MySQL用户和授权

ChicagoTypewriter2025-06-07 17:39

开放MySQL白名单

可以通过iptables-save命令确认对应客户端ip是否可以访问MySQL服务:

|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| test: # iptables-save | grep 3306 -A mp_srv_whitelist -s 172.16.14.102/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.4.16/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.4.17/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.9.16/32 -p tcp -m tcp --dport 3306 -j ACCEPT |

新增用户以及授权

创建只读用户,并授权特定的表:

|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| -- 创建用户以及设置密码,其中%表示任意客户端 CREATE USER 'read_admin'@'%' IDENTIFIED BY 'Admin123!@#'; -- 授予特定表的SELECT权限 GRANT SELECT ON aa.t_terminal TO 'read_admin'@'%'; GRANT SELECT ON aa.t_assert TO 'read_admin'@'%'; GRANT SELECT ON bb.t_user TO 'read_admin'@'%'; GRANT SELECT ON bb.t_user_group TO 'read_admin'@'%'; -- 为了支持联表,建议始终授权临时表的权限 GRANT CREATE TEMPORARY TABLES ON *.* TO 'read_admin'@'%'; -- 刷新权限 FLUSH PRIVILEGES; |

在过程中主要遇到两个问题:

1、在服务器上已经增加了用户和授权,但是客户仍被拒绝

这是因为会话没有更新,最新的授权需要重新登录获取

2、所有表的授权已经增加,但是客户无法联表查询

这一点之前是没有想到的,后续增加了临时表权限解决。也很好理解,联表查询的实现是MySQL内部生成临时表处理,所以需要授权该权限。

另外,可以通过以下命令查询某个用户的权限,以下是没有授权临时表和授权了临时表的权限查询结果对比:

  • 未授权临时表权限

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| mysql> SHOW GRANTS FOR 'read_admin'@'%'; +----------------------------------------------------------------+ | Grants for read_admin@% | +----------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'read_admin'@'%' | | GRANT SELECT ON `nm`.`t_assert` TO 'read_admin'@'%' | | GRANT SELECT ON `aas`.`t_user_group` TO 'read_admin'@'%' | | GRANT SELECT ON `aas`.`t_user` TO 'read_admin'@'%' | | GRANT SELECT ON `nm`.`t_terminal` TO 'read_admin'@'%' | +----------------------------------------------------------------+ |

  • 已授权临时表权限

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| mysql> SHOW GRANTS FOR 'read_admin'@'%'; +----------------------------------------------------------------+ | Grants for read_admin@% | +----------------------------------------------------------------+ | GRANT CREATE TEMPORARY TABLES ON *.* TO 'read_admin'@'%' | | GRANT SELECT ON `nm`.`t_assert` TO 'read_admin'@'%' | | GRANT SELECT ON `aas`.`t_user_group` TO 'read_admin'@'%' | | GRANT SELECT ON `aas`.`t_user` TO 'read_admin'@'%' | | GRANT SELECT ON `nm`.`t_terminal` TO 'read_admin'@'%' | +----------------------------------------------------------------+ |

测试联表查询:

SELECT * FROM aa.t_terminal t LEFT JOIN bb.t_user a ON t.account = a.account limit 1;

注意事项总结:

  1. 如果是HA环境,需要主备数据库上都执行,因为这类非业务数据是不会自动同步的!!!
  2. 在创建用户和授权时,需要使用root账户
  3. 客户端和服务端初次连接时,会将该用户的权限信息保存在会话中,如果后续权限发生变化不会更新当前会话中的权限,所以做以上操作后,相关客户端最好是重新登录以获取最新的权限。
  4. 建议始终授权临时表的权限,防止客户需要联表查询时候再次处理
相关推荐
weixin_419658311 小时前
MySQL数据库备份与恢复
数据库·mysql
wml000001 小时前
CentOS启动两个MySQL实例
mysql·centos·3406
苏婳6665 小时前
【最新版】怎么下载mysqlclient并成功安装?
数据库·python·mysql
Java水解8 小时前
MySQL 亿级数据表平滑分表实践:基于时间分片的架构演进
后端·mysql
代码的余温9 小时前
SQL性能优化全攻略
数据库·mysql·性能优化
回家路上绕了弯11 小时前
MySQL 详细使用指南:从入门到精通
java·mysql
MaxHua11 小时前
SQL语法大全指南:从基础到进阶的关键字与用法解析
后端·mysql
回家路上绕了弯11 小时前
MySQL 索引详解:从原理到最佳实践
后端·mysql
手把手入门11 小时前
★CentOS:MySQL数据备份
数据库·mysql·adb
小卓笔记12 小时前
MySQL库表操作
mysql
热门推荐
01UV安装并设置国内源02Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code03【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)04KGG转MP3工具|非KGM文件|解密音频052025最新国内服务器可用docker源仓库地址大全(2025年8月更新)06蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接07NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南08TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践09阿里开源首个图像生成基础模型——Qwen-Image本地部署教程,超强中文渲染能力刷新SOTA!10TRAE Rules 实践:为项目配置 6A 工作流