MySQL权限系统的工作原理

MySQL权限系统通过下面两个阶段进行认证:

(1)对连接的用户进行身份认证,合法的用户通过认证,不合法的用户拒绝连接;

(2)对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。

对于身份的认证,MySQL是通过IP地址和用户名联合进行确认的,例如MySQL安装后默认创建的用户root@localhost表示用户root只能从本地(localhost)进行连接才可以通过认证,此用户从其他任何主机对数据库进行的连接都将被拒绝。也就是说,同样的一个用户名,如果来自不同的IP地址,则MySQL将其视为不同的用户。

MySQL的权限表在数据库启动的时候就载入内存,当用户通过身份认证后,就在内存中进行相应权限的存取,这样,此用户就可以在数据库中做权限范围内的各种操作了。所以在对用户做了修改操作后flush privileges;后才会生效。

在权限存取的两个过程中,系统会用到“mysql”数据库(安装MySQL时被创建,数据库名称叫“mysql”)中user、host和db这3个最重要的权限表。在这3个表中,最重要的表是user表,其次是db表,host表在大多数情况下并不使用。user中的列主要分为4个部分:用户列、权限列、安全列和资源控制列。

当用户进行连接的时候,权限表的存取过程有以下两个阶段。

  • 先从user表中的host、user和password这3个字段中判断连接的IP、用户名和密码是否存在于表中,如果存在,则通过身份验证,否则拒绝连接。

  • 如果通过身份验证,则按照以下权限表的顺序得到数据库权限:user->db->tables_priv->columns_priv。

在这几个权限表中,权限范围依次递减,全局权限覆盖局部权限。

  • Host值可以是主机名或IP号,或“localhost”指出本地主机。

  • 可以在Host列值使用通配符字符“%”和“_”。

  • Host值“%”匹配任何主机名,空Host值等价于“%”。它们的含义与LIKE操作符的模式匹配操作相同。例如,“%”的Host值与所有主机名匹配,而“%.mysql.com”匹配mysql.com域的所有主机。

如果权限表中的host既有“thomas.loc.gov”,又有“%”,而此时,连接从主机thomas.loc.gov过来。显然,user表里面这两条记录都符合匹配条件,那系统会选择哪一个呢?

如果有多个匹配,服务器必须选择使用哪个条目。按照下述原则来解决:

l 服务器在启动时读入user表后进行排序;

l 然后当用户试图连接时,以排序的顺序浏览条目;

l 服务器使用与客户端和用户名匹配的第一行。

当服务器读取表时,它首先以最具体的Host值排序。主机名和IP号是最具体的。“%”意味着“任何主机”并且是最不特定的。有相同Host值的条目首先以最具体的User值排序(空User值意味着“任何用户”并且是最不特定的)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
排序前:
 +-----------+----------+-
| Host      | User    | …
+-----------+----------+-
|%         | root     | …
|%         | jeffrey  | …
|localhost | root     | …
|localhost |          | …
+-----------+----------+-
排序后:
  
+-----------+----------+-
|Host      | User     | …
+-----------+----------+-
|localhost | root     | … ...
|localhost |          | …...
|%         |jeffrey  | … ...
|%         |root     | … ...
+-----------+----------+-

删除匿名用户:

mysql版本5.6.18

查看用户

1
2
3
4
5
6
7
8
9
10
11
12
mysql> select user,host,plugin,password,authentication_string,password_expired from mysql.user;
+------+-----------+-----------------------+-------------------------------------------+-----------------------+------------------+
user | host      | plugin                | password                                  | authentication_string | password_expired |
+------+-----------+-----------------------+-------------------------------------------+-----------------------+------------------+
| root | localhost |                       | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |                       | N                |
| root | rhel7     |                       |                                           |                       | N                |
| root | 127.0.0.1 |                       |                                           |                       | N                |
| root | ::1       |                       |                                           |                       | N                |
|      | localhost |                       |                                           | NULL                  | N                |
|      | rhel7     |                       |                                           | NULL                  | N                |
| zx   | %         | mysql_native_password | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |                       | N                |
+------+-----------+-----------------------+-------------------------------------------+-----------------------+------------------+

使用不存在的用户也可以登录MySQL

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[root@rhel7 mysql5.6.18]# ./bin/mysql -ua
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.6.18-enterprise-commercial-advanced MySQL Enterprise Server - Advanced Edition (Commercial)
 
Copyright (c) 2000, 2014, Oracle and/or its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
 
mysql>

删除user为空的用户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
mysql> delete from mysql.user where user='';
Query OK, 2 rows affected (0.00 sec)
 
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
 
mysql> select user,host,plugin,password,authentication_string,password_expired from mysql.user;
+------+-----------+-----------------------+-------------------------------------------+-----------------------+------------------+
user | host      | plugin                | password                                  | authentication_string | password_expired |
+------+-----------+-----------------------+-------------------------------------------+-----------------------+------------------+
| root | localhost |                       | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |                       | N                |
| root | rhel7     |                       |                                           |                       | N                |
| root | 127.0.0.1 |                       |                                           |                       | N                |
| root | ::1       |                       |                                           |                       | N                |
| zx   | %         | mysql_native_password | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |                       | N                |
+------+-----------+-----------------------+-------------------------------------------+-----------------------+------------------+
rows in set (0.00 sec)

使用不存在的用户不能再登录MySQL

1
2
[root@rhel7 mysql5.6.18]# ./bin/mysql -ua
ERROR 1045 (28000): Access denied for user 'a'@'localhost' (using passwordNO)

参考:《深入浅出MySQL》

本文转自hbxztc 51CTO博客,原文链接:http://blog.51cto.com/hbxztc/1879606,如需转载请自行联系原作者


MySQL权限原理及删除MySQL的匿名账户的更多相关文章

  1. MySql相关及如何删除MySql服务

    又会一招–如何删除MySql服务 进入“控制面板->管理工具->服务”查看才发现,虽然MYSQL已经卸载了,但是MYSQL服务仍然残留在系统服务里.又不想改服务名,改怎么办呢. 后来上百度 ...

  2. MySQL权限系统(一).The MySQL Access Privilege System 概述

    纯属个人阅读,如有翻译错误,请指出 The primary function of the MySQL privilege system is to authenticate a user who c ...

  3. mysql主从复制原理及实践

    Mysql主从复制原理及实践 mysql主从框架       MySQL主从架构是MySQL集群中最基本也是最常用的一种架构部署,能够满足很多业务需求,常见的有一主一从或者一主多从.可以防止单一主机的 ...

  4. MySQL权限授权认证详解

    MySQL权限授权认证详解 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.MySQL权限系统介绍1>.权限系统的作用是授予来自某个主机的某个用户可以查询.插入.修改.删除 ...

  5. MySQL权限和用户管理

    Mysql权限系统(由mysql权限表进行控制user和db)通过下面两个方面进行认证: 1)对于连接的用户进行身份验证,合法的通过验证,不合法的拒绝连接. 2)对于通过连接认证的用户,可以在合法的范 ...

  6. Mysql高手系列 - 第22篇:深入理解mysql索引原理,连载中

    Mysql系列的目标是:通过这个系列从入门到全面掌握一个高级开发所需要的全部技能. 欢迎大家加我微信itsoku一起交流java.算法.数据库相关技术. 这是Mysql系列第22篇. 背景 使用mys ...

  7. mysql 权限管理 目录

    mysql 权限管理介绍 mysql 权限管理 记录 mysql 权限管理 grant 命令 mysql 权限管理 revoke 回收权限 命令 mysql 权限管理 针对库 授权 db.* mysq ...

  8. mysql 主从复制原理(转)

    本文转自https://blog.csdn.net/php_younger/article/details/59673879 mysql 主从复制原理 主从形式   mysql主从复制 灵活 一主一从 ...

  9. mysql工作原理(网络搜索整理的)

    原文网址:Mysql 工作原理 原文网址:MySQL运行原理与基础架构 mysql基本用法原文网址:MySQL(一):基本原理 SQL 语句执行过程 数据库通常不会被直接使用,而是由其他编程语言通过S ...

随机推荐

  1. Linux基础:Day02

    Linux文件管理 创建 touch vim/vi echo重定向 touch 管理:atime mtime ctime touch 文件名  //如果文件不存在就创建文件 touch -a -t [ ...

  2. 浏览器判断兼容IE

    很多时候IE浏览器的兼容性问题总是让人很头疼,或许是样式的或许是脚本的.总之因为IE的低版本问题会引发各种各样的问题出来. function isUnderIE10() {//IE 6,7,8,9 i ...

  3. windows上jmeter目录结构功能

    1.bin :存储了jmeter的可执行程序,如启动 2.lib:存储了jmeter的整合的功能(如.jar文件程序) 3.启动jmeter:双击bin\apachejmeter.jar jmeter ...

  4. ln -s 软链接命令

    所有对软链接link_name的操作都是对目录或文件dir_file的操作 ln -s [dir_file] [link_name]

  5. HttpClient之Get请求和Post请求示例

    HttpClient之Get请求和Post请求示例 博客分类: Java综合   HttpClient的支持在HTTP/1.1规范中定义的所有的HTTP方法:GET, HEAD, POST, PUT, ...

  6. shell命令(一)

    什么是shell? Shell是一个应用程序,它连接了用户和Linux内核,让用户能够更加高效.安全.低成本地使用Linux内核,这就是Shell的本质. shell与Linux系统关系图 shell ...

  7. sqli-labs通关----11~20关

    第十一关 从第十一关开始,就开始用post来提交数据了,我们每关的目的都是获取users表下password字段的内容. post是一种数据提交方式,它主要是指数据从客户端提交到服务器端,例如,我们常 ...

  8. Daily Scrum 1/14/2016

    Zhaoyang & Yandong: Still optimizing the speech input interface Dong & Fuchen: Image asynchr ...

  9. Python程序设计实验报告四:循环结构程序设计(设计型实验)

    安徽工程大学 Python程序设计 实验报告 班级   物流191   姓名  姚彩琴  学号3190505129 成绩 日期     2020.4.8     指导老师       修宇 [实验名称 ...

  10. 【Jenkins】参数化引用

    我们在Jenkins里设置了参数如下 1. Jenkins中引用 shell引用  $env windows bat引用 %env% 在git等源码管理时,调用参数的格式${env} 2. jmete ...