51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

一文总结MySQL数据库访问控制实现原理

作者:波波说运维
数据库 MySQL
MySQL 访问控制实际上由两个功能模块共同组成,一个是负责“看守 MySQL 大门”的用户管理模块,另一个就是负责监控来访者每一个动作的访问控制模块。

MySQL 访问控制实际上由两个功能模块共同组成,一个是负责“看守 MySQL 大门”的用户管理模块,另一个就是负责监控来访者每一个动作的访问控制模块。用户管理模块决定用户是否能登陆数据库,而访问控制模块则决定在数据库中具体可以做的事。下面是一张 MySQL 中实现访问控制的简单流程图。

一文总结MySQL数据库访问控制实现原理

1. 用户管理

在 MySQL 中,用户访问控制部分的实现比较简单,所有授权用户都存放在一个系统表中:mysql.user,当然这个表不仅仅存放了授权用户的基本信息,还存放有部分细化的权限信息。用户管理模块需要使用的信息很少,主要就是Host,User,Password 这三项,都在 mysql.user 表中

一文总结MySQL数据库访问控制实现原理

2. 访问控制

当客户端连接通过用户管理模块的验证,可连接上 MySQL Server 之后,就会发送各种Query 和 Command 给 MySQL Server,以实现客户端应用的各种功能。当 MySQL 接收到客户端的请求之后,访问控制模块是需要校验该用户是否满足提交的请求所需要的权限。权限校验过程是从最大范围的权限往最小范围的权限开始依次校验所涉及到的每个对象的每个权限。

在验证所有所需权限的时候,MySQL 首先会查找存储在内存结构中的权限数据,首先查找 Global Level 权限,如果所需权限在 Global Level 都有定义(GRANT 或者 REVOKE),则完成权限校验(通过或者拒绝),如果没有找到所有权限的定义,则会继续往后查找Database Level 权限,进行 Global Level 未定义的所需权限的校验,如果仍然没有能够找到所有所需权限的定义,MySQL 会继续往更小范围的权限定义域查找,也就是 Table Level,最后则是 Column Level 或者 Routine Level。

3. 五个授权表

mysql数据库包含五个主要的授权表。

  • user表:包含用户帐户和全局权限列。MySQL使用user表来接受或拒绝来自主机的连接。 在user表中授予的权限对MySQL服务器上的所有数据库都有效。
  • db表:包含数据库级权限。MySQL使用数据库表来确定用户可以访问哪个数据库以及哪个主机。在db表中的数据库级授予的特权适用于数据库,所有对象属于该数据库,例如表,触发器,视图,存储过程等。
  • table_priv和columns_priv表:包含表级和列级权限。 在table_priv表中授予的权限适用于表及其列,而在columns_priv表中授予的权限仅适用于表的特定列。
  • procs_priv表:包含存储函数和存储过程的权限。

4. 参考访问授权策略

这里附一份我平时做mysql数据库授权的策略,仅供参考。

  1. //针对root账号 
  2. set global validate_password_policy=0; --设置判断密码的标准基于密码的长度(validate_password_length) 
  3. grant all privilges on *.* to root@'localhost' identified by 'password'; 
  4. grant all privilges on *.* to root@'%' identified by 'password'; --根据具体情况决定是否开启 
  5.  
  6. //针对日常运维账号 
  7. grant select, insert, update, delete on database_name.* to hwb@'%' identified by 'password'; 
  8. grant create,alter,drop,references on database_name.* to hwb@'%';  
  9. grant create temporary tables on database_name.* to hwb@'%';  
  10. grant index on database_name.* to hwb@'%';  
  11. grant create view on database_name.* to hwb@'%';  
  12. grant show view on database_name.* to hwb@'%';  
  13. grant create routine on database_name.* to hwb@'%'; -- 查看存储过程、函数状态  
  14. grant alter routine on database_name.* to hwb@'%'; --删除存储过程、函数 
  15. grant execute on database_name.* to hwb@'%'; 
  16. grant all privileges on mysql.* to hwb@'%' identified by 'password'; --不增加不能对其他用户的函数或存储过程做操作 
  17.  
  18. //针对应用连接账号 
  19. grant all privileges on database_name.* to hwb2@'应用服务器IP' identified by 'password'; 
  20. grant all privileges on mysql.* to hwb2@'应用服务器IP'; --不增加无法对其他用户的函数或存储过程做操作 
  21.  
  22. //针对只读账号(导出数据库权限) 
  23. grant select on database_name.* to hwbread@'%' identified by 'hwbread123'; 
  24. grant select on mysql.* to hwbread@'%'; 
  25. grant show view on database_name.* to hwbread@'%'; 
  26. grant file on *.* to hwbread@'%'; --if database_name.* will ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES 
责任编辑:赵宁宁 来源: 今日头条
MySQL数据库访问控制
相关推荐
一文总结MySQL数据库事件--定时任务实现方式
由于最近在做某些日志表的清理工作,会用到定时任务,所以这里也简单介绍一下mysql如何用事件来实现定时任务。

2019-12-25 15:10:00

MySQL事件数据库
一文了解 Hbase 列式数据库
HBase是GoogleBigtable的开源实现,不同之处在于:GoogleBigtable使用GFS作为其文件存储系统,HBase利用HadoopHDFS作为其文件存储系统;GoogleBigtable利用Chubby作为协同服务,HBASE利用Zookeeper作为协同服务。

2022-07-28 09:02:41

文件存储系统
一文教你学会用Zabbix监控MySQL数据库
MySQL相比于PG和MSSQL监控难度最小,因为比较成熟,而且使用广泛,自然监控手段就没那么复杂,当然因为是基础篇,所以才说难度较低,监控的指标依照官方模板,对于初学者来说足够使用了。如果有深入的监控需求,那就需要和业务方沟通,根据监控的范围来制作自定义指标了。

2020-12-22 10:02:53

ZabbixMySQL数据库
一文讲透数据库,以后别说你不懂数据库
“数据分析需要懂数据库的知识吗?”李老头最近经常听到这样的问题,很多新人都觉得如果自己只做业务,不走技术线,是不是就可以不用学习数据库了?是不是面试的时候就不需要准备了?

