如何设置mysql的权限为所有的用户权限

这个设置只要进入 Linux 系统的超级用户状态 # 下面，即可以使用 chmod 命令对 MySQL 数据库系统下面的所有文件进行权限设置。具体的就看你想设置成什么权限，你就可以设置成什么权限了。chmod 的基本用法如下：

“真诚服务，让网络创造价值”是我们的服务理念，创新互联团队十余年如一日始终坚持在网站建设领域,为客户提供优质服。不管你处于什么行业，助你轻松跨入“互联网+”时代，PC网站+手机网站+公众号+微信小程序定制开发。

#chmod 750 myfile cr

该命令对 myfile 这个文件设置成：文件所有者（头 3 位）具有：可读（4）、可写（2）、可执行（1）权限；同组用户（中间 3 位）具有：可读（4）、可执行（1）权限；其他用户（后 3 位）：不可读（4）、不可写（2）、不可执行（1）权限。

关于 chmod 更多的参数，你可以使用 man chmod 命令进行查看。

MySQL 数据库，如何分角色权限建表？

角色一直存在各个数据库中，比如 SQL Server、Oracle 等，MySQL 自从版本 8.0 release，引入了角色这个概念。

角色的概念

角色就是一组针对各种数据库权限的集合。比如，把一个角色分配给一个用户，那这个用户就拥有了这个角色包含的所有权限。一个角色可以分配给多个用户，另外一个用户也可以拥有多个角色，两者是多对多的关系。不过 MySQL 角色目前还没有提供类似于其他数据库的系统预分配的角色。比如某些数据库的 db_owner、 db_datareader 、 db_datawriter 等等。那接下来我分几个方面，来示例说明角色的使用以及相关注意事项。

示例 1：一个完整角色的授予步骤

用管理员创建三个角色：db_owner, db_datareader, db_datawriter

mysql create role db_owner,db_datareader,db_datawriter;

Query OK, 0 rows affected (0.02 sec)

mysql grant all on ytt_new.* to db_owner;

Query OK, 0 rows affected (0.01 sec)

mysql grant select on ytt_new.* to db_datareader;

Query OK, 0 rows affected (0.01 sec)

mysql grant insert,delete,update on ytt_new.* to db_datawriter;

Query OK, 0 rows affected (0.01 sec)

创建三个普通用户，分别为 ytt1、ytt2、ytt3。mysql create user ytt1 identified by 'ytt',ytt2 identified by 'ytt',ytt3 identified by 'ytt';Query OK, 0 rows affected (0.01 sec)

分别授予这三个用户对应的角色。

-- 授权角色

mysql grant db_owner to ytt1;

Query OK, 0 rows affected (0.02 sec)

-- 激活角色

mysql set default role db_owner to ytt1;

Query OK, 0 rows affected (0.00 sec)

mysql grant db_datareader to ytt2;

Query OK, 0 rows affected (0.01 sec)

mysql set default role db_datareader to ytt2;

Query OK, 0 rows affected (0.01 sec)

mysql grant db_datawriter to ytt3;

Query OK, 0 rows affected (0.01 sec)

mysql set default role db_datawriter to ytt3;

Query OK, 0 rows affected (0.01 sec)

以上是角色授予的一套完整步骤。那上面有点非常规的地方是激活角色这个步骤。MySQL 角色在创建之初默认是没有激活的，也就是说创建角色，并且给一个用户特定的角色，这个用户其实并不能直接使用这个角色，除非激活了才可以。

示例 2：一个用户可以拥有多个角色

-- 用管理员登录并且创建用户

mysql create user ytt4 identified by 'ytt';

Query OK, 0 rows affected (0.00 sec)

-- 把之前的三个角色都分配给用户ytt4.

mysql grant db_owner,db_datareader,db_datawriter to ytt4;

Query OK, 0 rows affected (0.01 sec)

-- 激活用户ytt4的所有角色.

mysql set default role all to ytt4;

Query OK, 0 rows affected (0.02 sec)

-- ytt4 用户登录

root@ytt-pc:/var/lib/mysql# mysql -uytt4 -pytt -P3304 -hytt-pc

...

-- 查看当前角色列表

mysql select current_role();

+--------------------------------------------------------+

| current_role()                                         |

+--------------------------------------------------------+

| `db_datareader`@`%`,`db_datawriter`@`%`,`db_owner`@`%` |

+--------------------------------------------------------+

1 row in set (0.00 sec)

-- 简单创建一张表并且插入记录， 检索记录，完了删掉这张表

mysql use ytt_new

Database changed

mysql create table t11(id int);

Query OK, 0 rows affected (0.05 sec)

mysql insert into t11 values (1);

Query OK, 1 row affected (0.02 sec)

mysql select * from t11;

+------+

| id   |

+------+

|    1 |

+------+

1 row in set (0.00 sec)

mysql drop table t11;

Query OK, 0 rows affected (0.04 sec)

示例 3：用户在当前 session 里角色互换

其实意思是说，用户连接到 MySQL 服务器后，可以切换当前的角色列表，比如由 db_owner 切换到 db_datareader。

-- 还是之前的用户ytt4, 切换到db_datareader

mysql set role db_datareader;

Query OK, 0 rows affected (0.00 sec)

mysql select current_role();

+---------------------+

| current_role()      |

+---------------------+

| `db_datareader`@`%` |

+---------------------+

1 row in set (0.00 sec)

-- 切换后，没有权限创建表

mysql create table t11(id int);

ERROR 1142 (42000): CREATE command denied to user 'ytt4'@'ytt-pc' for table 't11'

-- 切换到 db_owner，恢复所有权限。

mysql set role db_owner;

Query OK, 0 rows affected (0.00 sec)

mysql create table t11(id int);

Query OK, 0 rows affected (0.04 sec)

示例 4：关于角色的两个参数

activate_all_roles_on_login：是否在连接 MySQL 服务时自动激活角色mandatory_roles：强制所有用户默认角色

-- 用管理员连接MySQL,

-- 设置默认激活角色

mysql set global activate_all_roles_on_login=on;

Query OK, 0 rows affected (0.00 sec)

-- 设置强制给所有用户赋予角色db_datareader

mysql set global mandatory_roles='db_datareader';

Query OK, 0 rows affected (0.00 sec)

-- 创建用户ytt7.

mysql create user ytt7;

Query OK, 0 rows affected (0.01 sec)

-- 用 ytt7登录数据库

root@ytt-pc:/var/lib/mysql# mysql -uytt7 -P3304 -hytt-pc

...

mysql show grants;

+-------------------------------------------+

| Grants for ytt7@%                         |

+-------------------------------------------+

| GRANT USAGE ON *.* TO `ytt7`@`%`          |

| GRANT SELECT ON `ytt_new`.* TO `ytt7`@`%` |

| GRANT `db_datareader`@`%` TO `ytt7`@`%`   |

+-------------------------------------------+

3 rows in set (0.00 sec)

示例 5 ：create role 和 create user 都有创建角色权限，两者有啥区别？

以下分别创建两个用户 ytt8、ytt9，一个给 create role，一个给 create user 权限。

-- 管理员登录，创建用户ytt8,ytt9.

mysql create user ytt8,ytt9;

Query OK, 0 rows affected (0.01 sec)

mysql grant create role on *.* to ytt8;

Query OK, 0 rows affected (0.02 sec)

mysql grant create user on *.* to ytt9;

Query OK, 0 rows affected (0.01 sec)

-- 用ytt8 登录，

root@ytt-pc:/var/lib/mysql# mysql -uytt8 -P3304 -hytt-pc

...

mysql create role db_test;

Query OK, 0 rows affected (0.02 sec)

-- 可以创建角色，但是不能创建用户

mysql create user ytt10;

ERROR 1227 (42000): Access denied; you need (at least one of) the CREATE USER privilege(s) for this operation

mysql \q

Bye

-- 用ytt9 登录

root@ytt-pc:/var/lib/mysql# mysql -uytt9 -P3304 -hytt-pc

...

