gpt4 book ai didi

MySQL 角色(role)功能介绍

转载 作者:qq735679552 更新时间:2022-09-28 22:32:09 25 4
gpt4 key购买 nike

CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章MySQL 角色(role)功能介绍由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.

前言:

上篇文章,我们介绍了 MySQL 权限管理相关知识。当数据库实例中存在大量的库或用户时,权限管理将会变得越来越繁琐,可能要频繁进行权限变更。MySQL 8.0 新增了 role 功能,使得权限管理更加方便,本篇文章我们来看下 8.0 下的 role 功能.

  。

  1. role 简介 。

role 角色功能对于 Oracle 数据库来说不算是什么特殊,在 Oracle 中经常被用到。MySQL 8.0 版本终于新增了 role 功能,为数据库用户权限管理提供了一种新思路.

role 可以看做一个权限的集合,这个集合有一个统一的名字 role 名。可以给多个数据库用户授予同个 role 的权限,权限变更可直接通过修改 role 来实现,不需要每个用户一个一个的去变更,方便运维和管理。role 可以创建、删除、修改并作用到它管理的用户上.

下面我们具体来体验下 role 角色功能:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
# 创建role
mysql> create role  'dev_role' ;
Query OK, 0 rows affected (0.15 sec)
 
# 给role授予权限
mysql> grant  select  on db1.* to  'dev_role' @ '%' ;
Query OK, 0 rows affected (0.12 sec)
 
# 查看role的权限
mysql> show grants  for  'dev_role' @ '%' ;
+-------------------------------------------+
| Grants  for  dev_role@%                     |
+-------------------------------------------+
| GRANT USAGE ON *.* TO `dev_role`@`%`      |
| GRANT SELECT ON `db1`.* TO `dev_role`@`%` |
+-------------------------------------------+
 
# 创建用户 并赋予角色权限
mysql> create user  'dev1' @ '%'  identified by  '123456' ;
Query OK, 0 rows affected (0.68 sec)
 
mysql> grant  'dev_role'  to  'dev1' @ '%' ;
Query OK, 0 rows affected (0.38 sec)
 
# 查看用户权限
mysql> show grants  for  'dev1' @ '%' ;
+------------------------------------+
| Grants  for  dev1@%                  |
+------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`%`   |
| GRANT `dev_role`@`%` TO `dev1`@`%` |
+------------------------------------+
2 rows  in  set  (0.63 sec)
 
# 使用dev1用户登录
root@localhost ~] # mysql -udev1 -p123456
 
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
+--------------------+
1 row  in  set  (0.34 sec)
 
mysql>  select  CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| NONE           |
+----------------+
1 row  in  set  (0.59 sec)

什么情况?貌似和我们想象不同,赋予用户某个角色权限后,该用户并没有获得相应权限.

出现上述情况的原因是,在用户会话中,授予该用户的角色处于非活动状态。只有授予的角色在会话中处于活动状态时,该用户才拥有此角色的权限,要确定当前会话中哪些角色处于活动状态,可以使用 CURRENT_ROLE() 函数.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# 使用 set default role 命令激活角色
mysql> SET DEFAULT ROLE ALL TO dev1;
Query OK, 0 rows affected (0.77 sec)
 
# 重新登录 发现权限正常
root@localhost ~] # mysql -udev1 -p123456
 
mysql>  select  CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| `dev_role`@`%` |
+----------------+
1 row  in  set  (0.57 sec)
 
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| db1                |
| information_schema |
+--------------------+
2 rows  in  set  (1.05 sec)

除了使用 set default role 命令激活角色外,还可以修改系统变量 activate_all_roles_on_login ,该变量决定是否自动激活 role ,默认为 OFF 即不自动激活,建议将该变量改为 ON ,这样以后赋予角色给新用户后就不需要再手动激活了.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
# 查看 activate_all_roles_on_login 变量
mysql> show variables like  'activate_all_roles_on_login' ;
+-----------------------------+-------+
| Variable_name               | Value |
+-----------------------------+-------+
| activate_all_roles_on_login | OFF   |
+-----------------------------+-------+
1 row  in  set  (1.53 sec)
 
# 启用该变量 先动态启用 之后可以将此参数加入my.cnf配置文件中
mysql>  set  global activate_all_roles_on_login = on;
Query OK, 0 rows affected (0.50 sec)
 
# 之后角色就会自动激活
mysql> create user  'dev2' @ '%'  identified by  '123456' ;
Query OK, 0 rows affected (0.68 sec)
 
mysql> grant  'dev_role'  to  'dev2' @ '%' ;
Query OK, 0 rows affected (0.38 sec)
 
root@localhost ~] # mysql -udev2 -p123456
 
mysql>  select  CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| `dev_role`@`%` |
+----------------+
1 row  in  set  (0.57 sec)
 
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| db1                |
| information_schema |
+--------------------+
2 rows  in  set  (1.05 sec)

  。

  2. role 相关操作 。

上面我们介绍了创建角色及给用户授予角色权限,关于 role 相关操作还有很多,我们接着来看下.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
# 变更角色权限
mysql> grant  select  on db2.* to  'dev_role' @ '%' ;
Query OK, 0 rows affected (0.33 sec)
 
# 拥有该角色的用户 重新登录后权限也会对应变化
root@localhost ~] # mysql -udev1 -p123456
 
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| db1                |
| db2                |
| information_schema |
+--------------------+
3 rows  in  set  (2.01 sec)
 
# 回收角色权限
mysql> revoke SELECT ON db2.* from  'dev_role' @ '%' ;
Query OK, 0 rows affected (0.31 sec)
 
# 撤销用户的角色
mysql> revoke  'dev_role' @ '%'  from  'dev1' @ '%' ;
Query OK, 0 rows affected (0.72 sec)
 
mysql> show grants  for  'dev1' @ '%' ;
+----------------------------------+
| Grants  for  dev1@%                |
+----------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`%` |
+----------------------------------+
1 row  in  set  (1.06 sec)
 
# 删除角色 (删除角色后 对应的用户也会失去该角色的权限)
mysql> drop role dev_role;
Query OK, 0 rows affected (0.89 sec)

我们还可以通过 mandatory_roles 变量来配置强制性角色。使用强制性角色,服务器会为全部的用户户默认赋予该角色,而不需要显示执行授予角色。可以使用 my.cnf 文件或者使用 SET PERSIST 进行配置,例如:

?
1
2
3
4
5
6
# my.cnf 配置
[mysqld]
mandatory_roles= 'dev_role'
 
# set 更改变量
SET PERSIST mandatory_roles =  'dev_role' ;

需要注意的是,配置在 mandatory_roles 中的角色不能撤销其权限,也不能删除.

  。

总结:

关于 role 角色相关知识,简单总结几点如下:

  • role 是一个权限的集合,可以被赋予不同权限。
  • 开启 activate_all_roles_on_login 变量,才可以自动激活角色。
  • 一个用户可以拥有多个角色,一个角色也可以授予多个用户。
  • 角色权限变化会应用到对应用户。
  • 删除角色,则拥有此角色的用户也会丧失此角色的权限。
  • 可设置强制性角色,使得所有用户都拥有此角色的权限。
  • 角色管理和用户管理相似,只是角色不能用于登录数据库。

以上就是MySQL 角色(role)功能介绍的详细内容,更多关于MySQL 角色(role)功能的资料请关注我其它相关文章! 。

原文链接:https://mp.weixin.qq.com/s/n8HUiItR7R_Z7NM27K3r7Q 。

最后此篇关于MySQL 角色(role)功能介绍的文章就讲到这里了,如果你想了解更多关于MySQL 角色(role)功能介绍的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com