麒麟v10 上部署 TiDB v5.1.2 生产环境优化实践
697
2023-05-28
聊一聊MySQL角色(Role)功能
前言:
我们介绍了 MySQL 权限管理相关知识。当数据库实例中存在大量的库或用户时,权限管理将会变得越来越繁琐,可能要频繁进行权限变更。MySQL 8.0 新增了 role 功能,使得权限管理更加方便,本篇文章我们来看下 8.0 下的 role 功能。
1. role 简介
role 角色功能对于 *** 数据库来说不算是什么特殊,在 *** 中经常被用到。MySQL 8.0 版本终于新增了 role 功能,为数据库用户权限管理提供了一种新思路。
role 可以看做一个权限的集合,这个集合有一个统一的名字 role 名。可以给多个数据库用户授予同个 role 的权限,权限变更可直接通过修改 role 来实现,不需要每个用户一个一个的去变更,方便运维和管理。role 可以创建、删除、修改并作用到它管理的用户上。
下面我们具体来体验下 role 角色功能:
# 创建role mysql> create role 'dev_role'; Query OK, 0 rows affected (0.15 sec) # 给role授予权限 mysql> grant select on db1.* to 'dev_role'@'%'; Query OK, 0 rows affected (0.12 sec) # 查看role的权限 mysql> show grants for 'dev_role'@'%'; +-------------------------------------------+ | Grants for dev_role@% | +-------------------------------------------+ | GRANT USAGE ON *.* TO `dev_role`@`%` | | GRANT SELECT ON `db1`.* TO `dev_role`@`%` | +-------------------------------------------+ # 创建用户 并赋予角色权限 mysql> create user 'dev1'@'%' identified by '123456'; Query OK, 0 rows affected (0.68 sec) mysql> grant 'dev_role' to 'dev1'@'%'; Query OK, 0 rows affected (0.38 sec) # 查看用户权限 mysql> show grants for 'dev1'@'%'; +------------------------------------+ | Grants for dev1@% | +------------------------------------+ | GRANT USAGE ON *.* TO `dev1`@`%` | | GRANT `dev_role`@`%` TO `dev1`@`%` | +------------------------------------+ 2 rows in set (0.63 sec) # 使用dev1用户登录 root@localhost ~]# mysql -udev1 -p123456 mysql> show databases; +--------------------+ | Database | +--------------------+ | information_schema | +--------------------+ 1 row in set (0.34 sec) mysql> select CURRENT_ROLE(); +----------------+ | CURRENT_ROLE() | +----------------+ | NONE | +----------------+ 1 row in set (0.59 sec)
什么情况?貌似和我们想象不同,赋予用户某个角色权限后,该用户并没有获得相应权限。
出现上述情况的原因是,在用户会话中,授予该用户的角色处于非活动状态。只有授予的角色在会话中处于活动状态时,该用户才拥有此角色的权限,要确定当前会话中哪些角色处于活动状态,可以使用 CURRENT_ROLE() 函数。
# 使用 set default role 命令激活角色 mysql> SET DEFAULT ROLE ALL TO dev1; Query OK, 0 rows affected (0.77 sec) # 重新登录 发现权限正常 root@localhost ~]# mysql -udev1 -p123456 mysql> select CURRENT_ROLE(); +----------------+ | CURRENT_ROLE() | +----------------+ | `dev_role`@`%` | +----------------+ 1 row in set (0.57 sec) mysql> show databases; +--------------------+ | Database | +--------------------+ | db1 | | information_schema | +--------------------+ 2 rows in set (1.05 sec)
除了使用 set default role 命令激活角色外,还可以修改系统变量 activate_all_roles_on_login ,该变量决定是否自动激活 role ,默认为 OFF 即不自动激活,建议将该变量改为 ON ,这样以后赋予角色给新用户后就不需要再手动激活了。
# 查看 activate_all_roles_on_login 变量 mysql> show variables like 'activate_all_roles_on_login'; +-----------------------------+-------+ | Variable_name | Value | +-----------------------------+-------+ | activate_all_roles_on_login | OFF | +-----------------------------+-------+ 1 row in set (1.53 sec) # 启用该变量 先动态启用 之后可以将此参数加入my.cnf配置文件中 mysql> set global activate_all_roles_on_login = on; Query OK, 0 rows affected (0.50 sec) # 之后角色就会自动激活 mysql> create user 'dev2'@'%' identified by '123456'; Query OK, 0 rows affected (0.68 sec) mysql> grant 'dev_role' to 'dev2'@'%'; Query OK, 0 rows affected (0.38 sec) root@localhost ~]# mysql -udev2 -p123456 mysql> select CURRENT_ROLE(); +----------------+ | CURRENT_ROLE() | +----------------+ | `dev_role`@`%` | +----------------+ 1 row in set (0.57 sec) mysql> show databases; +--------------------+ | Database | +--------------------+ | db1 | | information_schema | +--------------------+ 2 rows in set (1.05 sec)
2. role 相关操作
上面我们介绍了创建角色及给用户授予角色权限,关于 role 相关操作还有很多,我们接着来看下。
# 变更角色权限 mysql> grant select on db2.* to 'dev_role'@'%'; Query OK, 0 rows affected (0.33 sec) # 拥有该角色的用户 重新登录后权限也会对应变化 root@localhost ~]# mysql -udev1 -p123456 mysql> show databases; +--------------------+ | Database | +--------------------+ | db1 | | db2 | | information_schema | +--------------------+ 3 rows in set (2.01 sec) # 回收角色权限 mysql> revoke SELECT ON db2.* from 'dev_role'@'%'; Query OK, 0 rows affected (0.31 sec) # 撤销用户的角色 mysql> revoke 'dev_role'@'%' from 'dev1'@'%'; Query OK, 0 rows affected (0.72 sec) mysql> show grants for 'dev1'@'%'; +----------------------------------+ | Grants for dev1@% | +----------------------------------+ | GRANT USAGE ON *.* TO `dev1`@`%` | +----------------------------------+ 1 row in set (1.06 sec) # 删除角色 (删除角色后 对应的用户也会失去该角色的权限) mysql> drop role dev_role; Query OK, 0 rows affected (0.89 sec)
我们还可以通过 mandatory_roles 变量来配置强制性角色。使用强制性角色,服务器会为全部的用户户默认赋予该角色,而不需要显示执行授予角色。可以使用 my.cnf 文件或者使用 SET PERSIST 进行配置,例如:
# my.cnf 配置 [mysqld] mandatory_roles='dev_role' # set 更改变量 SET PERSIST mandatory_roles = 'dev_role';
需要注意的是,配置在 mandatory_roles 中的角色不能撤销其权限,也不能删除。
总结:
关于 role 角色相关知识,简单总结几点如下:
role 是一个权限的集合,可以被赋予不同权限。开启 activate_all_roles_on_login 变量,才可以自动激活角色。一个用户可以拥有多个角色,一个角色也可以授予多个用户。角色权限变化会应用到对应用户。删除角色,则拥有此角色的用户也会丧失此角色的权限。可设置强制性角色,使得所有用户都拥有此角色的权限。角色管理和用户管理相似,只是角色不能用于登录数据库。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。