直接导出用户权限 SQL 而不是 mysqldump 全库
MySQL 的
mysqldump --all-databases不会导出
mysql.user表的权限数据(尤其在 8.0+ 默认启用
caching_sha2_password认证插件后,直接拷贝表可能失效),也不能还原
GRANT语句中的动态主机名或角色依赖。真正可靠的方式是用
mysqlpump或手动从
information_schema和
mysql系统库生成可执行的
GRANT语句。
mysqlpump --exclude-databases=% --users可导出所有用户及权限(5.7.8+ 支持,8.0 推荐) 若不可用,用如下查询生成授权语句:
SELECT CONCAT('CREATE USER \'', user, '\'@\'', host, '\' IDENTIFIED WITH ', plugin, ' AS \'', authentication_string, '\';') FROM mysql.user WHERE user != 'mysql.session' AND user != 'mysql.sys';
SELECT CONCAT('GRANT ', privilege, ' ON ', REPLACE(replace_with_db, '_DB', ''), '.', table_name, ' TO \'', user, '\'@\'', host, '\';') FROM mysql.tables_priv;
注意:authentication_string是加密后的密码哈希值,不能直接解密;迁移后若需重置密码,应改用
ALTER USER ... IDENTIFIED BY
8.0+ 必须处理 caching_sha2_password 插件兼容性
MySQL 8.0 默认使用
caching_sha2_password,而旧客户端(如某些 PHP 7.2、Python MySQLdb)不支持该插件,连接会报错
Authentication plugin 'caching_sha2_password' cannot be loaded。迁移到新服务器后,若应用无法升级,必须显式降级用户认证方式。 导出前检查原库用户插件:
SELECT user, host, plugin FROM mysql.user;对需兼容的用户,在新服务器上执行:
ALTER USER 'username'@'host' IDENTIFIED WITH mysql_native_password BY 'password';或者初始化 mysqld 时加参数
--default-authentication-plugin=mysql_native_password(仅影响新建用户) 不建议全局修改
default_authentication_plugin配置,否则新创建的管理账号也会被限制
权限迁移后要验证 host 匹配和 DNS 解析行为
MySQL 权限中
'user'@'192.168.1.%'和
'user'@'%.example.com'依赖实际连接时解析出的 host 名。新服务器若关闭了
skip_name_resolve(默认开启),会尝试反向 DNS 查询,导致权限匹配失败或连接变慢。 确认新服务器
my.cnf中是否含
skip_name_resolve = ON;若未设置,建议加上并重启,避免因 DNS 故障导致权限误判 用
SELECT USER(), CURRENT_USER();对比结果:前者是客户端声明的用户/主机,后者是服务端实际匹配的权限主体,二者不一致常说明 host 匹配出问题 生产环境强烈建议统一用 IP 段(如
'app'@'10.0.2.%')而非域名,规避 DNS 波动风险
role 权限和 proxy user 在 5.7→8.0 迁移时容易丢失
MySQL 5.7 不支持 role,但 8.0 引入
CREATE ROLE和
SET DEFAULT ROLE。如果原库通过脚本模拟 role(如批量 GRANT 到多个用户),直接导出
GRANT语句不会还原这种逻辑关系;而 8.0 原生 role 若未显式导出,也会遗漏。 检查是否有 role:
SELECT * FROM mysql.role_edges;,若有,需额外导出
CREATE ROLE和
GRANT ... TO role_name语句 proxy user(代理用户)权限存于
mysql.proxies_priv表,
mysqlpump --users不包含它,需单独导出:
SELECT CONCAT('GRANT PROXY ON \'', user, '\'@\'', host, '\' TO \'', proxied_user, '\'@\'', proxied_host, '\';') FROM mysql.proxies_priv;
8.0 中 SHOW GRANTS FOR 'u'@'h'不显示 role 继承的权限,必须用
SHOW GRANTS FOR 'u'@'h' USING role_name;验证
实际迁移中最容易被跳过的,是
CURRENT_USER()和
USER()的差异验证,以及
skip_name_resolve开关状态 —— 这两个点一旦出问题,现象是“权限明明给了却连不上”,排查起来极耗时间。
