MySQL 8.0 在用户管理方面增加了角色管理,默认的密码加密方式也做了调整,由之前的 SHA1 改为了 SHA2。同时加上 MySQL 5.7 的禁用用户和用户过期的功能,MySQL 在用户管理方面的功能和安全性都较之前版本大大的增强了。
\n在本教程中,我们将介绍 MySQL 下用户管理上的一些新特性和如何使用角色来简化权限管理。
\n\n\n注:本教程大部分特性要 MySQL 8.0 + 以上版本才支持。
\n
在 MySQL 8.0 中,caching_sha2_password 是默认的身份验证插件而不是之前版本的 mysql_native_password,默认的密码加密方式是 SHA2。
mysql> show variables like 'default_authentication_plugin';\n+-------------------------------+-----------------------+\n| Variable_name | Value |\n+-------------------------------+-----------------------+\n| default_authentication_plugin | caching_sha2_password |\n+-------------------------------+-----------------------+\n1 row in set (0.00 sec)\n\nmysql> select user,host,plugin from mysql.user;\n+------------------+-----------+-----------------------+\n| user | host | plugin |\n+------------------+-----------+-----------------------+\n| root | % | caching_sha2_password |\n| mysql.infoschema | localhost | mysql_native_password |\n| mysql.session | localhost | mysql_native_password |\n| mysql.sys | localhost | mysql_native_password |\n| root | localhost | caching_sha2_password |\n+------------------+-----------+-----------------------+\n5 rows in set (0.00 sec)如果需要保持之前的验证方式并保持之前版本的密码加密方式需要在配置文件 my.cnf 中修改以下配置项并重启服务后生效。
default_authentication_plugin = mysql_native_password\n\n注:此选项暂不支持 MySQL 8.0 动态修改特性。
\n
MySQL 8.0 的用户授权语句和之前版本有所区别,老版本的常用授权语句在 MySQL 8.0 版本中 已不能使用,如使用旧版本授权语句会报错。
\nmysql> GRANT ALL PRIVILEGES ON *.* TO `mike`@`%` IDENTIFIED BY '000000' WITH GRANT OPTION;\nERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'IDENTIFIED BY '000000' WITH GRANT OPTION' at line 1mysql> CREATE USER 'mike'@'%' IDENTIFIED BY '000000';\nmysql> GRANT ALL ON *.* TO 'mike'@'%' WITH GRANT OPTION;MySQL从 5.6.6开始引入密码自动过期的新功能,并在 MySQL 5.7.4 版本中改进了用户密码过期时间这个特性。现在可以通过一个全局变量 default_password_lifetime 来设置一个全局的自动密码过期策略。
default_password_lifetime 其默认值为 0,表示禁用自动密码过期。default_password_lifetime 的值如是是正整数 N ,则表示允许的设置密码生存周期为 N,单位为天。
default_password_lifetime 全局密码到期策略默认为永久不过期。mysql> show variables like 'default_password_lifetime';\n+---------------------------+-------+\n| Variable_name | Value |\n+---------------------------+-------+\n| default_password_lifetime | 0 |\n+---------------------------+-------+\n1 row in set (0.00 sec)my.cnf 中修改 default_password_lifetime 配置项的值为 180。default_password_lifetime=180default_password_lifetime=0default_password_lifetime 参数是支持永久动态设置的,你也可以用以下命令在 MySQL 命令行下直接设置生效。# 设置默认密码过期策略为 180 天后过期\nmysql> SET PERSIST default_password_lifetime = 180;\n\n# 设置默认密码过期策略为永不过期\nmysql> SET PERSIST default_password_lifetime = 0;\n\n# MySQL 8.0 永久动态修改参数会保存在配置文件 mysqld-auto.cnf 中,保存的格式为JSON串。\n$ cat /var/lib/mysql/mysqld-auto.cnf\n{ \"Version\" : 1 , \"mysql_server\" : { \"default_password_lifetime\" : { \"Value\" : \"180\" , \"Metadata\" : { \"Timestamp\" : 1525663928688419 , \"User\" : \"root\" , \"Host\" : \"\" } } } }创建或修改一个用户的密码过期时间为 90 天。
