前言： 

前面幾篇文章為大家介紹了各種SQL語法的使用，本篇文章將主要介紹MySQL使用者及許可權相關知識，如果你不是DBA的話可能平時用的不多，但是瞭解下也是好處多多。

1.建立使用者

官方推薦建立語法為：

CREATE USER [IF NOT EXISTS]
    user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH resource_option [resource_option] ...]
    [password_option | lock_option] ...

user:
    (see Section 6.2.4, “Specifying Account Names”)

auth_option: {
    IDENTIFIED BY 'auth_string'
  | IDENTIFIED WITH auth_plugin
  | IDENTIFIED WITH auth_plugin BY 'auth_string'
  | IDENTIFIED WITH auth_plugin AS 'auth_string'
  | IDENTIFIED BY PASSWORD 'auth_string'
}

tls_option: {
   SSL
 | X509
 | CIPHER 'cipher'
 | ISSUER 'issuer'
 | SUBJECT 'subject'
}

resource_option: {
    MAX_QUERIES_PER_HOUR count
  | MAX_UPDATES_PER_HOUR count
  | MAX_CONNECTIONS_PER_HOUR count
  | MAX_USER_CONNECTIONS count
}

password_option: {
    PASSWORD EXPIRE
  | PASSWORD EXPIRE DEFAULT
  | PASSWORD EXPIRE NEVER
  | PASSWORD EXPIRE INTERVAL N DAY
}

lock_option: {
    ACCOUNT LOCK
  | ACCOUNT UNLOCK
}
 

通常我們常用的建立語法為：

CREATE USER <使用者名稱> [ IDENTIFIED ] BY [ PASSWORD ] <口令>

語法說明如下：
1) <使用者名稱>
指定建立使用者賬號，格式為 'user_name'@'host_name'。這裡user_name是使用者名稱，host_name為主機名，即使用者連線 MySQL 時所在主機的名字。若在建立的過程中，只給出了賬戶的使用者名稱，而沒指定主機名，則主機名預設為“%”，表示一組主機。
2) PASSWORD
可選項，用於指定雜湊口令，即若使用明文設定口令，則需忽略PASSWORD關鍵字；若不想以明文設定口令，且知道 PASSWORD() 函式返回給密碼的雜湊值，則可以在口令設定語句中指定此雜湊值，但需要加上關鍵字PASSWORD

使用 CREATE USER 語句應該注意以下幾點：

• 如果使用 CREATE USER 語句時沒有為使用者指定口令，那麼 MySQL 允許該使用者可以不使用口令登入系統，然而從安全的角度而言，不推薦這種做法。
• 使用 CREATE USER 語句必須擁有 MySQL 中 mysql 資料庫的 INSERT 許可權或全域性 CREATE USER 許可權。
• 使用 CREATE USER 語句建立一個使用者賬號後，會在系統自身的 MySQL 資料庫的 user 表中新增一條新記錄。若建立的賬戶已經存在，則語句執行時會出現錯誤。
• 新建立的使用者擁有的許可權很少。他們可以登入 MySQL，只允許進行不需要許可權的操作，如使用 SHOW 語句查詢所有儲存引擎和字符集的列表等。
• 如果兩個使用者具有相同的使用者名稱和不同的主機名，MySQL 會將他們視為不同的使用者，並允許為這兩個使用者分配不同的許可權集合。

示例：

#注意：test_user@'%' 和 test_user@'localhost' 是兩個不同的使用者
CREATE USER 'test_user'@'%' identified by '123456';
CREATE USER 'test_user'@'localhost' identified by '123456789';

2.更改使用者

更改使用者資訊主要包括重新命名，改密碼，鎖定或解鎖使用者。下面將通過案例為大家展示這些用法：

#重新命名使用者
RENAME USER 'test_user'@'%' to 'test'@'%';

#修改密碼
ALTER USER 'test'@'%' identified by '123456789';

#鎖定或解鎖使用者
ALTER USER 'test'@'%' ACCOUNT LOCK;
ALTER USER 'test'@'%' ACCOUNT UNLOCK;

3.刪除使用者

MySQL 資料庫中可以使用 DROP USER 語句來刪除一個或多個使用者賬號以及相關的許可權。
官方推薦語法格式：

DROP USER [IF EXISTS] user [, user] ...

使用 DROP USER 語句應該注意以下幾點：

• DROP USER 語句可用於刪除一個或多個 MySQL 賬戶，並撤銷其原有許可權。
• 使用 DROP USER 語句必須擁有 MySQL 中的 mysql 資料庫的 DELETE 許可權或全域性 CREATE USER 許可權。
• 在 DROP USER 語句的使用中，若沒有明確地給出賬戶的主機名，則該主機名預設為“%”。

4.使用者授權

當成功建立使用者後，還不能執行任何操作，需要為該使用者分配適當的訪問許可權。可以使用 SHOW GRANT FOR 語句來查詢使用者的許可權。

注意：新建立的使用者只有登入 MySQL 伺服器的許可權，沒有任何其他許可權，不能進行其他操作。
USAGE ON . 表示該使用者對任何資料庫和任何表都沒有許可權。

對於新建的 MySQL 使用者，必須給它授權，可以用 GRANT 語句來實現對新建使用者的授權。官方推薦語法格式：

GRANT
    priv_type [(column_list)]
      [, priv_type [(column_list)]] ...
    ON [object_type] priv_level
    TO user [auth_option] [, user [auth_option]] ...
    [REQUIRE {NONE | tls_option [[AND] tls_option] ...}]
    [WITH {GRANT OPTION | resource_option} ...]

GRANT PROXY ON user
    TO user [, user] ...
    [WITH GRANT OPTION]

object_type: {
    TABLE
  | FUNCTION
  | PROCEDURE
}

priv_level: {
    *
  | *.*
  | db_name.*
  | db_name.tbl_name
  | tbl_name
  | db_name.routine_name
}

user:
    (see Section 6.2.4, “Specifying Account Names”)

auth_option: {
    IDENTIFIED BY 'auth_string'
  | IDENTIFIED WITH auth_plugin
  | IDENTIFIED WITH auth_plugin BY 'auth_string'
  | IDENTIFIED WITH auth_plugin AS 'auth_string'
  | IDENTIFIED BY PASSWORD 'auth_string'
}

tls_option: {
    SSL
  | X509
  | CIPHER 'cipher'
  | ISSUER 'issuer'
  | SUBJECT 'subject'
}

resource_option: {
  | MAX_QUERIES_PER_HOUR count
  | MAX_UPDATES_PER_HOUR count
  | MAX_CONNECTIONS_PER_HOUR count
  | MAX_USER_CONNECTIONS count
}

首先大家要知道，許可權是分級別的。可以授予的許可權有如下幾組：

• 列級別，和表中的一個具體列相關。例如，可以使用 UPDATE 語句更新表 students 中 student_name 列的值的許可權。
• 表級別，和一個具體表中的所有資料相關。例如，可以使用 SELECT 語句查詢表 students 的所有資料的許可權。
• 資料庫級別，和一個具體的資料庫中的所有表相關。例如，可以在已有的資料庫 mytest 中建立新表的許可權。
• 全域性，和 MySQL 中所有的資料庫相關。例如，可以刪除已有的資料庫或者建立一個新的資料庫的許可權。

下表是所有可授予的許可權及其意義：

其實grant語句可以直接建立使用者並授權，這裡建議大家先用create user語句建立好使用者之後再單獨進行授權。下面我將用示例為大家展示如何授權：

#全域性許可權
GRANT super,select on *.* to 'test_user'@'%';

#庫許可權
GRANT select,insert,update,delete,create,alter,execute on `testdb`.* to 'test_user'@'%';

#表許可權
GRANT select,insert on `testdb`.tb to 'test_user'@'%';

#列許可權
GRANT select (col1), insert (col1, col2) ON `testdb`.mytbl to 'test_user'@'%';

5.回收許可權

在MySQL中，可以使用 REVOKE 語句回收一個使用者的許可權，此使用者不會被刪除。

REVOKE
    priv_type [(column_list)]
      [, priv_type [(column_list)]] ...
    ON [object_type] priv_level
    FROM user [, user] ...

REVOKE ALL [PRIVILEGES], GRANT OPTION
    FROM user [, user] ...

語法說明如下：

• REVOKE 語法和 GRANT 語句的語法格式相似，但具有相反的效果。
• 第一種語法格式用於回收某些特定的許可權。
• 第二種語法格式用於回收特定使用者的所有許可權。
• 要使用 REVOKE 語句，必須擁有 MySQL 資料庫的全域性 CREATE USER 許可權或 UPDATE 許可權。

一般情況下我們先會使用show grants語法查詢該使用者的許可權，如果發現許可權過大，會用revoke語法回收許可權。示例如下：

#檢視使用者許可權
mysql> show grants for 'test_user'@'%';
+-----------------------------------------------------------------------------------------------------+
| Grants for test_user@%                                                                              |
+-----------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'test_user'@'%'                                                               |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, ALTER, EXECUTE ON `testdb`.* TO 'test_user'@'%' |
+-----------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

#發現許可權過大，想回收drop，alter許可權 則可以這樣回收：
REVOKE drop,alter on `testdb`.* from 'test_user'@'%';

總結： 

本篇文章為大家介紹瞭如何建立，更改，刪除使用者以及如何授於和回收許可權。希望大家能對MySQL中使用者管理這一塊能有更深的認識。入門MySQL系列文章寫了好幾篇了，一開始並沒有想好寫多少篇的準備，可能邏輯也不太合理，還是感謝大家的閱讀。最後一篇打算寫備份與恢復相關內容，大家期待一下哦