MySQL权限管理依赖mysql库5张系统表,按全局→数据库→表→列→存储过程层级生效,应使用GRANT/REVOKE而非手动改表,遵循最小权限原则,扩展需求应在应用层实现。
MySQL 用户权限管理主要依靠系统自带的权限表,不需要从零设计新表。核心是理解并正确使用 mysql 数据库中的 5 张权限表(user、db、tables_priv、columns_priv、procs_priv),配合 GRANT / REVOKE 语句操作,而非手动插入或修改权限表。
权限作用域分层控制
MySQL 权限按层级生效:全局 → 数据库 → 表 → 列 → 存储过程/函数。权限判断时,从高到低逐级匹配,满足任一层级对应权限即生效(有交集即授权,非完全覆盖)。
-
全局权限(如
SELECT,CREATE USER)存在mysql.user表,影响所有数据库 -
数据库级权限(如
CREATE,DROP)记录在mysql.db,按Host+Db+User三元组标识 -
表级/列级权限 存于
tables_priv和columns_priv,适用于精细化控制(例如只允许查某张表的几个字段)
推荐用 GRANT 语句代替直接操作权限表
手动更新 mysql 库下的权限表风险高,且不会自动刷新权限缓存;GRANT 语句会校验语法、写入对应表,并隐式执行 FLUSH PRIVILEGES(8.0+ 默认自动刷新)。
- 创建只读用户:
GRANT SELECT ON myapp.* TO 'reader'@'192.168.1.%' IDENTIFIED BY 'pwd123'; - 限制操作范围:
GRANT INSERT, UPDATE ON myapp.orders TO 'writer'@'localhost'; - 列级授权(谨慎使用):
GRANT SELECT(id, name) ON myapp.users TO 'reporter'@'%';
权限回收与最小权限原则
权限应遵循“最小够用”原则。撤销权限用 REVOKE,它比 DELETE 权限表记录更安全、可逆。
- 回收某库全部权限:
REVOKE ALL PRIVILEGES ON myapp.* FROM 'dev_user'@'%'; - 回收全局权限(如删除用户能力):
REVOKE CREATE USER ON *.* FROM 'admin'@'%'; - 彻底删除用户(含权限):
DROP USER 'old_user'@'10.0.0.%';(MySQL 5.7+ 推荐方式)
自定义权限需求不建议新建权限表
若业务需扩展角色、部门、有效期等字段,应在应用层实现权限逻辑(如用 roles、role_permissions 等业务表),MySQL 层仍只负责连接认证和基础对象访问控制。混合管理易导致权限不一致、审计困难、无法利用 MySQL 原生审计日志。
- MySQL 负责:“这个用户能否连上?能否查这张表?”
- 应用层负责:“这个用户属于哪个角色?能否看到这笔订单?是否已过期?”
- 两者边界清晰,运维和开发职责分明