-- 角色和用户都能创建

mysql create role db_test2;

Query OK, 0 rows affected (0.02 sec)

mysql create user ytt10;

Query OK, 0 rows affected (0.01 sec)

mysql \q

Bye

那这里其实看到 create user 包含了 create role，create user 即可以创建用户，也可以创建角色。

示例 6：MySQL 用户也可以当角色来用

-- 用管理员登录，创建用户ytt11,ytt12.

mysql create user ytt11,ytt12;

Query OK, 0 rows affected (0.01 sec)

mysql grant select on ytt_new.* to ytt11;

Query OK, 0 rows affected (0.01 sec)

-- 把ytt11普通用户的权限授予给ytt12

mysql grant ytt11 to ytt12;

Query OK, 0 rows affected (0.01 sec)

-- 来查看 ytt12的权限，可以看到拥有了ytt11的权限

mysql show grants for ytt12;

+-----------------------------------+

| Grants for ytt12@%                |

+-----------------------------------+

| GRANT USAGE ON *.* TO `ytt12`@`%` |

| GRANT `ytt11`@`%` TO `ytt12`@`%`  |

+-----------------------------------+

2 rows in set (0.00 sec)

-- 在细化点，看看ytt12拥有哪些具体的权限

mysql show grants for ytt12 using ytt11;

+--------------------------------------------+

| Grants for ytt12@%                         |

+--------------------------------------------+

| GRANT USAGE ON *.* TO `ytt12`@`%`          |

| GRANT SELECT ON `ytt_new`.* TO `ytt12`@`%` |

| GRANT `ytt11`@`%` TO `ytt12`@`%`           |

+--------------------------------------------+

3 rows in set (0.00 sec)

示例 7：角色的撤销

角色撤销和之前权限撤销类似。要么 revoke，要么删除角色，那这个角色会从所有拥有它的用户上移除。

-- 用管理员登录，移除ytt2的角色

mysql revoke db_datareader from ytt2;

Query OK, 0 rows affected (0.01 sec)

-- 删除所有角色

mysql drop role db_owner,db_datareader,db_datawriter;

Query OK, 0 rows affected (0.01 sec)

-- 对应的角色也从ytt1上移除掉了

mysql show grants for ytt1;

+----------------------------------+

| Grants for ytt1@%                |

+----------------------------------+

| GRANT USAGE ON *.* TO `ytt1`@`%` |

+----------------------------------+

1 row in set (0.00 sec)

至此，我分了 7 个目录说明了角色在各个方面的使用以及注意事项，希望对大家有帮助。

Mysql RBAC权限控制数据库设计（简洁版：4张表）

RBAC 是基于角色的访问控制（ Role-Based Access Control ）在 RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便。

在RBAC中有3个基础组成标，分别是： 用户 （登录账号）、 角色 和 权限 （菜单节点），加一个 角色权限关系表

它们之间的关系如下图所示：

mysql 权限设置

背景

在了解动态权限之前，我们先回顾下 MySQL 的权限列表。

权限列表大体分为服务级别和表级别，列级别以及大而广的角色（也是MySQL 8.0 新增）存储程序等权限。我们看到有一个特殊的 SUPER 权限，可以做好多个操作。比如 SET 变量，在从机重新指定相关主机信息以及清理二进制日志等。那这里可以看到，SUPER 有点太过强大，导致了仅仅想实现子权限变得十分困难，比如用户只能 SET 变量，其他的都不想要。那么 MySQL 8.0 之前没法实现，权限的细分不够明确，容易让非法用户钻空子。

那么 MySQL 8.0 把权限细分为静态权限和动态权限，下面我画了两张详细的区分图，图 1 为静态权限，图 2 为动态权限。

图 1- MySQL 静态权限的权限管理图

图 2-动态权限图

那我们看到其实动态权限就是对 SUPER 权限的细分。 SUPER 权限在未来将会被废弃掉。

我们来看个简单的例子，

比如， 用户 'ytt2@localhost', 有 SUPER 权限。

mysql show grants for ytt2@'localhost';+---------------------------------------------------------------------------------+| Grants for ytt2@localhost                                                       |+---------------------------------------------------------------------------------+| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER, SUPER ON *.* TO ytt2@localhost |+---------------------------------------------------------------------------------+1 row in set (0.00 sec)

但是现在我只想这个用户有 SUPER 的子集，设置变量的权限。那么单独给这个用户赋予两个能设置系统变量的动态权限，完了把 SUPER 给拿掉。

mysql grant session_variables_admin,system_variables_admin on *.* to ytt2@'localhost';Query OK, 0 rows affected (0.03 sec)mysql revoke super on *.* from ytt2@'localhost';Query OK, 0 rows affected, 1 warning (0.02 sec)

我们看到这个 WARNINGS 提示 SUPER 已经废弃了。

mysql show warnings;

+---------+------+----------------------------------------------+

| Level   | Code | Message                                      |

+---------+------+----------------------------------------------+

| Warning | 1287 | The SUPER privilege identifier is deprecated |

+---------+------+----------------------------------------------+

1 row in set (0.00 sec)`

mysql show grants for ytt2@'localhost';

+-----------------------------------------------------------------------------------+

| Grants for ytt2@localhost                                                         |

+-----------------------------------------------------------------------------------+

| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER ON *.* TO ytt2@localhost          |

| GRANT SESSION_VARIABLES_ADMIN,SYSTEM_VARIABLES_ADMIN ON *.* TO ytt2@localhost |

+-----------------------------------------------------------------------------------+

2 rows in set (0.00 sec)

当然图 2 上还有其它的动态权限，这里就不做特别说明了。

简述构成mysql权限控制步骤

1、mysql的权限是，从某处来的用户对某对象的权限。

2、mysql的权限采用白名单策略，指定用户能做什么，没有指定的都不能做。

3、权限校验分成两个步骤：

a、能不能连接，检查从哪里来，用户名和密码，常见错误 ERROR 1045 (28000): Access denied for user ...

b、能不能执行操作，粒度从粗到细，分别为：mysql.user, mysql.db, msql.tables_priv, mysql.columns_priv, mysql.proc_priv。

需要注意的是，这些表各有分工，但是在权限分配上有一定的重合。

可以这样理解，mysql 先检查对大范围是否有权限，如果没有再到小范围里去检查。比如：先检查对这个数据库是否有select权限，如果有，就允许执行。如果没有，再检查对表是否有select权限，一直到最细粒度，也没有权限，就拒绝执行。举例来说：要检查张三能否控制一个团，我只要先检查张三能否控制一个军，如果可以，就是有权限，如果不行，再检查张三能否控制一个师。因此，粒度控制越细，权限校验的步骤越多，性能越差，需要考虑。

4、mysql服务启动之后，就会把权限有关的表的数据读到内存中，对权限做的修改，是否会即时生效？要看情况，手动修改表数据，需要 flush privileges

5、创建用户 create user，修改密码 set password，注意 alter user只是设置密码过期，可以登录，但是不能执行任何操作，必须从新设置密码，删除用户 drop user

6、host+user 标示唯一的一个用户，也就是说都叫张三，从不同地方来的张三是两个用户，他们有不同的权限。

7、那么问题来了，表中有两条记录：'root'@'192.168.1.101' 和 'root'@'%', 现在root来登录，mysql 怎么匹配呢？认为是哪个root呢？

mysql 对用户进行了排序，先对host排序，再对user排序，小范围在前面，大范围在后面，从上往下匹配。

8、权限授予，grant 权限 on 对象 to 用户@哪里来 identified by 密码

9、收回权限，revoke 权限 on 对象 from 用户@哪里来，注意revoke 必须要与grant 对应，也就是说，只能收回授予的权限。

10、那么问题来了，我授予张三 select的权限，现在revoke all privileges 也不能收回张三select的权限，因为没有对张三 grant all privileges，怎么解决这个问题？

使用 revoke all privileges，grant option from user

11、权限级别：从某台主机来的某个用户，对某个数据库中某个表的某些列的某部分记录，是否有权限。

12、全局：对象是mysql服务的所有数据库，包含服务级的管理权限，比如showdown

13、数据库：对象是某一个数据库

14、表：对象是数据库中某个表

15、列：对象是表中的某个列，比如：grant select (name) on xxx to xxx

16、程序：对象是存储过程和方法。

17、information_scheme，数据库和表是存放数据的，那么谁来存放 数据库和表这些信息呢？ information_scheme 就是记录数据库和表的，需要注意的是，infromation_scheme没有对应的物理文件，它是mysql在内存中维护的。

18、权限设定原则：

a、尽量缩小权限

b、按业务，分离用户，不同的业务对应不同的用户

c、避免权限粒度太细，因为mysql权限检查，会影响性能。

19、文件泄密，linux下mysql客户端执行的操作记录在文件 ~/.mysql_history中，输出重定向/dev/null

20、密码丢失怎么办？

a、mysql启动，增加选项重置密码

b、mysql启动，增加选项不检查权限，登陆后修改密码，退出重启启动。

mysql怎么授予创建数据库的权限

MySQL命令行能否实现新建用户呢？答案无疑是肯定的。而且在使用使用MySQL命令行新建用户后，还可以为用户授予权限。

首先要声明一下：一般情况下，修改MySQL密码，授权，是需要有mysql里的root权限的。

注：本操作是在WIN命令提示符下，phpMyAdmin同样适用。

用户：phplamp

用户数据库：phplampDB

1.MySQL命令行新建用户

//登录MYSQL

@mysql -u root -p

@密码

//创建用户

mysql insert into mysql.user(Host,User,Password) values('localhost','phplamp',password('1234'));

//刷新系统权限表

mysqlflush privileges;

这样就创建了一个名为：phplamp 密码为：1234 的用户。

//退出后登录一下

mysqlexit;

@mysql -u phplamp -p

@输入密码

mysql登录成功

2.MySQL命令行为用户授权

//登录MYSQL（有ROOT权限）。我里我以ROOT身份登录.

@mysql -u root -p

@密码

//首先为用户创建一个数据库(phplampDB)

mysqlcreate database phplampDB;

//授权phplamp用户拥有phplamp数据库的所有权限

@grant all privileges on phplampDB.* to phplamp@localhost identified by '1234'; //这里需要注意，如果发现找不到用户，需要执行命令 flush privilieges;

//刷新系统权限表

mysqlflush privileges;

mysql其它操作

//如果想指定部分权限给一用户，可以这样来写:

mysqlgrant select,update on phplampDB.* to phplamp@localhost identified by '1234';

//刷新系统权限表。

mysqlflush privileges;

mysql grant 权限1,权限2,…权限n on 数据库名称.表名称 to 用户名@用户地址 identified by ‘连接口令’;

权限1,权限2,…权限n代表select,insert,update,delete,create,drop,index,alter,grant,references,reload,shutdown,process,file等14个权限。

当权限1,权限2,…权限n被all privileges或者all代替，表示赋予用户全部权限。

当数据库名称.表名称被*.*代替，表示赋予用户操作服务器上所有数据库所有表的权限。

用户地址可以是localhost，也可以是ip地址、机器名字、域名。也可以用’%'表示从任何地址连接。

‘连接口令’不能为空，否则创建失败。

例如：

mysqlgrant select,insert,update,delete,create,drop on vtdc.employee to joe@10.163.225.87 identified by ‘123′;

给来自10.163.225.87的用户joe分配可对数据库vtdc的employee表进行select,insert,update,delete,create,drop等操作的权限，并设定口令为123。

mysqlgrant all privileges on vtdc.* to joe@10.163.225.87 identified by ‘123′;

给来自10.163.225.87的用户joe分配可对数据库vtdc所有表进行所有操作的权限，并设定口令为123。

mysqlgrant all privileges on *.* to joe@10.163.225.87 identified by ‘123′;

给来自10.163.225.87的用户joe分配可对所有数据库的所有表进行所有操作的权限，并设定口令为123。

mysqlgrant all privileges on *.* to joe@localhost identified by ‘123′;

给本机用户joe分配可对所有数据库的所有表进行所有操作的权限，并设定口令为123。