MySQL 訪問(wèn)控制實(shí)際上由兩個(gè)功能模塊共同組成，一個(gè)是負(fù)責(zé)“看守 MySQL 大門(mén)”的用戶管理模塊，另一個(gè)就是負(fù)責(zé)監(jiān)控來(lái)訪者每一個(gè)動(dòng)作的訪問(wèn)控制模塊。用戶管理模塊決定用戶是否能登陸數(shù)據(jù)庫(kù)，而訪問(wèn)控制模塊則決定在數(shù)據(jù)庫(kù)中具體可以做的事。下面是一張 MySQL 中實(shí)現(xiàn)訪問(wèn)控制的簡(jiǎn)單流程圖。

1. 用戶管理

在 MySQL 中，用戶訪問(wèn)控制部分的實(shí)現(xiàn)比較簡(jiǎn)單，所有授權(quán)用戶都存放在一個(gè)系統(tǒng)表中：mysql.user，當(dāng)然這個(gè)表不僅僅存放了授權(quán)用戶的基本信息，還存放有部分細(xì)化的權(quán)限信息。用戶管理模塊需要使用的信息很少，主要就是Host，User，Password 這三項(xiàng)，都在 mysql.user 表中

2. 訪問(wèn)控制

當(dāng)客戶端連接通過(guò)用戶管理模塊的驗(yàn)證，可連接上 MySQL Server 之后，就會(huì)發(fā)送各種Query 和 Command 給 MySQL Server，以實(shí)現(xiàn)客戶端應(yīng)用的各種功能。當(dāng) MySQL 接收到客戶端的請(qǐng)求之后，訪問(wèn)控制模塊是需要校驗(yàn)該用戶是否滿足提交的請(qǐng)求所需要的權(quán)限。權(quán)限校驗(yàn)過(guò)程是從最大范圍的權(quán)限往最小范圍的權(quán)限開(kāi)始依次校驗(yàn)所涉及到的每個(gè)對(duì)象的每個(gè)權(quán)限。

在驗(yàn)證所有所需權(quán)限的時(shí)候，MySQL 首先會(huì)查找存儲(chǔ)在內(nèi)存結(jié)構(gòu)中的權(quán)限數(shù)據(jù)，首先查找 Global Level 權(quán)限，如果所需權(quán)限在 Global Level 都有定義(GRANT 或者 REVOKE)，則完成權(quán)限校驗(yàn)(通過(guò)或者拒絕)，如果沒(méi)有找到所有權(quán)限的定義，則會(huì)繼續(xù)往后查找Database Level 權(quán)限，進(jìn)行 Global Level 未定義的所需權(quán)限的校驗(yàn)，如果仍然沒(méi)有能夠找到所有所需權(quán)限的定義，MySQL 會(huì)繼續(xù)往更小范圍的權(quán)限定義域查找，也就是 Table Level，最后則是 Column Level 或者 Routine Level。

3. 五個(gè)授權(quán)表

mysql數(shù)據(jù)庫(kù)包含五個(gè)主要的授權(quán)表。

• user表：包含用戶帳戶和全局權(quán)限列。MySQL使用user表來(lái)接受或拒絕來(lái)自主機(jī)的連接。 在user表中授予的權(quán)限對(duì)MySQL服務(wù)器上的所有數(shù)據(jù)庫(kù)都有效。
• db表：包含數(shù)據(jù)庫(kù)級(jí)權(quán)限。MySQL使用數(shù)據(jù)庫(kù)表來(lái)確定用戶可以訪問(wèn)哪個(gè)數(shù)據(jù)庫(kù)以及哪個(gè)主機(jī)。在db表中的數(shù)據(jù)庫(kù)級(jí)授予的特權(quán)適用于數(shù)據(jù)庫(kù)，所有對(duì)象屬于該數(shù)據(jù)庫(kù)，例如表，觸發(fā)器，視圖，存儲(chǔ)過(guò)程等。
• table_priv和columns_priv表：包含表級(jí)和列級(jí)權(quán)限。 在table_priv表中授予的權(quán)限適用于表及其列，而在columns_priv表中授予的權(quán)限僅適用于表的特定列。
• procs_priv表：包含存儲(chǔ)函數(shù)和存儲(chǔ)過(guò)程的權(quán)限。

4. 參考訪問(wèn)授權(quán)策略

這里附一份我平時(shí)做mysql數(shù)據(jù)庫(kù)授權(quán)的策略，僅供參考。

//針對(duì)root賬號(hào) 
set global validate_password_policy=0; --設(shè)置判斷密碼的標(biāo)準(zhǔn)基于密碼的長(zhǎng)度（validate_password_length） 
grant all privilges on *.* to root@'localhost' identified by 'password'; 
grant all privilges on *.* to root@'%' identified by 'password'; --根據(jù)具體情況決定是否開(kāi)啟 
 
//針對(duì)日常運(yùn)維賬號(hào) 
grant select, insert, update, delete on database_name.* to hwb@'%' identified by 'password'; 
grant create,alter,drop,references on database_name.* to hwb@'%';  
grant create temporary tables on database_name.* to hwb@'%';  
grant index on database_name.* to hwb@'%';  
grant create view on database_name.* to hwb@'%';  
grant show view on database_name.* to hwb@'%';  
grant create routine on database_name.* to hwb@'%'; -- 查看存儲(chǔ)過(guò)程、函數(shù)狀態(tài)  
grant alter routine on database_name.* to hwb@'%'; --刪除存儲(chǔ)過(guò)程、函數(shù) 
grant execute on database_name.* to hwb@'%'; 
grant all privileges on mysql.* to hwb@'%' identified by 'password'; --不增加不能對(duì)其他用戶的函數(shù)或存儲(chǔ)過(guò)程做操作 
 
//針對(duì)應(yīng)用連接賬號(hào) 
grant all privileges on database_name.* to hwb2@'應(yīng)用服務(wù)器IP' identified by 'password'; 
grant all privileges on mysql.* to hwb2@'應(yīng)用服務(wù)器IP'; --不增加無(wú)法對(duì)其他用戶的函數(shù)或存儲(chǔ)過(guò)程做操作 
 
//針對(duì)只讀賬號(hào)（導(dǎo)出數(shù)據(jù)庫(kù)權(quán)限） 
grant select on database_name.* to hwbread@'%' identified by 'hwbread123'; 
grant select on mysql.* to hwbread@'%'; 
grant show view on database_name.* to hwbread@'%'; 
grant file on *.* to hwbread@'%'; --if database_name.* will ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES