MySQL通过权限系统中的角色(Role)功能来管理用户与权限的对应关系。从 MySQL 8.0 开始,正式支持角色机制,允许将一组权限打包为角色,并分配给一个或多个用户,从而简化权限管理。
1. 创建角色
使用 CREATE ROLE 命令创建角色:
CREATE ROLE 'role_name';
例如,创建一个名为
developer的角色:
CREATE ROLE 'developer';
2. 给角色授予权限
使用 GRANT 命令为角色赋予具体权限:
GRANT SELECT, INSERT, UPDATE ON mydb.* TO 'developer';
也可以授予全局权限或其他对象权限,如存储过程、视图等。
3. 创建用户并分配角色
先创建用户(如果尚未存在):
CREATE USER 'user1'@'localhost' IDENTIFIED BY 'password';
然后将角色授予该用户:
GRANT 'developer' TO 'user1'@'localhost';
4. 设置默认激活的角色
用户登录后,默认可能不会自动激活被授予的角色。需要设置默认角色:
SET DEFAULT ROLE 'developer' TO 'user1'@'localhost';
这样用户登录时会自动激活
developer角色及其权限。
或者在授权的同时指定默认角色:
GRANT 'developer' TO 'user1'@'localhost';
SET DEFAULT ROLE 'developer' FOR 'user1'@'localhost';
5. 手动切换当前角色(可选)
用户可以在会话中手动切换角色:
SET ROLE 'developer';
也可以切换为多个角色或禁用角色:
SET ROLE NONE;—— 禁用所有角色
SET ROLE ALL EXCEPT 'admin';—— 激活除特定角色外的所有角色
6. 查看用户的角色和权限
查看某个用户被授予了哪些角色:
SHOW GRANTS FOR 'user1'@'localhost';
查看当前生效的权限(包括角色带来的权限):
SHOW GRANTS;(当前用户)
7. 撤销角色或权限
撤销用户的角色:
REVOKE 'developer' FROM 'user1'@'localhost';
撤销角色本身的权限:
REVOKE INSERT ON mydb.* FROM 'developer';
8. 删除角色
删除角色前需确保没有用户正在使用它:
DROP ROLE 'developer';
基本上就这些操作。通过角色机制,可以实现“用户 → 角色 → 权限”的三层管理结构,便于批量授权与权限回收,尤其适合团队或系统中存在多种职能用户的场景。