\nmysql> CREATE USER 'mike'@'%' IDENTIFIED BY '000000' PASSWORD EXPIRE INTERVAL 90 DAY;\nmysql> ALTER USER `mike`@`%` PASSWORD EXPIRE INTERVAL 90 DAY;建或修改一个用户的密码过期时间为永不过期。
\nmysql> CREATE USER 'mike'@'%' PASSWORD EXPIRE NEVER;\nmysql> ALTER USER 'mike'@'%' PASSWORD EXPIRE NEVER;创建或修改一个遵循全局到期策略的用户。
\nmysql> CREATE USER 'mike'@'%' PASSWORD EXPIRE DEFAULT;\nmysql> ALTER USER 'mike'@'%' PASSWORD EXPIRE DEFAULT;查看用户的密码过期时间。
\nmysql> select user,host,password_last_changed,password_lifetime,password_expired from mysql.user;\n+------------------+-----------+-----------------------+-------------------+------------------+\n| user | host | password_last_changed | password_lifetime | password_expired |\n+------------------+-----------+-----------------------+-------------------+------------------+\n| mike | % | 2018-05-07 11:13:39 | 90 | N |\n| root | % | 2018-05-04 16:46:05 | NULL | N |\n| mysql.infoschema | localhost | 2018-05-04 16:45:55 | NULL | N |\n| mysql.session | localhost | 2018-05-04 16:45:55 | NULL | N |\n| mysql.sys | localhost | 2018-05-04 16:45:55 | NULL | N |\n| root | localhost | 2018-05-04 16:46:05 | NULL | N |\n+------------------+-----------+-----------------------+-------------------+------------------+\n6 rows in set (0.00 sec)从 MySQL 5.7.8 开始,用户管理方面添加了锁定/解锁用户帐户的新特性。下面我们就来看下这个特性的一些具体示例。
\nmysql> CREATE USER 'mike-temp1'@'%' IDENTIFIED BY '000000' ACCOUNT LOCK;接下来尝试用新创建的用户登陆,此时会得到一个 ERROR 3118 错误消息提示。
\n$ mysql -umike-temp1 -p000000\nmysql: [Warning] Using a password on the command line interface can be insecure.\nERROR 3118 (HY000): Access denied for user 'mike-temp1'@'172.22.0.1'. Account is locked.如果你需要解锁此用户,此时就需要使用以下语句对其进行解锁了。
\nmysql> ALTER USER 'mike-temp1'@'%' ACCOUNT UNLOCK;\nQuery OK, 0 rows affected (0.00 sec)现在,这个用户就已经解锁,再次尝试登陆。
\n$ mysql -umike-temp1 -p000000\nWelcome to the MySQL monitor. Commands end with ; or \\g.\nYour MySQL connection id is 10\nServer version: 8.0.11 MySQL Community Server - GPL\n\nCopyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.\n\nOracle is a registered trademark of Oracle Corporation and/or its\naffiliates. Other names may be trademarks of their respective\nowners.\n\nType 'help;' or '\\h' for help. Type '\\c' to clear the current input statement.\n\nmysql>如果用户已建立,你也可以这样锁定用户帐户。
\nmysql> ALTER USER 'mike'@'%' ACCOUNT LOCK;\nQuery OK, 0 rows affected (0.00 sec)从 MySQL 8.0 开始允许限制重复使用以前的密码。可以根据密码更改次数、已用时间或两者来建立密码重用限制。帐户的密码历史由过去分配的密码组成,MySQL 可以限制从此历史记录中选择新密码。
\n\n注:空密码不记录在密码历史记录中,并随时可以重复使用。
\n
