SQL权限管理遵循最小权限原则,需按场景创建用户、限制登录源、细粒度授权、角色化管理及定期审计。
SQL权限管理的核心是“最小权限原则”——只给用户完成任务所必需的权限,不多不少。直接用GRANT ALL或长期保留root权限操作,是生产环境最常见也最危险的疏忽。
创建用户并限制登录来源
新建用户时就应明确其使用场景,避免泛用'%'通配符开放所有IP访问。
- 本地管理账号(如运维):
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'strong_pass123'; - 应用连接账号(如Java服务):
CREATE USER 'app_user'@'192.168.10.%' IDENTIFIED BY 'app_secret456'; - 禁止匿名用户:
DROP USER ''@'localhost';(MySQL默认可能有空用户名)
按需授权:表级、列级与动态权限控制
权限粒度越细,风险越可控。优先用表级授权,必要时再细化到列或使用行级策略(需结合视图或条件注释)。
- 只读报表账号:
GRANT SELECT ON sales_db.reports TO 'reporter'@'%'; - 写入但不可删数据:
GRANT INSERT, UPDATE ON app_db.logs TO 'logger'@'10.0.2.%'; - 敏感字段隔离(如手机号):
GRANT SELECT(id, name, created_at) ON users TO 'frontend'@'%'; - 回收权限不手软:
REVOKE DELETE ON *.* FROM 'dev_user'@'%';
角色化管理简化权限维护
MySQL 8.0+ 支持角色(ROLE),适合团队协作场景。把权限打包成角色,再分配给用户,后续调整只需改角色,不用逐个用户操作。
动易网上商城管理系统 2006 Sp6 Build 1120 普及版
下载
将产品展示、购物管理、资金管理等功能相结合,并提供了简易的操作、丰富的功能和完善的权限管理,为用户提供了一个低成本、高效率的网上商城建设方案包含PowerEasy CMS普及版,主要功能模块:文章频道、下载频道、图片频道、留言频道、采集管理、商城模块、商城日常操作模块500个订单限制(超出限制后只能查看和删除,不能进行其他处理) 无订单处理权限分配功能(只有超级管理员才能处理订单)
- 创建角色:
CREATE ROLE 'analyst_role', 'etl_role'; - 赋予权限:
GRANT SELECT, SHOW VIEW ON dw.* TO 'analyst_role'; - 分配角色:
GRANT 'analyst_role' TO 'alice'@'%'; - 激活角色(会话级):
SET ROLE 'analyst_role';或设为默认:SET DEFAULT ROLE 'analyst_role' TO 'alice'@'%';
定期审计与权限清理
权限不是一劳永逸的配置。建议每季度执行一次检查,重点看三类风险点。
- 查闲置账号:
SELECT user, host, account_locked, password_last_changed FROM mysql.user WHERE password_last_changed - 查高危权限:
SELECT * FROM mysql.role_edges WHERE role IN ('root', 'dba');(或查SELECT_priv='Y'等全局权限) - 查未授权库:
SELECT DISTINCT table_schema FROM information_schema.tables WHERE table_schema NOT IN ('information_schema','mysql','performance_schema','sys');确保每个业务库都有明确归属
基本上就这些。权限管理不复杂,但容易忽略细节。关键不是“能不能做”,而是“该不该做”和“谁来做”。每次授权前多问一句:这个权限今天必要吗?下周还必要吗?
