权限是最细粒度操作控制单元,角色是权限容器;角色需显式激活才生效;权限校验走授权表但含间接路径;用户与角色语法对称但语义不同,角色不可登录、不可revoke、需drop删除。
权限是操作能力,角色是权限的打包容器
权限(Privilege)是数据库里最细粒度的控制单元,比如 SELECT、INSERT、DROP,它直接决定“能不能执行某条 SQL”。角色(Role)本身不干活,只是把一堆权限捆在一起,像一个可复用的权限模板。用户不能直接“拥有角色”,而是通过 GRANT role_name TO user@host 获得角色所含的所有权限——本质是权限继承,不是逻辑分组。
MySQL 角色管理依赖显式激活,不自动生效
这是最容易踩坑的地方:创建角色并授权后,用户登录并不会自动获得该角色权限。必须手动激活,否则 SELECT 都会报 Access denied:
- 会话级激活:
SET ROLE role_dev;(仅当前连接有效) - 默认激活(推荐):
SET DEFAULT ROLE role_dev TO 'dev01'@'localhost'; - 全局默认(8.0.16+):
SET PERSIST default_role = 'role_dev';,影响新连接
没执行 SET DEFAULT ROLE 就以为权限已生效,是线上权限故障的高频原因。
角色权限检查仍走传统授权表,但叠加逻辑更复杂
MySQL 权限校验顺序仍是先查 mysql.user(全局)、再 mysql.db(库级)等系统表,但角色引入了“间接路径”:用户 → 角色 → 角色的权限记录(存于 mysql.role_edges 和 mysql.role_routine_grants 等新表)。这意味着:
- 撤销角色权限时,要同时考虑直接授给用户的权限和角色带来的权限,避免残留
-
SHOW GRANTS FOR 'u'@'h'默认只显示直接授予的权限,加FOR u@h WITH ADMIN OPTION才能看到角色链 - 角色嵌套(A→B→C)在 8.0.20+ 才完全支持,低版本嵌套会静默失败
用户和角色在语法上几乎对称,但语义不可互换
你可以用 CREATE ROLE r1; 和 CREATE USER u1@'%' IDENTIFIED BY 'pwd';,也能对两者都执行 GRANT SELECT ON db.* TO r1;,看起来一样——但关键区别在于:
- 角色不能登录,没有密码字段,不能出现在
mysql.user表中 - 角色不能被
REVOKE ... FROM直接删掉,必须先DROP ROLE r1; - 用户可拥有多个角色,角色也可被多个用户持有,但角色之间不能循环授权(如 r1 → r2 → r1)
混淆用户与角色的生命周期管理,比如误删一个被广泛授予的角色,会导致一批用户瞬间失权,且无日志提示具体影响范围。
