mysql中访问控制列表（ACL）与权限模型

P粉602998670

发布时间：2026-01-24 10:38:03

167人浏览过

来源于php中文网

原创

MySQL的权限存储在mysql系统数据库的user、db、tables_priv、columns_priv、procs_priv和proxies_priv表中，其中user表控制全局权限，db表控制数据库级权限，其余细化到表、列或存储过程。

mysql中访问控制列表（acl）与权限模型

MySQL 的权限存储在哪张表里

MySQL 的 ACL（Access Control List）信息全部存放在 mysql 系统数据库的几张核心表中，不是内存结构或配置文件。主要涉及：user、db、tables_priv、columns_priv、procs_priv 和 proxies_priv。

其中最常用的是：

user：控制全局级别权限（如 SELECT、CREATE USER）和连接参数（如 max_connections）
db：控制某个数据库级别的权限（如对 myapp 库的 INSERT）
tables_priv 和 columns_priv：细化到表或列的权限，实际生产中极少手动操作，多通过 GRANT 语句间接写入

直接 UPDATE 这些表不会立即生效——必须执行 FLUSH PRIVILEGES 才能重载，否则新权限不被识别。

GRANT 和 INSERT INTO mysql.user 的区别

用 GRANT 创建用户并赋权，是 MySQL 推荐且安全的方式；而直接 INSERT INTO mysql.user 是绕过校验的“硬写”，容易出错。

关键差异：

GRANT 会自动哈希密码（如果使用 IDENTIFIED BY）、检查语法、填充默认权限字段（如 ssl_type、account_locked），并隐式触发权限重载
手动 INSERT 必须自己设置 authentication_string（不是 password 字段，5.7+ 已废弃）、plugin（通常是 caching_sha2_password 或 mysql_native_password），漏掉 account_locked 或 password_expired 可能导致用户无法登录
GRANT ... ON *.* 写入 user 表；GRANT ... ON db.* 写入 db 表；但直接 INSERT 不会自动关联 db 表，权限粒度会错位

例如，以下语句看似等价，实则风险不同：

GRANT SELECT ON mydb.* TO 'appuser'@'10.0.1.%' IDENTIFIED BY 'pwd123';

INSERT INTO mysql.user (Host, User, authentication_string, plugin) VALUES ('10.0.1.%', 'appuser', PASSWORD('pwd123'), 'mysql_native_password');

后者没设 Select_priv = 'Y'，也没插入 db 表记录，用户创建成功但无任何权限。

Modoer多功能点评系统2.5 精华版 Build 20110710 UTF8

Modoer 是一款以本地分享，多功能的点评网站管理系统。采用 PHP+MYSQL 开发设计，开放全部源代码。因具有非凡的访问速度和卓越的负载能力而深受国内外朋友的喜爱，不局限于商铺类点评，真正实现了多类型的点评，可以让您的网站点评任何事与物，同时增加产品模块，也更好的网站产品在网站上展示。Modoer点评系统 2.5 Build 20110710更新列表1.同步旗舰版系统框架2.增加限制图片

下载

权限生效顺序与拒绝优先级

MySQL 权限按层级叠加，但“拒绝”（DENY）在 8.0+ 才支持，且只在企业版或 8.0.16+ 社区版通过 REVOKE + WITH ADMIN OPTION 间接体现；标准社区版没有显式 DENY 机制。

权限判断逻辑是“匹配最长 Host/User + 最高粒度”，顺序固定为：

先查 user 表（全局）→ 匹配 Host 和 User，满足则用该行权限
若全局无匹配，再查 db 表 → 要求 Host、User、Db 全部匹配
再往下是 tables_priv、columns_priv，逐级细化

注意：user 表中某权限字段为 'N'，不代表“拒绝”，只是“未授予”。MySQL 没有 deny-by-default 模式，所有未显式授予的权限默认不可用。

一个常见陷阱：user 表里 Select_priv = 'Y'，但 db 表里同用户对某库 Select_priv = 'N' —— 实际仍可查（因为全局权限覆盖库级）。只有当全局为 'N'，才继续下探。

FLUSH PRIVILEGES 什么时候必须执行

仅在**直接修改 mysql 系统表**后才需要 FLUSH PRIVILEGES；用 GRANT、CREATE USER、DROP USER 等 DDL 语句操作时，MySQL 自动重载权限缓存，无需手动刷新。

误用 FLUSH PRIVILEGES 的后果：

它强制重载全部权限数据，对高并发实例可能造成短暂锁表（尤其是 user 表）
如果此时系统表有损坏或格式错误（比如 authentication_string 值非法），会导致整个权限系统不可用，连 root 都可能无法登录
在 MySQL 8.0+，部分字段（如 password_last_changed）由内部机制维护，手动 FLUSH 可能干扰其状态

所以，除非你明确改了 mysql.user 或 mysql.db 的行，否则不要碰 FLUSH PRIVILEGES。很多线上故障就源于运维脚本里无脑加这一句。

如何配置mysql GTID_mysql GTID配置步骤

mysql连接是什么意思_mysql客户端与服务端通信

mysql如何配合Java OOP开发_mysql后端开发协作方式

mysql中事务回滚与数据一致性的保证

mysql中的数据库与表级权限控制

相关专题

mysql修改数据表名

MySQL修改数据表：1、首先查看数据库中所有的表，代码为：‘SHOW TABLES；’；2、修改表名，代码为：‘ALTER TABLE 旧表名 RENAME [TO] 新表名；’。php中文网还提供MySQL的相关下载、相关课程等内容，供大家免费下载使用。

665

2023.06.20

MySQL创建存储过程

存储程序可以分为存储过程和函数，MySQL中创建存储过程和函数使用的语句分别为CREATE PROCEDURE和CREATE FUNCTION。使用CALL语句调用存储过程智能用输出变量返回值。函数可以从语句外调用(通过引用函数名)，也能返回标量值。存储过程也可以调用其他存储过程。php中文网还提供MySQL创建存储过程的相关下载、相关课程等内容，供大家免费下载使用。

247

2023.06.21

mongodb和mysql的区别

mongodb和mysql的区别：1、数据模型；2、查询语言；3、扩展性和性能；4、可靠性。本专题为大家提供mongodb和mysql的区别的相关的文章、下载、课程内容，供大家免费下载体验。

281

2023.07.18

mysql密码忘了怎么查看

MySQL是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一，在 WEB 应用方面，MySQL是最好的 RDBMS 应用软件之一。那么mysql密码忘了怎么办呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

515

2023.07.19

mysql创建数据库

MySQL是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一，在 WEB 应用方面，MySQL是最好的 RDBMS 应用软件之一。那么mysql怎么创建数据库呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

256

2023.07.25