【昌哥IT课堂】MySQL8.4.0新特性:FLUSH_PRIVILEGES动态权限细化与隔离[译]

介绍
MySQL 支持 RELOAD 权限。现在，想象一个数据库用户被授予了 RELOAD 权限，这允许该用户在系统上执行 FLUSH PRIVILEGES 语句。假设该用户意外地执行了另一个强大的语句，比如 RESET 或 FLUSH TABLES。这可能会导致一些问题，对吧？

考虑一个数据库管理员创建一个用户，目的是允许该用户仅执行 FLUSH PRIVILEGES 语句。然后管理员为此目的授予了 RELOAD 权限，只是意识到这也赋予了用户执行许多强大操作的能力，比如：

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.02 sec)

mysql> RESET BINARY LOGS AND GTIDS;
Query OK, 0 rows affected (0.01 sec)

mysql> FLUSH TABLES;
Query OK, 0 rows affected (0.01 sec)

在MySQL 8.0版本及之前的版本中，RELOAD 权限存在的问题是允许用户在服务器上执行各种强大的语句，包括任何类型的 FLUSH 或 RESET 命令。这会阻止管理员对执行特定语句的用户进行更精细的控制。

为了解决这个问题，在 MySQL 8.4 Community 和 Enterprise 版本以及 HeatWave 中，我们引入了一种新的权限：FLUSH_PRIVILEGES。当授予了这个权限时，它允许用户执行 FLUSH PRIVILEGES 语句，而无需 RELOAD 权限，从而提供了对执行 FLUSH PRIVILEGES 语句的更精细级别控制，这是在对 MySQL 权限表进行更改后刷新内存权限的关键操作。

用法
让我们看看在 MySQL 8.4 中如何使用这个新的权限：

以 root 用户身份连接，创建一个测试用户，并为该用户分配 FLUSH_PRIVILEGES 权限，而不是 RELOAD，就像这样：
mysql> CREATE USER test@localhost identified by 'Shukuinfo123.';
Query OK, 0 rows affected (0.07 sec)

mysql> GRANT FLUSH_PRIVILEGES ON *.* TO test@localhost;
Query OK, 0 rows affected (0.01 sec)

测试用户test@localhost 现在可以无问题地执行FLUSH PRIVILEGES语句，但不允许执行其他FLUSH或RESET语句。你可以在这里看到这一点：

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)

mysql> RESET BINARY LOGS AND GTIDS;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_TABLES privilege(s) for this operation

mysql> FLUSH TABLES;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_TABLES privilege(s) for this operation

附加信息:
FLUSH_PRIVILEGES可以与角色一起使用。

要查看这个功能，创建一个名为privs_flush的角色，并将FLUSH_PRIVILEGES权限分配给这个角色。然后将这个角色分配给另一个测试用户'test2'；这允许用户test2执行FLUSH PRIVILEGES语句。你可以通过执行这里显示的语句来实现这一点：
mysql> CREATE ROLE privs_flush;
Query OK, 0 rows affected (0.02 sec)

mysql> GRANT FLUSH_PRIVILEGES ON *.* TO privs_flush@'%';
Query OK, 0 rows affected (0.01 sec)

mysql> CREATE USER test2@localhost identified by 'Shukuinfo123.';
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT privs_flush TO test2@localhost;
Query OK, 0 rows affected (0.01 sec)

mysql> SHOW GRANTS FOR test2@localhost;
+------------------------------------------------+
| Grants for test2@localhost |
+------------------------------------------------+
| GRANT USAGE ON *.* TO `test2`@`localhost` |
| GRANT `privs_flush`@`%` TO `test2`@`localhost` |
+------------------------------------------------+
2 rows in set (0.00 sec)

以test2用户身份连接后，你可以看到这个角色如何影响用户的权限：

mysql> FLUSH PRIVILEGES;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_PRIVILEGES privilege(s) for this operation

mysql> SET ROLE privs_flush;
Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)

mysql> FLUSH TABLES;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_TABLES privilege(s) for this operation

请注意，root账户默认拥有FLUSH_PRIVILEGES权限。

升级/降级注意事项
为了确保升级过程中的顺利过渡，拥有RELOAD权限的用户在升级时会自动获得新权限。

如果MySQL服务器被降级，那么有两种可能的情况：

1.降级后的服务器版本不支持FLUSH_PRIVILEGES权限：
在这种情况下，该权限没有效果，也就是说，除非用户拥有RELOAD权限，否则无法执行FLUSH PRIVILEGES语句。降级后，如果存在FLUSH_PRIVILEGES授权，FLUSH_PRIVILEGES仍然可以被授予或撤销，但没有任何效果。一旦最后一个授权被撤销，并且服务器重启后，就不再可能授予FLUSH_PRIVILEGES权限。
2.降级后的服务器版本支持FLUSH_PRIVILEGES权限：
拥有FLUSH_PRIVILEGES权限的用户仍然能够执行FLUSH PRIVILEGES语句。仍然可以使用GRANT或REVOKE来授予或撤销FLUSH_PRIVILEGES权限。

结论
新权限为管理员提供了对用户权限更精细的控制，从而满足了对FLUSH PRIVILEGES语句进行更细粒度访问控制的需求。在MySQL 8.4社区版和企业版以及HeatWave中寻找FLUSH_PRIVILEGES。

一如既往，非常感谢您使用MySQL！

翻译转载地址：https://blogs.oracle.com/mysql/post/flushprivileges-a-new-dynamic-privilege-to-execute-flush-privileges