GRANT OPTION 是什么,它能做什么
GRANT OPTION不是普通权限,而是一个「授权开关」:拥有它的用户,才能把已拥有的权限再授予其他用户。它本身不赋予任何数据操作能力(比如查表、删库),只控制「能不能转授」。没有它,
GRANT语句会报错
ERROR 1045 (28000): Access denied或更具体的
ERROR 1227 (42000): Access denied; you need (at least one of) the GRANT OPTION privilege(s) for this operation。
如何正确授予带 GRANT OPTION 的权限
必须显式在
GRANT语句末尾加上
WITH GRANT OPTION,缺一不可。仅执行
GRANT SELECT ON db.* TO 'u'@'%'不会自动附带委托权。
GRANT SELECT, INSERT ON myapp.* TO 'dev_team'@'10.0.0.%' WITH GRANT OPTION;
WITH GRANT OPTION只作用于当前语句中列出的权限(本例是
SELECT和
INSERT),不能用来转授其他未声明的权限 不能对角色(role)单独授予
GRANT OPTION,MySQL 8.0+ 中角色本身不持有该选项,必须由被赋予权限的用户账户直接获得 如果目标用户已存在但无
GRANT OPTION,需先
REVOKE再
GRANT ... WITH GRANT OPTION,MySQL 不支持「追加」该选项
撤销 GRANT OPTION 时的常见误区
很多人以为
REVOKE某个权限就会连带收回委托权,其实不是:只要没显式撤销
GRANT OPTION,它就一直存在。真正有效的方式只有两种: 用
REVOKE ... FROM user撤销全部对应权限(包括隐含的委托权) 或执行
REVOKE GRANT OPTION ON db.* FROM 'u'@'%'—— 注意语法:MySQL 8.0.16+ 才支持这种细粒度撤销;低版本只能靠全量回收 撤销后,该用户之前转授出去的权限**不会自动失效**,但其后续新授权行为会被拒绝
为什么 root 用户有时也报 GRANT OPTION 权限不足
这通常是因为 root 账户被创建时指定了 host 限制,例如
'root'@'localhost',而你正从远程连接(如
'root'@'192.168.1.100')。这两个是不同用户,权限不共享。 检查实际登录用户:
SELECT USER(), CURRENT_USER();—— 前者是客户端声明的身份,后者才是 MySQL 实际认证的账户 确认该账户是否真有
GRANT OPTION:
SHOW GRANTS FOR 'root'@'192.168.1.100';若缺失,需用更高权限账户(如
'root'@'localhost')补上:
GRANT GRANT OPTION ON *.* TO 'root'@'192.168.1.100' WITH GRANT OPTION;
委托权限链越长,审计和回收越困难;生产环境应避免多层转授,尤其是跨部门或临时账号。
