CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章聊一聊MySQL角色(Role)功能由作者收集整理，如果你对这篇文章有兴趣，记得点赞哟.

前言:

我们介绍了 MySQL 权限管理相关知识。当数据库实例中存在大量的库或用户时，权限管理将会变得越来越繁琐，可能要频繁进行权限变更。MySQL 8.0 新增了 role 功能，使得权限管理更加方便，本篇文章我们来看下 8.0 下的 role 功能.

1. role 简介 。

role 角色功能对于 Oracle 数据库来说不算是什么特殊，在 Oracle 中经常被用到。MySQL 8.0 版本终于新增了 role 功能，为数据库用户权限管理提供了一种新思路.

role 可以看做一个权限的集合，这个集合有一个统一的名字 role 名。可以给多个数据库用户授予同个 role 的权限，权限变更可直接通过修改 role 来实现，不需要每个用户一个一个的去变更，方便运维和管理。role 可以创建、删除、修改并作用到它管理的用户上.

下面我们具体来体验下 role 角色功能:

1. # 创建role 
2. mysql> create role 'dev_role'; 
3. Query OK, 0 rows affected (0.15 sec) 
4.  
5. # 给role授予权限 
6. mysql> grant select on db1.* to 'dev_role'@'%'; 
7. Query OK, 0 rows affected (0.12 sec) 
8.  
9. # 查看role的权限 
10. mysql> show grants for 'dev_role'@'%'; 
11. +-------------------------------------------+ 
12. | Grants for dev_role@%                     | 
13. +-------------------------------------------+ 
14. | GRANT USAGE ON *.* TO `dev_role`@`%`      | 
15. | GRANT SELECT ON `db1`.* TO `dev_role`@`%` | 
16. +-------------------------------------------+ 
17.  
18. # 创建用户 并赋予角色权限 
19. mysql> create user 'dev1'@'%' identified by '123456'; 
20. Query OK, 0 rows affected (0.68 sec) 
21.  
22. mysql> grant 'dev_role' to 'dev1'@'%'; 
23. Query OK, 0 rows affected (0.38 sec) 
24.  
25. # 查看用户权限 
26. mysql> show grants for 'dev1'@'%'; 
27. +------------------------------------+ 
28. | Grants for dev1@%                  | 
29. +------------------------------------+ 
30. | GRANT USAGE ON *.* TO `dev1`@`%`   | 
31. | GRANT `dev_role`@`%` TO `dev1`@`%` | 
32. +------------------------------------+ 
33. 2 rows in set (0.63 sec) 
34.  
35. # 使用dev1用户登录 
36. root@localhost ~]# mysql -udev1 -p123456 
37.  
38. mysql> show databases; 
39. +--------------------+ 
40. | Database           | 
41. +--------------------+ 
42. | information_schema | 
43. +--------------------+ 
44. 1 row in set (0.34 sec) 
45.  
46. mysql> select CURRENT_ROLE(); 
47. +----------------+ 
48. | CURRENT_ROLE() | 
49. +----------------+ 
50. | NONE           | 
51. +----------------+ 
52. 1 row in set (0.59 sec) 

什么情况?貌似和我们想象不同，赋予用户某个角色权限后，该用户并没有获得相应权限.

出现上述情况的原因是，在用户会话中，授予该用户的角色处于非活动状态。只有授予的角色在会话中处于活动状态时，该用户才拥有此角色的权限，要确定当前会话中哪些角色处于活动状态，可以使用 CURRENT_ROLE() 函数.

1. # 使用 set default role 命令激活角色 
2. mysql> SET DEFAULT ROLE ALL TO dev1; 
3. Query OK, 0 rows affected (0.77 sec) 
4.  
5. # 重新登录 发现权限正常 
6. root@localhost ~]# mysql -udev1 -p123456 
7.  
8. mysql> select CURRENT_ROLE(); 
9. +----------------+ 
10. | CURRENT_ROLE() | 
11. +----------------+ 
12. | `dev_role`@`%` | 
13. +----------------+ 
14. 1 row in set (0.57 sec) 
15.  
16. mysql> show databases; 
17. +--------------------+ 
18. | Database           | 
19. +--------------------+ 
20. | db1                | 
21. | information_schema | 
22. +--------------------+ 
23. 2 rows in set (1.05 sec) 

除了使用 set default role 命令激活角色外，还可以修改系统变量 activate_all_roles_on_login ，该变量决定是否自动激活 role ，默认为 OFF 即不自动激活，建议将该变量改为 ON ，这样以后赋予角色给新用户后就不需要再手动激活了.