要建立全局密码重用策略,可修改 password_history 和 password_reuse_interval系统变量。该变量可在服务配置文件 my.cnf 中配置,以禁止重复使用最近 6 个密码或最近 180 天内使用过的任何密码为例。
password_history=6\npassword_reuse_interval=180该参数是支持永久动态设置,也可以直接用下面语句进行设置。
\nmysql> SET PERSIST password_history = 6;\nmysql> SET PERSIST password_reuse_interval = 180;MySQL 数据库中通常都会出现多个拥有相同权限集合的用户,在之前版本中只有分别向多个用户授予和撤销权限才能实现单独更改每个用户的权限。在用户数量比较多的时候,这样的操作是非常耗时的。
\nMySQL 8.0 为了用户权限管理更容易,提供了一个角色管理的新功能。角色是指定的权限集合,和用户帐户一样可以对角色进行权限的授予和撤消。如果用户被授予角色权限,则该用户拥有该角色的权限。
\nMySQL 8.0 提供的角色管理功能如下:
\nCREATE ROLE // 角色创建\nDROP ROLE // 角色删除\nGRANT // 为用户和角色分配权限\nREVOKE // 为用户和角色撤销权限\nSHOW GRANTS // 显示用户和角色的权限\nSET DEFAULT ROLE // 指定哪些帐户角色默认处于活动状态\nSET ROLE // 更改当前会话中的活动角色\nCURRENT_ROLE() // 显示当前会话中的活动角色这里我们以几种常见场景为例。
\n如果要向多个用户授予相同的权限集,则应按如下步骤来进行。
\n首先,我们创建四个角色。为了清楚区分角色的权限,建议将角色名称命名得比较直观。
\nmysql> CREATE ROLE 'app', 'ops', 'dev_read', 'dev_write';\n\n注:角色名称格式类似于由用户和主机部分组成的用户帐户,如:
\nrole_name@host_name。如果省略主机部分,则默认为 “%”,表示任何主机。
创建好角色后,我们就给角色授予对应的权限。要授予角色权限,您可以使用 GRANT 语句。
# 以下语句是向 app 角色授予 wordpress 数据库的读写权限\nmysql> GRANT SELECT, INSERT, UPDATE, DELETE ON wordpress.* TO 'app';\n# 以下语句是向 ops 角色授予 wordpress 数据库的所有权限\nmysql> GRANT ALL PRIVILEGES ON wordpress.* TO 'ops';\n# 以下语句是向 dev_read 角色授予 wordpress 数据库的只读权限\nmysql> GRANT SELECT ON wordpress.* TO 'dev_read';\n# 以下语句是向 dev_write 角色授予 wordpress 数据库的写权限\nmysql> GRANT INSERT, UPDATE, DELETE ON wordpress.* TO 'dev_write';\n\n注:这里假定需授权的数据库名称为
\nwordpress。
最后根据实际情况,我们将指定用户加入到对应的角色。假设需要一个应用程序使用的帐户、一个运维人员帐户、一个是开发人员只读帐户和两个开发人员读写帐户。
\n# 应用程序帐户\nmysql> CREATE USER 'app01'@'%' IDENTIFIED BY '000000';\n# 运维人员帐户\nmysql> CREATE USER 'ops01'@'%' IDENTIFIED BY '000000';\n# 开发人员只读帐户\nmysql> CREATE USER 'dev01'@'%' IDENTIFIED BY '000000';\n# 开发读写帐户\nmysql> CREATE USER 'dev02'@'%' IDENTIFIED BY '000000';\nmysql> CREATE USER 'dev03'@'%' IDENTIFIED BY '000000';mysql> GRANT app TO 'app01'@'%';\nmysql> GRANT ops TO 'ops01'@'%';\nmysql> GRANT dev_read TO 'dev01'@'%';如果要将多个用户同时加入多个角色,可以使用类似语句。
\nmysql> GRANT dev_read, dev_write TO 'dev02'@'%', 'dev03'@'%';要验证角色是否正确分配,可以使用 SHOW GRANTS 语句。
mysql> SHOW GRANTS FOR 'dev01'@'%';\n+-------------------------------------+\n| Grants for dev01@% |\n+-------------------------------------+\n| GRANT USAGE ON *.* TO `dev01`@`%` |\n| GRANT `dev_read`@`%` TO `dev01`@`%` |\n+-------------------------------------+\n2 rows in set (0.00 sec)正如你所看到的,和之前版本不同的是 SHOW GRANTS 只返回授予角色。如果要显示角色所代表的权限,需要加上 USING 子句和授权角色的名称。
mysql> SHOW GRANTS FOR 'dev01'@'%' USING dev_read;\n+----------------------------------------------+\n| Grants for dev01@% |\n+----------------------------------------------+\n| GRANT USAGE ON *.* TO `dev01`@`%` |\n| GRANT SELECT ON `wordpress`.* TO `dev01`@`%` |\n| GRANT `dev_read`@`%` TO `dev01`@`%` |\n+----------------------------------------------+\n3 rows in set (0.00 sec)现在,如果您使用 dev01 用户帐户连接到 MySQL,并尝试访问 wordpress 数据库会出现以下错误。
