迁移 MySQL 用户和权限,核心是导出旧库的用户账号、密码哈希及授权语句,再在新库中安全还原。不能直接复制
mysql.user表,因为版本差异、加密方式(如 caching_sha2_password vs mysql_native_password)或插件依赖可能导致登录失败。
导出用户与权限(推荐使用 mysqlpump 或 mysqldump)
MySQL 8.0+ 推荐用
mysqlpump(比 mysqldump 更适合权限导出),它能按需导出用户定义和 GRANT 语句: 导出所有用户及权限:
mysqlpump --user=root --password --all-databases --skip-definer --include-databases=mysql --users > users_and_grants.sql若仅导出权限(不含数据):
mysqlpump --user=root --password --exclude-databases=% --users > grants_only.sql注意:执行前确保当前用户有
SELECT权限访问
mysql.user、
mysql.db、
mysql.tables_priv等系统表,且具备
RELOAD和
PROCESS权限(用于获取完整授权信息)
手动提取 GRANT 语句(兼容性更强,适合跨版本迁移)
运行以下 SQL 查询生成标准 GRANT 语句,可规避密码哈希格式不兼容问题:
SELECT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';')
FROM mysql.user
WHERE user != '';
将结果逐条执行,或用脚本批量收集输出(例如用 MySQL 客户端加
-N -s参数配合 shell 处理)。得到的
GRANT ... IDENTIFIED BY PASSWORD 'xxx'语句可直接导入新实例 —— MySQL 会自动适配目标版本的认证插件。
还原时的关键注意事项
先关闭新实例的sql_mode中的
NO_AUTO_CREATE_USER(MySQL 5.7+ 默认已移除,但旧配置可能残留),否则
GRANT语句创建用户会报错 导入前确认新库未启用
skip-grant-tables,否则权限表不会生效 如果旧库用的是
caching_sha2_password插件,而新库 MySQL 版本较低(如 5.7),需提前在旧库中把用户切换为
mysql_native_password:
ALTER USER 'u1'@'%' IDENTIFIED WITH mysql_native_password BY 'pwd';导入后执行
FLUSH PRIVILEGES;(仅当非通过 GRANT 导入而是直接修改系统表时才必须;用 GRANT 语句导入则自动生效)
验证与清理
导入完成后,快速验证几类关键用户:
连接测试:mysql -u testuser -p -h new_host查权限:
SHOW GRANTS FOR 'testuser'@'%';检查是否存在冗余或测试账号(如 root@localhost 被重复创建),必要时用
DROP USER清理 确认
mysql.session、
mysql.sys等系统用户未被意外覆盖(它们由 MySQL 自动管理,不应手动导入)
