应使用 mysqlpump --users 或手动拼接 grant 语句导出权限;8.0+ 需处理 caching_sha2_password 兼容性、skip_name_resolve 配置、role 和 proxy user 补充导出,并验证 current_user() 与 user() 差异。
直接导出用户权限 SQL 而不是 mysqldump 全库
MySQL 的 mysqldump --all-databases 不会导出 mysql.user 表的权限数据(尤其在 8.0+ 默认启用 caching_sha2_password 认证插件后,直接拷贝表可能失效),也不能还原 GRANT 语句中的动态主机名或角色依赖。真正可靠的方式是用 mysqlpump 或手动从 information_schema 和 mysql 系统库生成可执行的 GRANT 语句。
-
mysqlpump --exclude-databases=% --users可导出所有用户及权限(5.7.8+ 支持,8.0 推荐) - 若不可用,用如下查询生成授权语句:
SELECT CONCAT('CREATE USER \'', user, '\'@\'', host, '\' IDENTIFIED WITH ', plugin, ' AS \'', authentication_string, '\';') FROM mysql.user WHERE user != 'mysql.session' AND user != 'mysql.sys'; SELECT CONCAT('GRANT ', privilege, ' ON ', REPLACE(replace_with_db, '_DB', ''), '.', table_name, ' TO \'', user, '\'@\'', host, '\';') FROM mysql.tables_priv; - 注意:
authentication_string是加密后的密码哈希值,不能直接解密;迁移后若需重置密码,应改用ALTER USER ... IDENTIFIED BY
8.0+ 必须处理 caching_sha2_password 插件兼容性
MySQL 8.0 默认使用 caching_sha2_password,而旧客户端(如某些 PHP 7.2、Python MySQLdb)不支持该插件,连接会报错 Authentication plugin 'caching_sha2_password' cannot be loaded。迁移到新服务器后,若应用无法升级,必须显式降级用户认证方式。
- 导出前检查原库用户插件:
SELECT user, host, plugin FROM mysql.user; - 对需兼容的用户,在新服务器上执行:
ALTER USER 'username'@'host' IDENTIFIED WITH mysql_native_password BY 'password';
- 或者初始化 mysqld 时加参数
--default-authentication-plugin=mysql_native_password(仅影响新建用户) - 不建议全局修改
default_authentication_plugin配置,否则新创建的管理账号也会被限制
权限迁移后要验证 host 匹配和 DNS 解析行为
MySQL 权限中 'user'@'192.168.1.%' 和 'user'@'%.example.com' 依赖实际连接时解析出的 host 名。新服务器若关闭了 skip_name_resolve(默认开启),会尝试反向 DNS 查询,导致权限匹配失败或连接变慢。
- 确认新服务器
my.cnf中是否含skip_name_resolve = ON;若未设置,建议加上并重启,避免因 DNS 故障导致权限误判 - 用
SELECT USER(), CURRENT_USER();对比结果:前者是客户端声明的用户/主机,后者是服务端实际匹配的权限主体,二者不一致常说明 host 匹配出问题 - 生产环境强烈建议统一用 IP 段(如
'app'@'10.0.2.%')而非域名,规避 DNS 波动风险
role 权限和 proxy user 在 5.7→8.0 迁移时容易丢失
MySQL 5.7 不支持 role,但 8.0 引入 CREATE ROLE 和 SET DEFAULT ROLE。如果原库通过脚本模拟 role(如批量 GRANT 到多个用户),直接导出 GRANT 语句不会还原这种逻辑关系;而 8.0 原生 role 若未显式导出,也会遗漏。
- 检查是否有 role:
SELECT * FROM mysql.role_edges;,若有,需额外导出CREATE ROLE和GRANT ... TO role_name语句 - proxy user(代理用户)权限存于
mysql.proxies_priv表,mysqlpump --users不包含它,需单独导出:SELECT CONCAT('GRANT PROXY ON \'', user, '\'@\'', host, '\' TO \'', proxied_user, '\'@\'', proxied_host, '\';') FROM mysql.proxies_priv; - 8.0 中
SHOW GRANTS FOR 'u'@'h'不显示 role 继承的权限,必须用SHOW GRANTS FOR 'u'@'h' USING role_name;验证
实际迁移中最容易被跳过的,是 CURRENT_USER() 和 USER() 的差异验证,以及 skip_name_resolve 开关状态 —— 这两个点一旦出问题,现象是“权限明明给了却连不上”,排查起来极耗时间。
