MySQL 从 8.0 版本开始引入了角色(Role)管理功能,允许将一组权限打包成一个角色,然后将角色分配给用户,简化权限管理。这种方式特别适合多用户、多环境的权限控制场景。
1. 创建和删除角色
角色本质上是一个特殊的用户账户,但不用于登录。使用 CREATE ROLE 命令创建角色:
CREATE ROLE 'app_developer', 'app_readonly';
上述语句创建了两个角色:'app_developer' 和 'app_readonly'。
删除角色使用 DROP ROLE:
DROP ROLE 'app_readonly';
2. 给角色授予权限
使用 GRANT 语句为角色赋予具体权限。例如,让 'app_developer' 拥有对某个数据库的全部操作权限:
GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.* TO 'app_developer'; GRANT ALL PRIVILEGES ON mydb.logs TO 'app_readonly';也可以授予系统级权限,如:
GRANT CREATE, DROP ON *.* TO 'app_developer';
3. 将角色分配给用户
先确保用户存在,然后把角色赋予该用户:
GRANT 'app_developer' TO 'alice'@'localhost';
如果用户不存在,可先创建:
CREATE USER 'bob'@'%' IDENTIFIED BY 'password';
GRANT 'app_readonly' TO 'bob'@'%';
4. 激活角色
用户登录后,默认角色不会自动激活。需要手动设置默认角色或在会话中启用。
设置用户的默认角色:
SET DEFAULT ROLE 'app_developer' TO 'alice'@'localhost';
或者在当前会话中激活角色:
SET ROLE 'app_developer';
查看当前生效的角色:
SELECT CURRENT_ROLE();
5. 查看角色和权限
查看某用户被授予了哪些角色:
SHOW GRANTS FOR 'alice'@'localhost';
查看角色具体有哪些权限:
SHOW GRANTS FOR 'app_developer';
6. 撤销权限或角色
撤销角色中的权限:
REVOKE INSERT ON mydb.* FROM 'app_developer';
撤销用户的角色:
REVOKE 'app_developer' FROM 'alice'@'localhost';
基本上就这些。通过合理使用角色,可以大幅降低权限管理复杂度,提升数据库安全性和维护效率。注意:所有操作需具备相应权限(如 GRANT OPTION),建议由 DBA 统一管理角色策略。
