MySQL 表级权限是什么,能不能直接限制“只访问某张表”
可以,但不是靠
GRANT ... ON database.*这种库级写法实现的。MySQL 的权限系统支持精确到表(
table)甚至列(
column)级别,关键在于
GRANT语句中把对象写成
database.table_name,而不是
database.*。
注意:用户必须先有
USAGE权限(即能连上),且不能跳过数据库名——即使当前
USE db1,也不代表对
db1下所有表自动有权限。
如何给用户授予单张表的 SELECT 权限
用
GRANT显式指定数据库名和表名,例如只允许用户
'appuser'@'localhost'查询
myapp.users表:
GRANT SELECT ON myapp.users TO 'appuser'@'localhost';
常见疏漏点:
没执行FLUSH PRIVILEGES;—— 实际上只要
GRANT成功,权限已写入
mysql.tables_priv表,无需手动刷新(除非你直接改了系统表) 误写成
GRANT SELECT ON users TO ...—— 缺少数据库名会导致语法错误或权限被赋予到默认库(如果当前有
USE) 用户已有更宽泛权限(如
SELECT ON myapp.*),新授予的细粒度权限不会覆盖旧权限,得先
REVOKE
如何收回其他表的访问权,确保“仅此一张表”
MySQL 权限是累加的,所以必须显式撤回不需要的权限。比如用户之前有整个库的
SELECT,现在只想留
myapp.users:
REVOKE SELECT ON myapp.orders FROM 'appuser'@'localhost';<br>REVOKE SELECT ON myapp.logs FROM 'appuser'@'localhost';<br>-- 或批量回收库级权限(更常用):<br>REVOKE SELECT ON myapp.* FROM 'appuser'@'localhost';<br>GRANT SELECT ON myapp.users TO 'appuser'@'localhost';
注意:
REVOKE不会报错于不存在的权限,可放心执行 撤销
myapp.*后再授予
myapp.users,是最稳妥的“最小权限”做法 如果用户有
SELECT权限来自角色(MySQL 8.0+),需从角色中撤销,再单独授权
验证权限是否生效及常见失败原因
登录该用户后执行
SHOW GRANTS;,看输出是否只含目标表;再试查非授权表,应报错
ERROR 1142 (42000): SELECT command denied to user ... for table 'xxx'。
容易卡住的地方:
客户端缓存了旧连接,换新会话再测 用户 host 匹配不精确,比如授权的是'appuser'@'192.168.1.%',但实际连接用的是
'appuser'@'192.168.1.100'—— 虽然匹配,但权限记录可能重复或冲突 使用了代理或中间件(如 ProxySQL),权限检查可能被绕过或延迟同步
表级权限本身开销极小,但大量细粒度授权会让
mysql.tables_priv表变大,影响权限检查速度——不过几百张表以内基本无感。