$ mysql -u dev01 -p000000\nWelcome to the MySQL monitor. Commands end with ; or \\g.\nYour MySQL connection id is 11\nServer version: 8.0.11 MySQL Community Server - GPL\n\nCopyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.\n\nOracle is a registered trademark of Oracle Corporation and/or its\naffiliates. Other names may be trademarks of their respective\nowners.\n\nType 'help;' or '\\h' for help. Type '\\c' to clear the current input statement.\n\nmysql> use wordpress;\nERROR 1044 (42000): Access denied for user 'dev01'@'%' to database 'wordpress'这是因为在向用户帐户授予角色后,当用户帐户连接到数据库服务器时,它并不会自动使角色变为活动状态。
\n# 调用 CURRENT_ROLE() 函数查看当前角色。\nmysql> SELECT current_role();\n+----------------+\n| current_role() |\n+----------------+\n| NONE |\n+----------------+\n1 row in set (0.00 sec)这里返回 NONE,就意味着当前没有启用任何角色。要在每次用户帐户连接到数据库服务器时指定哪些角色应该处于活动状态,需用使用 SET DEFAULT ROLE 语句来指定。
\n# 以下语句将把 dev01 帐户分配的所有角色都设置为默认值。\nmysql> SET DEFAULT ROLE ALL TO 'dev01'@'%';再次使用 dev01 用户帐户连接到 MySQL 数据库服务器并调用 CURRENT_ROLE() 函数,您将看到 dev01 用户帐户的默认角色。
\n$ mysql -u dev01 -p000000\nWelcome to the MySQL monitor. Commands end with ; or \\g.\nYour MySQL connection id is 11\nServer version: 8.0.11 MySQL Community Server - GPL\n\nCopyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.\n\nOracle is a registered trademark of Oracle Corporation and/or its\naffiliates. Other names may be trademarks of their respective\nowners.\n\nType 'help;' or '\\h' for help. Type '\\c' to clear the current input statement.\n\nmysql> \n\n# 查看 dev01 用户帐户的默认角色。\nmysql> SELECT current_role();\n+----------------+\n| current_role() |\n+----------------+\n| `dev_read`@`%` |\n+----------------+\n1 row in set (0.00 sec)最后通过将当前数据库切换到 wordpress 数据库,并执行 SELECT 语句和 DELETE 语句来测试 dev01 帐户的权限。
mysql> use wordpress;\nDatabase changed\n\nmysql> select count(*) from wp_terms;\n+----------+\n| count(*) |\n+----------+\n| 357 |\n+----------+\n1 row in set (0.00 sec)\n\nmysql> DELETE from wp_terms;\nERROR 1142 (42000): DELETE command denied to user 'dev01'@'172.22.0.1' for table 'wp_terms'如上面结果所示,当我们发出 DELETE 语句时,就收到一个错误。因为 dev01 用户帐户只有读取访问权限。
用户帐户可以通过指定哪个授权角色处于活动状态来修改当前用户在当前会话中的有效权限。
\nNONE,表示没有活动角色。mysql> SET ROLE NONE;mysql> SET ROLE ALL;SET DEFAULT ROLE 语句设置的默认角色。mysql> SET ROLE DEFAULT;mysql> SET ROLE granted_role_1, granted_role_2, ...正如可以授权某个用户的角色一样,也可以从用户帐户中撤销这些角色。要从用户帐户中撤销角色需要使用 REVOKE 语句。
mysql> REVOKE role FROM user;REVOKE 也可以用于修改角色权限。这不仅影响角色本身权限,还影响任何授予该角色的用户权限。假设想临时让所有开发用户只读,可以使用 REVOKE 从 dev_write 角色中撤消修改权限。我们先来看下用户帐户 dev02 撤消前的权限。
