MySQL连接被拒绝时,先确认user@host组合是否精确匹配,如'app'@'localhost'与'app'@'127.0.0.1'视为不同账号;执行SELECT User, Host FROM mysql.user验证存在性,并用SHOW GRANTS FOR 'user'@'host'核实实际权限。
MySQL连接被拒绝时,先查host和user是否匹配
MySQL权限是按user@host组合精确匹配的,不是只看用户名。比如'app'@'localhost'和'app'@'127.0.0.1'在MySQL眼里是两个完全不同的账号,因为localhost走socket连接,127.0.0.1走TCP,底层host解析结果不同。
- 执行
SELECT User, Host FROM mysql.user;确认实际存在的账号组合 - 用
mysql -u app -h 127.0.0.1 -p测试时,必须存在'app'@'127.0.0.1'或'app'@'%' -
'app'@'%'能匹配所有IP,但不匹配localhost(这是MySQL的特殊规则) - 若需统一,可删掉
'app'@'localhost',只留'app'@'127.0.0.1'和'app'@'%'
GRANT后仍无权限?别忘了FLUSH PRIVILEGES不是万能的
执行GRANT语句本身就会实时更新权限缓存,不需要手动FLUSH PRIVILEGES;反而是直接改mysql.user表后才需要它。误用FLUSH不仅多余,还可能掩盖真正问题——比如你改的是错的行,或者没提交事务(InnoDB引擎下直接UPDATE权限表需显式COMMIT)。
- 正确做法:用
GRANT SELECT ON db1.* TO 'reader'@'%';,然后用SHOW GRANTS FOR 'reader'@'%';验证 - 如果用
UPDATE mysql.user SET Select_priv='Y' WHERE User='reader';,必须跟FLUSH PRIVILEGES;且确保已COMMIT -
SHOW GRANTS看到的权限,才是MySQL当前实际生效的,比查表更可靠
ERROR 1045 (28000): Access denied怎么快速定位
这个错误只说明认证失败,但没说清是密码错、用户不存在,还是host不匹配。不能只盯着密码改。
- 先用
mysql -u root -p -h 127.0.0.1连本地,确认服务正常、root密码可用 - 再查
SELECT host,user,authentication_string,account_locked FROM mysql.user WHERE user='xxx';,看account_locked是否为Y - 检查
authentication_string是否为空(老版本MySQL可能用Password字段,新版本统一为authentication_string) - 如果用的是sha256_password插件,客户端必须支持(如MySQL 8.0+默认),旧版客户端连不上会直接报1045,而非提示插件不兼容
最小权限原则落地时,USAGE权限容易被忽略
新建账号后什么权限都不给,它其实自动拥有USAGE权限——这意味着能连上,但执行任何操作都会报错。这看似“安全”,实则埋雷:应用日志里全是权限错误,运维第一反应却是查密码或网络,浪费大量时间。
- 建号后立刻
GRANT明确权限,不要依赖默认USAGE - 对只读账号,用
GRANT SELECT ON db1.table1 TO 'ro'@'%';,而不是GRANT SELECT ON *.* - 删除权限用
REVOKE,不用DROP USER——后者会连账号一起删,而REVOKE可精准回收,适合权限迭代场景
权限配置里最麻烦的从来不是语法,而是host匹配逻辑和权限继承关系。哪怕GRANT写对了,只要user@host组合和客户端实际发起连接的地址不一致,就必然失败。调试时优先用SHOW GRANTS和SELECT ... FROM mysql.user交叉验证,别信记忆里的“应该可以”。
