果分配所有权限,可以使用all privileges
创建账户&授权
grant 权限列表 on 数据库 to '用户名'@'访问主机' identified by '密码';使用GRANT进行授权时,如果该用户不存在,可以跟上GRANT语句后面跟上IDENTIFIED BY直接创建该用户,不过如果在创建用户时要设置更详细的信息,则应该使用CREATE USER语句来创建用户。
示例1
创建一个laowang的账号,密码为123456,只能通过本地访问, 并且只能对jing_dong数据库中的所有表进行读操作
step1:使用root登录
mysql -uroot -p
回车后写密码,然后回车step2:创建账户并授予所有权限
grant select on jing_dong.* to 'laowang'@'localhost' identified by '123456';如何报错,先刷新下数据库权限
mysql> grant select on jd.* to 'laowang'@'localhost' identified by '123456';
ERROR 1290 (HY000): The MySQL server is running with the --skip-grant-tables option so it cannot execute this statement
mysql> flush privileges;
Query OK, 0 rows affected (0.01 sec)
mysql> grant select on jd.* to 'laowang'@'localhost' identified by '123456';
Query OK, 0 rows affected, 1 warning (0.00 sec)说明
- 可以操作python数据库的所有表,方式为:jing_dong.*
- 访问主机通常使用 百分号% 表示此账户可以使用任何ip的主机登录访问此数据库
- 访问主机可以设置成 localhost或具体的ip,表示只允许本机或特定主机访问
- 查看用户有哪些权限
show grants for laowang@localhost;接下来删除jd数据库中的goods表数据,进行测试
delete from goods where id = 21;step3:退出root的登录
quitstep4:使用laowang账户登录
mysql -ulaowang -p
回车后写密码,然后回车示例2
创建一个laoli的账号,密码为12345678,可以任意电脑进行链接访问, 并且对jing_dong数据库中的所有表拥有所有权限
grant all privileges on jing_dong.* to "laoli"@"%" identified by "12345678"权限列表
下面是使用GRANT语句可以授予的全部权限,不同的权限有不同的作用域,比如有的是全局权限,有的只作用于数据库等。
权限 | 权限说明及作用的级别 |
ALTER[PRIVILEGES] | 除了GRANT OPTION和PROXY之外,以指定的访问级别授予所有特权。 |
ALTER | 修改权限,作用于全局,数据库,数据表 |
ALTER_ROUTINE | 修改存储过程,作用于全局,数据库,存储过程 |
CREATE | 创建权限,作用于全局,数据库,数据表 |
CREATE_ROUTINE | 创建存储过程的权限,作用于全局,数据库 |
CREATE_TABLESPACE | 表空间和日志文件组的创建、更改、删除,全局权限 |
CREATE_TEMPORARY_TABLES | 创建临时表的权限,作用于数据库,数据表 |
CREATE_USER | 创建、删除,重命用和移除用户权限的权限,全局权限 |
CREATE_VIEW | 创建视图权限,作用于全局,数据库,数据表 |
DELETE | 删除数据权限,作用于全局,数据库,数据表 |
DROP | 删除数据库、数据表、视图的权限,作用于全局,数据库,数据表 |
EVENT | 使用事件的权限,作用于全局,数据库 |
EXECUTE | 执行存储过程的权限,作用于全局,数据库,存储过程 |
FILE | 读取或写入文件的权限,全局权限 |
GRANT_OPTION | 允许授权或取消授权的权限,作用于全局,数据库,数据表,存储过程,代理 |
INDEX | 使用索引的权限,作用于全局,数据库,数据表 |
INSERT | 写入权限,作用于全局,数据库,数据表,数据列 |
LOCK_TABLES | 在执行SELECT时可以启动LOCK_TABLES的权限,全局或数据库级别的权限 |
PROCESS | 使用SHOW PROCESSLIST查询全部存储过程的权限,全局权限 |
PROXY | 启用用户代理,作用级别从用户到用户 |
REFERENCES | 创建外健权限,作用于全局,数据库,数据表,数据列 |
RELOAD | 启动FLUSH操作,全局权限 |
REPLICATION CLIENT | 使用户能够询问主服务器或从服务器在哪里,全局权限 |
REPLICATION SLAVE | 启用复制从属服务器以从主服务器读取二进制日志事件,全局权限 |
SELECT | 查询权限,作用于全局,数据库,数据表,数据列 |
SHOW_DATABASES | 查询全部数据库,全局权限 |
SHOW_VIEWS | 启用使用SHOW CREATE VIEW,作用于全局,数据库,数据表 |
SHUTDOWN | 关闭数据库服务器权限,全局权限 |
SUPER | 启用其他管理操作的使用,例如CHANGE MASTER TO,KILL,PURGE BINARY LOGS,SET GLOBAL和mysqladmin debug命令。 全局权限 |
TRIGGER | 启用触发器的权限,作用于全局,数据库,数据表 |
UPDATE | 更新权限,作用于全局,数据库,数据表,数据列 |
USAGE | 无特权 |