1. # 查看 activate_all_roles_on_login 变量 
2. mysql> show variables like 'activate_all_roles_on_login'; 
3. +-----------------------------+-------+ 
4. | Variable_name               | Value | 
5. +-----------------------------+-------+ 
6. | activate_all_roles_on_login | OFF   | 
7. +-----------------------------+-------+ 
8. 1 row in set (1.53 sec) 
9.  
10. # 启用该变量 先动态启用 之后可以将此参数加入my.cnf配置文件中 
11. mysql> set global activate_all_roles_on_login = on; 
12. Query OK, 0 rows affected (0.50 sec) 
13.  
14. # 之后角色就会自动激活 
15. mysql> create user 'dev2'@'%' identified by '123456'; 
16. Query OK, 0 rows affected (0.68 sec) 
17.  
18. mysql> grant 'dev_role' to 'dev2'@'%'; 
19. Query OK, 0 rows affected (0.38 sec) 
20.  
21. root@localhost ~]# mysql -udev2 -p123456 
22.  
23. mysql> select CURRENT_ROLE(); 
24. +----------------+ 
25. | CURRENT_ROLE() | 
26. +----------------+ 
27. | `dev_role`@`%` | 
28. +----------------+ 
29. 1 row in set (0.57 sec) 
30.  
31. mysql> show databases; 
32. +--------------------+ 
33. | Database           | 
34. +--------------------+ 
35. | db1                | 
36. | information_schema | 
37. +--------------------+ 
38. 2 rows in set (1.05 sec) 

2. role 相关操作 。

上面我们介绍了创建角色及给用户授予角色权限，关于 role 相关操作还有很多，我们接着来看下.

1. # 变更角色权限 
2. mysql> grant select on db2.* to 'dev_role'@'%'; 
3. Query OK, 0 rows affected (0.33 sec) 
4.  
5. # 拥有该角色的用户 重新登录后权限也会对应变化 
6. root@localhost ~]# mysql -udev1 -p123456 
7.  
8. mysql> show databases; 
9. +--------------------+ 
10. | Database           | 
11. +--------------------+ 
12. | db1                | 
13. | db2                | 
14. | information_schema | 
15. +--------------------+ 
16. 3 rows in set (2.01 sec) 
17.  
18. # 回收角色权限 
19. mysql> revoke SELECT ON db2.* from 'dev_role'@'%'; 
20. Query OK, 0 rows affected (0.31 sec) 
21.  
22. # 撤销用户的角色 
23. mysql> revoke 'dev_role'@'%' from 'dev1'@'%'; 
24. Query OK, 0 rows affected (0.72 sec) 
25.  
26. mysql> show grants for 'dev1'@'%'; 
27. +----------------------------------+ 
28. | Grants for dev1@%                | 
29. +----------------------------------+ 
30. | GRANT USAGE ON *.* TO `dev1`@`%` | 
31. +----------------------------------+ 
32. 1 row in set (1.06 sec) 
33.  
34. # 删除角色 (删除角色后 对应的用户也会失去该角色的权限) 
35. mysql> drop role dev_role; 
36. Query OK, 0 rows affected (0.89 sec) 

我们还可以通过 mandatory_roles 变量来配置强制性角色。使用强制性角色，服务器会为全部的用户户默认赋予该角色，而不需要显示执行授予角色。可以使用 my.cnf 文件或者使用 SET PERSIST 进行配置，例如:

1. # my.cnf 配置 
2. [mysqld] 
3. mandatory_roles='dev_role' 
4.  
5. # set 更改变量 
6. SET PERSIST mandatory_roles = 'dev_role'; 

需要注意的是，配置在 mandatory_roles 中的角色不能撤销其权限，也不能删除.

总结:

关于 role 角色相关知识，简单总结几点如下:

• role 是一个权限的集合，可以被赋予不同权限。
• 开启 activate_all_roles_on_login 变量，才可以自动激活角色。
• 一个用户可以拥有多个角色，一个角色也可以授予多个用户。
• 角色权限变化会应用到对应用户。
• 删除角色，则拥有此角色的用户也会丧失此角色的权限。
• 可设置强制性角色，使得所有用户都拥有此角色的权限。
• 角色管理和用户管理相似，只是角色不能用于登录数据库。

原文地址：https://mp.weixin.qq.com/s/n8HUiItR7R_Z7NM27K3r7Q 。

最后此篇关于聊一聊MySQL角色(Role)功能的文章就讲到这里了,如果你想了解更多关于聊一聊MySQL角色(Role)功能的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！ 。