2020-07-16 07:30:15

数据库SQL技术
一文看懂MySQL数据库LnnoDB崩溃恢复机制
数据库系统与文件系统很大的区别在于数据库能保证操作的原子性,一个操作要么不做要么都做,即使在数据库宕机的情况下,也不会出现操作一半的情况,这个就需要数据库的日志和一套完善的崩溃恢复机制来保证。下面简单介绍一下InnoDB的崩溃恢复流程。

2019-09-11 09:37:17

数据库MySQL系统
一文带你全面理解向量数据库
我经常(已经)遇到的一个问题是:我们不能只使用NumPy数组来存储嵌入吗?——当然,如果你没有很多嵌入,或者你只是在做一个有趣的爱好项目,你可以这样做。但正如你已经猜到的,当你有很多嵌入时,向量数据库会明显更快,而且你不必把所有东西都保存在内存中。

2023-07-17 10:45:03

向量数据库NumPy
一文快速搞懂MySQL InnoDB事务ACID实现原理
说到数据库事务,想到的就是要么都做修改,要么都不做,或者是ACID的概念。其实事务的本质就是锁、并发和重做日志的结合体。

2019-04-03 09:27:01

MySQLInnoDB务ACID
一文看懂MySQL如何查看数据库表容量大小
今天主要介绍MySQL查看数据库表容量大小的几个方法,仅供参考。下面,我们一起来看。

2019-09-17 08:23:35

MySQL数据库容量
在.NET访问MySQL数据库经验总结
今天文章主要介绍的是如何在.NET访问MySQL数据库经验总结,我们主要是以实例的方式来引出其具体的内容,以下就是文章的主要内容。

2010-05-24 17:42:44

MySQL数据库
一文搞懂Redis键值对存储数据库
Redis(RemoteDictionaryServer,远程字典服务器)是一个开源的、高性能的键值对(keyvalue)存储系统,是跨平台的非关系型数据库。

2023-11-29 16:16:14

Redis数据库
一文聊聊如何快速监控 Oracle 数据库
Cprobe是一个探针采集器,支持常见数据库、中间件的采集,比如MySQL、Redis、MongoDB、Oracle、Kafka、ElasticSearch等。

2023-12-26 07:40:34

一文解读《数据库政府采购需求标准》
对广大数据库厂商而言,无疑具备非常好的指导意义。下文将从政策本身及对应技术能力角度,谈谈个人对这一标准的解读。

2024-01-11 07:32:00

一文总结Kubernetes核心组件-控制
本文主要介绍了Kubernetes控制器的原理、类型、使用,控制器的核心功能:驱动对象的当前状态逼近提交的期望状态。

2023-09-07 10:38:08

Kubernetes控制器
MySQL数据库控制权,甲骨控制
此文章主要讲述的是为什么说甲骨文收购Sun之后,甲骨文也将会获得MySQL数据库的控制权,以下就是文章的具体内容分析。

2010-05-26 09:33:29

一文理解访问控制漏洞和提权
一些网站根据用户的地理为位置对资源实施访问控制。但是这些访问控制通常可以通过使用网络代理、VPN或操控客户端地理定位机制来绕过。

2023-03-30 09:53:57

一文详解Mongodb数据库,适合大数据存储
在网络交互的过程中,不仅会有数据的传递,也会有新数据的产生。比如我们目前的网站登录注册项目,在用户注册后,我们只是把数据添加到了服务器的内存中,但是程序一旦关闭或者重启,内存中的数据就消失了,服务器会恢复到最初的样子,那注册的用户数据也就没有了。这对于网站来讲,是不可接受的。那么如何解决这个问题呢?

2023-02-13 23:39:48

数据库Mongodb存储
一文带你搞懂爬虫储存数据库MongoDB
MongoDB是非关系型数据库的代表,一款基于键值储存的高性能数据库。常作为爬虫储存数据库。MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。

2021-07-21 09:24:25

MongoDB数据库 Python
一文看懂SQL Server数据库触发器概念、原理及案例
触发器(trigger)是SQLserver提供给程序员和数据分析员来保证数据完整性的一种方法,它是与表事件相关的特殊的存储过程,它的执行不是由程序调用,也不是手工启动,而是由事件来触发,当对一个表进行操作(insert,delete,update)时就会激活它执行。

2019-12-02 11:13:38

数据库触发器SQLServer
一文说尽MySQL事务及ACID特性的实现原理
事务是MySQL等关系型数据库区别于NoSQL的重要方面,是保证数据一致性的重要手段。

2019-01-29 09:36:10

MySQLACID特性
一文读懂MySQL分库分表的实现原理和策略
在大型的数据应用场景下,MySQL作为一个关系型数据库管理系统(RDBMS)是非常受欢迎的。然而,MySQL在处理大量数据时会遇到瓶颈,为了解决这个问题,分库分表是一种有效的解决方案。

2023-02-24 15:24:14

MySQL数据库管理分库分表
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服