MySQL 备份用户和权限,本质是导出
mysql系统数据库中的关键表(如
user、
db、
tables_priv、
columns_priv、
procs_priv、
proxies_priv),以及可能涉及的
roles_mapping(8.0+)等。直接 mysqldump 整个
mysql库虽可行,但不推荐用于生产环境迁移(因含运行时数据、密码哈希格式变化、版本兼容风险)。更安全、可读、可审计的方式是生成“可重放”的 SQL 授权语句。
推荐方法:用 mysqlpump 或自定义查询生成 GRANT 语句
MySQL 5.7.8+ 自带
mysqlpump,支持按对象类型导出权限语句;若不可用,可用 SQL 查询拼接
SHOW GRANTS结果: 导出所有用户的 GRANT 语句(含密码哈希,适用于同版本恢复):
mysql -N -s -e "SELECT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') FROM mysql.user WHERE user != 'mysql.infoschema' AND user != 'mysql.session' AND user != 'mysql.sys' AND user != 'root' OR (user = 'root' AND host NOT IN ('localhost', '127.0.0.1', '::1'))" | mysql -N -s | sed 's/$/;/g' > grants.sql 简化版(仅导出非系统用户的显式授权):
mysql -N -e "SELECT DISTINCT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') FROM mysql.user WHERE account_locked = 'N'" | mysql -N | sed 's/$/;/g' > grants_backup.sql 注意:需用具备
SELECT权限的高权限账号(如 root)执行;导出结果不含
CREATE USER语句,建议配合
SELECT user,host,authentication_string,password_expired FROM mysql.user单独备份用户基础信息。
补充备份:导出 mysql.user 表结构与数据(谨慎使用)
仅当需完整重建用户体系(如跨大版本迁移、排查权限异常)时考虑,务必注意兼容性:
导出用户元数据(不含敏感运行时字段):mysqldump --no-create-info --skip-extended-insert mysql user db tables_priv columns_priv procs_priv proxies_priv > mysql_privs_dump.sql 排除
plugin字段中不可移植的认证插件(如 caching_sha2_password 在旧客户端可能不兼容),必要时手动替换为
mysql_native_password并重置密码。 恢复前必须停用 MySQL 的
--skip-grant-tables模式或使用初始化方式加载,不能直接 INSERT 到运行中的 mysql.user 表。
自动化脚本建议(Linux 环境)
将权限备份集成进日常运维流程,提升可靠性:
每日定时执行 grant 导出,并压缩归档:/usr/bin/mysql -u root -p'yourpass' -N -e "SELECT DISTINCT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') FROM mysql.user WHERE account_locked='N'" | /usr/bin/mysql -u root -p'yourpass' -N | sed 's/$/;/g' > /backup/grants_$(date +\%F).sql && gzip /backup/grants_$(date +\%F).sql 配合校验:用
md5sum grants_*.sql.gz记录指纹,避免备份损坏未被发现。 测试恢复流程:定期在测试库执行
mysql -u root -p ,验证语句语法与执行结果。
注意事项与常见问题
权限备份不是“一劳永逸”,实际操作中容易踩坑:
不要直接拷贝 data/mysql 目录:文件级复制无法保证事务一致性,且不同 MySQL 版本的 frm、ibd、系统表结构可能不兼容。 忽略 root@localhost 是常见错误:默认安装常有root@localhost和
root@127.0.0.1两条记录,需全部导出,否则恢复后本地登录失败。 角色(Roles)需额外处理(MySQL 8.0+):除用户外,还需导出
role_edges和
default_roles表,或用
SELECT * FROM mysql.role_edges;生成
GRANT ROLE ... TO ...语句。 密码过期/锁定状态需单独记录:
password_expired、
account_locked字段影响登录行为,仅靠 GRANT 语句无法还原。
