MySQL 8.0 ROLE管理
数据库里对应的权限都可以指定赋予,那么角色的作用是什么?
角色相关命令和配置方式:
1.命令接口:
| 命令 | 说明 |
|---|---|
| CREATE ROLE and DROP ROLE | 创建和删除角色 |
| GRANT and REVOKE | 是否激活角色 |
| SHOW GRANTS | 显示 账户/角色 所拥有的 权限或者角色 |
| SET DEFAULT ROLE | 设置账户默认使用什么角色 |
| SET ROLE | 改变当前会话的角色 |
| CURRENT_ROLE() | 显示当前会话的角色 |
| WITH ADMIN OPTION | 授予和撤销其他用户或角色 |
2.my.cnf配置参数:
| 参数 | 说明 |
|---|---|
| mandatory_roles | 允许定义用户登录时强制权的角色 |
| activate_all_roles_on_login | 是否激活角色 |
角色和用户区别
1.不论创建用户还是角色都是在mysql.user表里:
备注:区别在于account_locked,password_expired
2.查了对应的mysql库发现没有特别的role相关的表,那是否可以理解 role其实也是用户,只是没有密码和锁住无法登录。
ALTER USER 'role_developer'@'%' IDENTIFIED BY '123456';ALTER USER 'role_developer'@'%' ACCOUNT UNLOCK;备注:role账号,发现可以正常登录。到这里可以大致理解,实际上角色和用户都是相等的。只是通过关系绑在一起。算是打破了常理,方式值得借鉴和学习。
看到这里,还是比较简单易懂的,大致都有了解。下面是练习SQL语句。
例子
1.创建角色
mysql>DROP ROLE IF EXISTS 'role_developer'@'%' ,'role_read'@'%' ,'role_write'@'%' ;CREATE ROLE 'role_developer'@'%', 'role_read'@'%', 'role_write'@'%' ;2.赋予权限
mysql>GRANT ALL ON world.* TO 'role_developer';3.创建用户
mysql>DROP USER IF EXISTS 'user_dev'@'%' , 'user_read'@'%' ,'user_write'@'%' ;CREATE USER 'user_dev'@'%' IDENTIFIED BY '123456' ;
CREATE USER 'user_read'@'%' IDENTIFIED BY '123456' ;
CREATE USER 'user_write'@'%' IDENTIFIED BY '123456' ;
4.查询用户表状态
mysql>SELECT user,host,account_locked,password_expired
FROM mysql.user WHERE user LIKE 'user_%' OR user LIKE 'role_%';5.角色授予和撤销:
mysql>GRANT 'role_developer'@'%' TO 'user_dev'@'%';GRANT 'role_developer'@'%' TO 'user_read'@'%' WITH ADMIN OPTION;GRANT 'role_write'@'%' TO 'user_write'@'%' WITH admin OPTION;
##回收角色
# REVOKE 'role_developer'@'%' FROM 'user_dev'@'%';
# REVOKE 'role_developer'@'%' FROM 'user_read'@'%';
# REVOKE 'role_write'@'%' FROM 'user_write'@'%';
6.激活ROLE
mysql>SET DEFAULT ROLE ALL TO 'user_dev'@'%';SET DEFAULT ROLE ALL TO 'user_read'@'%';SET DEFAULT ROLE ALL TO 'user_write'@'%';可以用user账号登录操作了。
7.ROLE操作
mysql>SET ROLE NONE; #无角色
SET ROLE ALL EXCEPT 'role_write'; #除已命名的角色外的所有角色 SET ROLE ALL; #所有角色。SELECT CURRENT_ROLE(); #当前角色 8.强制给所有用户赋予角色,启动角色方式
mysql>SET PERSIST mandatory_roles = 'role1,role2@%,r3@%.example.com';SET PERSIST activate_all_roles_on_login = ON;[msyqld]
mandatory_roles='role_developer'
activate_all_roles_on_login = ON
activate_all_roles_on_login:
服务器会在登录时激活每个帐户的所有角色。这优先于使用SET default ROLE指定的默认角色。对于在定义器上下文中执行的存储程序和视图,也只在开始执行时应用。
9.其他
ROLES_GRAPHML:返回utf8字符串xml(graphml)有用户信息,应该用户api接口扩展。
mysql>SELECT ROLES_GRAPHML()
总结:
便利用户分类管理,实际场景用的不多。
角色和用户是可互通的。
参考:
https://dev.mysql.com/doc/refman/8.0/en/roles.html
墨天轮原文链接:https://www.modb.pro/db/688988(复制到浏览器或者点击“阅读原文”立即查看)