MySQL权限控制的简单介绍

这篇文章主要介绍“权限控制的简单介绍”，在日常操作中，相信很多人在MySQL权限控制的简单介绍问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”MySQL权限控制的简单介绍”的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

背景：MySQL-5.7.11-GA 
1.MySQL权限控制的简单介绍 
2.需求 
3.实现中需要解决的几个问题 
4.初步方案的设计 
5.改进方案的设想 

1.MySQL权限控制的简单介绍 
MySQL的权限控制，从范围上，由大到小分为三个级别：MySQL级，DB级，对象级；

MySQL级指的是对MySQL实例本身产生影响的操作，包括但不限于修改MySQL的参数，如buffer_pool_size；关闭/启动MySQL等等，比较明显的特点在于MySQL级别的操作权限没有指定具体的数据库（同样意味着对任何MySQL实例中的数据库生效，类似于全局权限的意思），（特殊的情况：创建数据库，虽然会指定数据库名，但是这个数据库本身不存在，所以也算是MySQL级的权限）；

DB级指的是针对已存在的具体数据库的操作，包括修改数据库的字符集，创建或者删除具体的已存在的数据库等，比较明显的特点在于DB级的操作权限是限制在特定的数据库中；

对象级的操作主要指影响的是某个数据库内部的对象，例如表，索引，存储过程等；

不同级别之间权限的相互影响：采用交集，即MySQL级+DB级+对象级；

可以得出MySQL权限设置有两个特点， 
DB级和对象级的权限，在设置的时候就必须要指明具体的DB和对象，如果DB和对象未知，则只能靠MySQL级的去设置全局权限，针对现有/新创建的DB和对象生效； 
如果在高级别设置了权限，则会取所有级别的权限的交集，比如设置了create,insert on *.*（MySQL级别），create on testdb.*（DB级）中，MySQL级（全局权限）禁止掉的insert不会生效，依然可以insert数据到testdb的表中；但是设置了create,insert on testdb.*（DB级）和create on *.*（MySQL级）时，用户是可以在testdb进行insert操作的，意味着在高级别的权限上，设置的--“没有insert权限”并不会覆盖低级别上单独赋予的“insert权限”。
如图：

权限控制在MySQL中的实现：具体的权限设置存储于MySQL系统库的一些表里面，MySQL级的设置存在于user表中，当一个client试图连接MySQL实例的时候，会先检查这个表中的权限（包括账户名，密码，HOST的验证），通过之后，才能连接到MySQL实例。

其他级别的设置会保存在db，tables_priv，column_priv等表里面，具体信息可以在数据库中查看。

2.需求
希望能够有一个“admin”角色，具备root的所有权限，除了修改MySQL的global设置和主从设置等；

3.实现中需要解决的几个问题
首先想到的办法就是：grant all on *.* to admin@'%' with grant option，然后revoke super on *.* from admin@'%'，不过问题来了， 在这种设置下，admin是可以直接update mysql.user表，然后手动添加super权限的；
而且如果要能创建新的DB，且为新的用户赋予新DB的各种权限的话，就需要至少是Create+增删改查的权限，且对象为全局（on *.*），那么同样的，admin一样可以修改mysql.user表。

4.初步方案的设计 
使用shell脚本，在里面添加sudo mysql -u -p -e来完成创建新DB，创建新用户，授权等操作，然后禁止所使用的系统用户对这个脚本的cat，vim，vi等文本操作权限；
这种方案的问题也不少：其他的用户可以登录DB Server；脚本中保存的root密码可能会被自身不熟悉的方式获取；etc...

5.改进方案的设想
如果有个web就好了，能够屏蔽所有端的细节和操作，在页面上点点点就做完了_(:з」∠)_