MySQL8.0新增了role功能: role可以看做一个权限的集合,这个集合有一个统一的名字role名。可以给多个账户统一的某个role的权限权限的修改直接通过修改role来实现,不需要每个账户一个
MySQL8.0新增了role功能:
role可以看做一个权限的集合,这个集合有一个统一的名字role名。可以给多个账户统一的某个role的权限权限的修改直接通过修改role来实现,不需要每个账户一个一个的grant权限,方便运维和管理。role可以创建、删除、修改并作用到他管理的账户上。(和Oracle数据库中的角色差不多)
官方文档:
https://dev.mysql.com/doc/refman/8.0/en/roles.html
官方给的案例:
--创建3个角色:
mysql> CREATE ROLE 'app_developer', 'app_read', 'app_write';
--给每个角色授权:
mysql> GRANT ALL ON app_db.* TO 'app_developer'; --:app_db给这个角色所有权限
mysql> GRANT SELECT ON app_db.* TO 'app_read'; --:app_db给这个角色只读权限
mysql> GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write'; --:app_db给这个角色写权限
--给每个用户授予不同的角色:
GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';
--当然,还可以针对某个表的权限 做角色,如:
mysql> grant select on testdb.emp to app_read;
2、强制定义角色:mandatory_roles
通过在mandatory_roles系统变量的值做设置,可以指定角色为强制性的。服务器将强制角色视为授予所有用户,因此不需要显式地授予任何帐户。
在配置文件中,添加:
[mysqld]
mandatory_roles='role1,role2@localhost,r3@%.example.com'
或者,在命令行中执行:
SET PERSIST mandatory_roles = 'role1,role2@localhost,r3@%.example.com';
例子:
①:首先建一个角色并授权:
mysql> CREATE ROLE app_developer;
mysql> GRANT ALL ON test.* TO app_developer;
--然后我们把这个参数设成这个角色:(意思是:凡是创建的用户指定了@'%'用户可以在任意客户端登录数据库,默认创建用户会拥有app_developer角色)
mysql> SET PERSIST mandatory_roles = 'app_developer@%';
--然后我们创建一个用户 并不赋权
mysql> create user test_user@'%' identified by 'test_user';
mysql> FLUSH PRIVILEGES;
--使用新用户登录数据库,然后可以直接set这个role
mysql> set role app_developer;
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| test |
+--------------------+
2 rows in set (0.00 sec)
注意:当一个角色被set了之后是不可以被删除的
3、检查用户的权限或角色,如:
mysql> SHOW GRANTS FOR zhang@'%';
+-----------------------------------+
| Grants for zhang@% |
+-----------------------------------+
| GRANT USAGE ON *.* TO `zhang`@`%` |
+-----------------------------------+
1 row in set (0.00 sec)
--扩展显示,把授予角色的内容也显示出来:
mysql> SHOW GRANTS FOR 'zhang'@'%' USING 'app_developer';
+-------------------------------------------------+
| Grants for zhang@% |
+-------------------------------------------------+
| GRANT USAGE ON *.* TO `zhang`@`%` |
| GRANT ALL PRIVILEGES ON `test`.* TO `zhang`@`%` |
+-------------------------------------------------+
2 rows in set (0.00 sec)
4、移除角色:
REVOKE role FROM user;
或者,将角色的权限移除:
REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';
5、删除角色
DROP ROLE 'app_read', 'app_write';
