目錄
- 前言:
- 1. role 簡介
- 2. role 相關操作
- 總結:
前言:
上篇文章,我們介紹了 MySQL 權限管理相關知識�����。當數據庫實例中存在大量的庫或用戶時���,權限管理將會變得越來越繁瑣����,可能要頻繁進行權限變更�。MySQL 8.0 新增了 role 功能,使得權限管理更加方便�,本篇文章我們來看下 8.0 下的 role 功能���。
1. role 簡介
role 角色功能對于 Oracle 數據庫來說不算是什么特殊��,在 Oracle 中經常被用到。MySQL 8.0 版本終于新增了 role 功能��,為數據庫用戶權限管理提供了一種新思路��。
role 可以看做一個權限的集合�,這個集合有一個統一的名字 role 名��?��?梢越o多個數據庫用戶授予同個 role 的權限�,權限變更可直接通過修改 role 來實現,不需要每個用戶一個一個的去變更��,方便運維和管理����。role 可以創建、刪除���、修改并作用到它管理的用戶上。
下面我們具體來體驗下 role 角色功能:
# 創建role
mysql> create role 'dev_role';
Query OK, 0 rows affected (0.15 sec)
# 給role授予權限
mysql> grant select on db1.* to 'dev_role'@'%';
Query OK, 0 rows affected (0.12 sec)
# 查看role的權限
mysql> show grants for 'dev_role'@'%';
+-------------------------------------------+
| Grants for dev_role@% |
+-------------------------------------------+
| GRANT USAGE ON *.* TO `dev_role`@`%` |
| GRANT SELECT ON `db1`.* TO `dev_role`@`%` |
+-------------------------------------------+
# 創建用戶 并賦予角色權限
mysql> create user 'dev1'@'%' identified by '123456';
Query OK, 0 rows affected (0.68 sec)
mysql> grant 'dev_role' to 'dev1'@'%';
Query OK, 0 rows affected (0.38 sec)
# 查看用戶權限
mysql> show grants for 'dev1'@'%';
+------------------------------------+
| Grants for dev1@% |
+------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`%` |
| GRANT `dev_role`@`%` TO `dev1`@`%` |
+------------------------------------+
2 rows in set (0.63 sec)
# 使用dev1用戶登錄
root@localhost ~]# mysql -udev1 -p123456
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
+--------------------+
1 row in set (0.34 sec)
mysql> select CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| NONE |
+----------------+
1 row in set (0.59 sec)
什么情況�?貌似和我們想象不同�����,賦予用戶某個角色權限后,該用戶并沒有獲得相應權限����。
出現上述情況的原因是,在用戶會話中�����,授予該用戶的角色處于非活動狀態��。只有授予的角色在會話中處于活動狀態時��,該用戶才擁有此角色的權限,要確定當前會話中哪些角色處于活動狀態����,可以使用 CURRENT_ROLE() 函數����。
# 使用 set default role 命令激活角色
mysql> SET DEFAULT ROLE ALL TO dev1;
Query OK, 0 rows affected (0.77 sec)
# 重新登錄 發現權限正常
root@localhost ~]# mysql -udev1 -p123456
mysql> select CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| `dev_role`@`%` |
+----------------+
1 row in set (0.57 sec)
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| db1 |
| information_schema |
+--------------------+
2 rows in set (1.05 sec)
除了使用 set default role 命令激活角色外,還可以修改系統變量 activate_all_roles_on_login �,該變量決定是否自動激活 role �����,默認為 OFF 即不自動激活��,建議將該變量改為 ON ,這樣以后賦予角色給新用戶后就不需要再手動激活了��。
# 查看 activate_all_roles_on_login 變量
mysql> show variables like 'activate_all_roles_on_login';
+-----------------------------+-------+
| Variable_name | Value |
+-----------------------------+-------+
| activate_all_roles_on_login | OFF |
+-----------------------------+-------+
1 row in set (1.53 sec)
# 啟用該變量 先動態啟用 之后可以將此參數加入my.cnf配置文件中
mysql> set global activate_all_roles_on_login = on;
Query OK, 0 rows affected (0.50 sec)
# 之后角色就會自動激活
mysql> create user 'dev2'@'%' identified by '123456';
Query OK, 0 rows affected (0.68 sec)
mysql> grant 'dev_role' to 'dev2'@'%';
Query OK, 0 rows affected (0.38 sec)
root@localhost ~]# mysql -udev2 -p123456
mysql> select CURRENT_ROLE();
+----------------+
| CURRENT_ROLE() |
+----------------+
| `dev_role`@`%` |
+----------------+
1 row in set (0.57 sec)
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| db1 |
| information_schema |
+--------------------+
2 rows in set (1.05 sec)
2. role 相關操作
上面我們介紹了創建角色及給用戶授予角色權限����,關于 role 相關操作還有很多,我們接著來看下。
# 變更角色權限
mysql> grant select on db2.* to 'dev_role'@'%';
Query OK, 0 rows affected (0.33 sec)
# 擁有該角色的用戶 重新登錄后權限也會對應變化
root@localhost ~]# mysql -udev1 -p123456
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| db1 |
| db2 |
| information_schema |
+--------------------+
3 rows in set (2.01 sec)
# 回收角色權限
mysql> revoke SELECT ON db2.* from 'dev_role'@'%';
Query OK, 0 rows affected (0.31 sec)
# 撤銷用戶的角色
mysql> revoke 'dev_role'@'%' from 'dev1'@'%';
Query OK, 0 rows affected (0.72 sec)
mysql> show grants for 'dev1'@'%';
+----------------------------------+
| Grants for dev1@% |
+----------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`%` |
+----------------------------------+
1 row in set (1.06 sec)
# 刪除角色 (刪除角色后 對應的用戶也會失去該角色的權限)
mysql> drop role dev_role;
Query OK, 0 rows affected (0.89 sec)
我們還可以通過 mandatory_roles 變量來配置強制性角色。使用強制性角色��,服務器會為全部的用戶戶默認賦予該角色�,而不需要顯示執行授予角色。可以使用 my.cnf 文件或者使用 SET PERSIST 進行配置���,例如:
# my.cnf 配置
[mysqld]
mandatory_roles='dev_role'
# set 更改變量
SET PERSIST mandatory_roles = 'dev_role';
需要注意的是,配置在 mandatory_roles 中的角色不能撤銷其權限��,也不能刪除����。
總結:
關于 role 角色相關知識�����,簡單總結幾點如下:
- role 是一個權限的集合�,可以被賦予不同權限��。
- 開啟 activate_all_roles_on_login 變量��,才可以自動激活角色。
- 一個用戶可以擁有多個角色,一個角色也可以授予多個用戶。
- 角色權限變化會應用到對應用戶。
- 刪除角色,則擁有此角色的用戶也會喪失此角色的權限。
- 可設置強制性角色,使得所有用戶都擁有此角色的權限�����。
- 角色管理和用戶管理相似��,只是角色不能用于登錄數據庫�����。
以上就是MySQL 角色(role)功能介紹的詳細內容���,更多關于MySQL 角色(role)功能的資料請關注腳本之家其它相關文章����!
您可能感興趣的文章:- MySQL 8.0用戶和角色管理原理與用法詳解
- 詳解MySQL8的新特性ROLE
