创建MySQL新用户必须先用CREATE USER,再用GRANT赋权;直接GRANT会报错,且需注意主机限制、密码策略、认证插件兼容性、权限范围与刷新机制。
创建 MySQL 新用户必须用 CREATE USER,不能只靠 GRANT
很多操作失败是因为误以为执行 GRANT 就自动建用户。MySQL 8.0+ 默认严格模式下,GRANT 遇到不存在的用户会直接报错:ERROR 1410 (42000): You are not allowed to create a user with GRANT。
正确顺序是先建用户,再赋权:
CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY 'StrongPass123!';
-
'app_user'@'192.168.1.%'中的主机部分别写成%(全网可连)除非真有需要,生产环境应限制 IP 段或具体 IP - 密码必须满足当前 validate_password 策略,例如默认策略可能要求至少 8 位、含大小写字母+数字+特殊字符
- MySQL 8.0+ 默认认证插件是
caching_sha2_password,旧客户端(如某些 Python 2.x pymysql 版本)可能不兼容,必要时加IDENTIFIED WITH mysql_native_password
分配权限要用 GRANT,且需显式指定数据库和表范围
权限不是“给完就生效”,必须搭配 FLUSH PRIVILEGES 或重启服务——但更推荐用 GRANT 后直接 FLUSH PRIVILEGES,因为 GRANT 本身在多数版本中已自动重载权限缓存,但保险起见仍建议手动刷一次。
常见权限组合示例:
GRANT SELECT, INSERT, UPDATE ON myapp.* TO 'app_user'@'192.168.1.%';
-
myapp.*表示只对myapp库下所有表授权;若写成*.*是全局权限,DBA 才该用 - 不推荐直接给
ALL PRIVILEGES,尤其避免DROP、CREATE USER、GRANT OPTION这类高危权限 - 如果应用只需要读,就只给
SELECT;如果用到存储过程,还得额外EXECUTE - MySQL 8.0+ 支持角色(
CREATE ROLE),适合多用户统一权限管理,但小项目直接GRANT更直观
删除用户或回收权限要小心 DROP USER 和 REVOKE 的行为差异
DROP USER 会彻底删除账号及其所有权限记录;而 REVOKE 只撤权限,用户还存在。
云模块_YunMOK网站管理系统采用PHP+MYSQL为编程语言,搭载自主研发的模块化引擎驱动技术,实现可视化拖拽无技术创建并管理网站!如你所想,无限可能,支持创建任何网站:企业、商城、O2O、门户、论坛、人才等一块儿搞定!永久免费授权,包括商业用途; 默认内置三套免费模板。PC网站+手机网站+适配微信+文章管理+产品管理+SEO优化+组件扩展+NEW Login界面.....目测已经遥遥领先..
典型误操作:
REVOKE ALL PRIVILEGES ON *.* FROM 'app_user'@'192.168.1.%';
- 这条命令不会删用户,但也不会清空其历史权限缓存——有些旧连接可能仍保持权限,建议随后执行
FLUSH PRIVILEGES - 想彻底清除,用
DROP USER 'app_user'@'192.168.1.%';注意:MySQL 8.0+ 不支持DROP USER IF EXISTS语法,得先查mysql.user表判断 - 回收权限后,用户当前活跃连接不会立即失效,新连接才受限制
验证权限是否生效,别只靠 SHOW GRANTS
SHOW GRANTS FOR 'app_user'@'192.168.1.%' 显示的是“被授予的语句”,不代表实际生效效果。真正有效的权限是服务器根据 user、db、tables_priv 等系统表逐层匹配的结果。
快速验证方式:
- 用新用户登录:
mysql -u app_user -p -h 192.168.1.100,看能否连上 - 连上后执行
SELECT USER(), CURRENT_USER();——前者是登录身份(带 host),后者是服务器匹配到的实际账户,两者不一致说明 host 匹配有歧义 - 尝试执行被授权的操作(如
INSERT INTO myapp.log_table VALUES (...)),比看权限列表更可靠
权限问题最难 debug 的地方在于 host 匹配优先级:MySQL 按 user@specific_ip → user@ip_wildcard → user@% 顺序匹配,哪怕你建了两个同名用户,也可能调用错的那个。
