尚硅谷之MySQL基础
1.2权限表的存取
在权限存取的两个过程中,系统会用到”mysql”数据库中user和db、host这三个最重要的权限表。
user表中的权限是针对所有数据库的,db表存储了某个用户对一个数据库的权限,host表中存储了某个主机对数据库的操作权限,配合db表对给定主机上数据库级操作权限做更细致的控制;但是很少用,新版本已经取消了host表。
当用户进行连接时,权限表的存取过程有一些两个阶段:
- 先从user表中的host、user和password这3个字段中判断连接的IP、用户名和密码是否存在与表中,如果存在,则通过身份验证,否则拒绝连接。
- 如果通过身份验证,则按照一些权限表的顺序得到数据库权限:user->db->tables_priv->columns_priv。在这几个权限表中,权限范围依次递减,全局权限覆盖局部权限。
- 当用户通过权限认证,进行权限分配是时先检查全局权限表user,如果user中对应权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db、tables_priv和columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限,如果db中相应权限为N,则检查tables_priv中此数据库对应的具体表,取得表中为Y的权限,如果tables_priv中相应的权限为N,则检查columns_priv中此表对应的具体列,取得列中为Y的权限。
用户表user
user表有39个字段。这些字段可以分为4类:
- 用户列:host,user,password三个字段
- 安全列:ssl_type、ssl_cipher、x509_issuer、x509_subject
- ssl用于加密;x509标准可以用来标识用户。普通的发行版都没有加密功能。可以使用SHOW VARIABLES LIKE 'have_openssl'语句来查看是否具有ssl功能。如果取值为DISABLED,那么则没有ssl加密功能。
- 资源控制列:max_questions(每小时可以允许执行多少次查询)、max_updates(每小时可以允许执行多少次更新)、max_connections(每小时可以建立多少连接)、max_user_connections(单个用户可以同时具有的连接数)
- 默认值为0,表示无限制。
- 权限列:
- 这些字段的值只有Y和N。Y表示该权限可以用到所有数据库上;N表示该权限不能用到所有数据库上;通常,可以使用GRANT语句Wie用户赋予一些权限,也可以通过Update语句更新user表的方式来设置权限;不过,修改user表之后,一定要执行一下FLUSH PRIVILEGES
列 |
说明 |
Select_priv |
确定用户是否可以通过SELECT命令选择数据 |
Insert_priv |
确定用户是否可以通过INSERT命令插入数据 |
Update_priv |
确定用户是否可以通过UPDATE命令修改现有数据 |
Delete_priv |
确定用户是否可以通过DELETE命令删除现有数据 |
Create_priv |
确定用户是否可以创建新的数据库和表 |
Drop_priv |
确定用户是否可以删除现有数据库和表 |
Reload_priv |
确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令,包括日志、权限、主机、查询和表 执行 flush-hosts,flush-logs,flush-privileges,flush-status,flush-tables,flush-threads,refresh,reload等命令的而全新 |
Shutdown_priv |
确定用户是否可以关闭MySQL服务器。在将此权限提供给root账户之外的任何用户时,都应当非常谨慎 |
Process_priv |
确定用户是否可以通过SHOW PROCESSLIST命令查看其他用户的进程 |
File_priv |
确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令,查看服务器主机上的文件 |
Grant_priv |
确定用户是否可以将已经授予给该用户自己的权限再授予其他用户 |
References_priv |
目前只是某些未来功能的占位符;现在没有作用 |
Index_priv |
确定用户是否可以创建和删除表索引 |
Alter_priv |
确定用户是否可以重命名和修改表结构 |
Show_db_priv |
确定用户是否可以查看服务器上所有数据库的名字,包括用户拥有足够访问权限的数据库 |
Super_priv |
确定用户是否可以执行某些强大的管理功能,例如通过KILL命令删除用户进程,使用SET GLOBAL修改全局MySQL变量,执行关于复制和日志的各种命令 |
Create_tmp_table_priv |
确定用户是否可以创建临时表 |
Lock_tables_priv |
确定用户是否可以使用LOCK TABLES命令阻止对表的访问/修改 |
Execute_priv |
确定用户是否可以执行存储过程 |
Repl_slave_priv |
确定用户是否可以读取用于维护复制数据库环境的二进制日志文件。此用户位于主系统中,有利于主机和客户机之间的通信 |
Repl_client_priv |
确定用户是否可以确定复制从服务器和主服务器的位置 |
Create_view_priv |
确定用户是否可以创建视图 |
Show_view_priv |
确定用户是否可以查看视图或了解视图如何执行 |
Create_routine_priv |
确定用户是否可以更改或放弃存储过程和函数 |
Alter_routine_priv |
确定用户是否可以修改或删除存储函数及函数 |
Create_user_priv |
确定用户是否可以执行CREATE USER命令,这个命令用于创建新的MySQL账户 |
Event_priv |
确定用户能否创建、修改和删除事件 |
Trigger_priv |
确定用户能否创建和删除触发器 |
其他几个db、host、tables_priv、columns_priv权限表类似,可以通过desc查看字段