mysql> SHOW GRANTS FOR 'dev02'@'%' USING 'dev_read', 'dev_write';\n+----------------------------------------------------------------------+\n| Grants for dev02@% |\n+----------------------------------------------------------------------+\n| GRANT USAGE ON *.* TO `dev02`@`%` |\n| GRANT SELECT, INSERT, UPDATE, DELETE ON `wordpress`.* TO `dev02`@`%` |\n| GRANT `dev_read`@`%`,`dev_write`@`%` TO `dev02`@`%` |\n+----------------------------------------------------------------------+\n3 rows in set (0.00 sec)接下来从 dev_write 角色中撤消掉修改权限。
mysql> REVOKE INSERT, UPDATE, DELETE ON wordpress.* FROM 'dev_write';\nQuery OK, 0 rows affected (0.03 sec)最后我们在来看看 dev02 用户帐户当前权限。
mysql> SHOW GRANTS FOR 'dev02'@'%' USING 'dev_read', 'dev_write';\n+-----------------------------------------------------+\n| Grants for dev02@% |\n+-----------------------------------------------------+\n| GRANT USAGE ON *.* TO `dev02`@`%` |\n| GRANT SELECT ON `wordpress`.* TO `dev02`@`%` |\n| GRANT `dev_read`@`%`,`dev_write`@`%` TO `dev02`@`%` |\n+-----------------------------------------------------+\n3 rows in set (0.00 sec)从上面的结果可以看出,角色中撤销权限会影响到该角色中任何用户的权限。因此 dev02 现在已经没有表修改权限(INSERT,UPDATE,和 DELETE 权限已经去掉)。如果要恢复角色的修改权限,只需重新授予它们即可。
# 授予 dev_write 角色修改权限。\nmysql> GRANT INSERT, UPDATE, DELETE ON wordpress.* TO 'dev_write';\n\n# 再次查看 dev02 用户权限,修改权限已经恢复。\nmysql> SHOW GRANTS FOR 'dev02'@'%' USING 'dev_read', 'dev_write';\n+----------------------------------------------------------------------+\n| Grants for dev02@% |\n+----------------------------------------------------------------------+\n| GRANT USAGE ON *.* TO `dev02`@`%` |\n| GRANT SELECT, INSERT, UPDATE, DELETE ON `wordpress`.* TO `dev02`@`%` |\n| GRANT `dev_read`@`%`,`dev_write`@`%` TO `dev02`@`%` |\n+----------------------------------------------------------------------+\n3 rows in set (0.00 sec)要删除一个或多个角色,可以使用 DROP ROLE 语句。
mysql> DROP ROLE 'role_name', 'role_name', ...;如同 REVOKE 语句一样,删除角色会从授权它的每个帐户中撤消该角色。例如,要删除 dev_read,dev_write角色,可使用以下语句。
mysql> DROP ROLE 'dev_read', 'dev_write';MySQL 8.0 将每一个用户帐户视为角色,因此可以将用户帐户授予另一个用户帐户。例如:将一开发人员帐号权限复制到另一开发人员帐号。
\nmysql> CREATE USER 'dev04'@'%' IDENTIFIED BY '000000';\nQuery OK, 0 rows affected (0.04 sec)dev02 用户帐户的权限复制到 dev04 用户帐户mysql> GRANT 'dev02'@'%' TO 'dev04'@'%';\nQuery OK, 0 rows affected (0.09 sec)mysql> SHOW GRANTS FOR 'dev04'@'%' USING 'dev02';\n+----------------------------------------------------------------------+\n| Grants for dev04@% |\n+----------------------------------------------------------------------+\n| GRANT USAGE ON *.* TO `dev04`@`%` |\n| GRANT SELECT, INSERT, UPDATE, DELETE ON `wordpress`.* TO `dev04`@`%` |\n| GRANT `dev02`@`%` TO `dev04`@`%` |\n+----------------------------------------------------------------------+\n3 rows in set (0.00 sec)