[[404838]]

數(shù)據(jù)庫里對應(yīng)的權(quán)限都可以指定賦予，那么角色的作用是什么?

數(shù)據(jù)庫里角色是一個命名的權(quán)限集合，為了對許多擁有相似權(quán)限的用戶進行分類管理，定義了角色的概念。與用戶賬戶一樣，角色可以具有授予和撤銷它們的特權(quán)。

比如：當(dāng)多個用戶分配復(fù)雜又細致的權(quán)限時，角色的作用就體現(xiàn)出來了。就是把一堆權(quán)限給一個角色，新用戶只要使用這個角色，就能有對應(yīng)的權(quán)限了。本文將探討MySQL 8.0里角色是怎樣實現(xiàn)的。

角色相關(guān)命令和配置方式：

1.命令接口：

2.my.cnf配置參數(shù)：

角色和用戶區(qū)別

1.不論創(chuàng)建用戶還是角色都是在mysql.user表里：

備注：區(qū)別在于account_locked，password_expired

2.查了對應(yīng)的mysql庫發(fā)現(xiàn)沒有特別的role相關(guān)的表，那是否可以理解 role其實也是用戶，只是沒有密碼和鎖住無法登錄。

ALTER USER 'role_developer'@'%' IDENTIFIED BY '123456'; 
ALTER USER 'role_developer'@'%' ACCOUNT UNLOCK; 

備注：role賬號，發(fā)現(xiàn)可以正常登錄。到這里可以大致理解，實際上角色和用戶都是相等的。只是通過關(guān)系綁在一起。算是打破了常理，方式值得借鑒和學(xué)習(xí)。

看到這里，還是比較簡單易懂的，大致都有了解。下面是練習(xí)SQL語句。

例子

1.創(chuàng)建角色

mysql> 
DROP ROLE IF EXISTS  'role_developer'@'%' ,'role_read'@'%' ,'role_write'@'%' ; 
CREATE ROLE 'role_developer'@'%', 'role_read'@'%', 'role_write'@'%'          ; 

2.賦予權(quán)限

mysql> 
GRANT ALL ON world.* TO 'role_developer'; 
GRANTSELECTON world.* TO'role_read'; 
GRANTINSERT, UPDATE, DELETEON world.* TO'role_write'; 

3.創(chuàng)建用戶

mysql> 
DROP USER IF EXISTS  'user_dev'@'%' , 'user_read'@'%' ,'user_write'@'%'    ; 
CREATE USER 'user_dev'@'%'   IDENTIFIED BY '123456' ;  
CREATE USER 'user_read'@'%'  IDENTIFIED BY '123456' ;  
CREATE USER 'user_write'@'%' IDENTIFIED BY '123456' ; 

4.查詢用戶表狀態(tài)

mysql> 
SELECT  user,host,account_locked,password_expired  
FROM mysql.user WHERE user LIKE 'user_%' OR user LIKE 'role_%'; 

5.角色授予和撤銷:

mysql> 
GRANT 'role_developer'@'%' TO 'user_dev'@'%'; 
GRANT 'role_developer'@'%' TO 'user_read'@'%'  WITH ADMIN OPTION; 
GRANT 'role_write'@'%'     TO 'user_write'@'%' WITH admin OPTION; 
 
##回收角色 
# REVOKE 'role_developer'@'%' FROM  'user_dev'@'%'; 
# REVOKE 'role_developer'@'%' FROM  'user_read'@'%'; 
# REVOKE 'role_write'@'%'     FROM  'user_write'@'%'; 

6.激活ROLE

mysql> 
SET DEFAULT ROLE ALL TO  'user_dev'@'%'; 
SET DEFAULT ROLE ALL TO  'user_read'@'%'; 
SET DEFAULT ROLE ALL TO  'user_write'@'%'; 

可以用user賬號登錄操作了。

7.ROLE操作

mysql> 
SET ROLE NONE;                     #無角色  
SET ROLE ALL EXCEPT 'role_write';  #除已命名的角色外的所有角色             
SET ROLE ALL;                      #所有角色。 
SELECT CURRENT_ROLE();             #當(dāng)前角色   

8.強制給所有用戶賦予角色，啟動角色方式

mysql> 
SET PERSIST mandatory_roles = 'role1,role2@%,r3@%.example.com'; 
SET PERSIST activate_all_roles_on_login = ON; 
[msyqld] 
mandatory_roles='role_developer' 
activate_all_roles_on_login = ON 
activate_all_roles_on_login： 

服務(wù)器會在登錄時激活每個帳戶的所有角色。這優(yōu)先于使用SET default ROLE指定的默認(rèn)角色。對于在定義器上下文中執(zhí)行的存儲程序和視圖，也只在開始執(zhí)行時應(yīng)用。

9.其他

ROLES_GRAPHML:返回utf8字符串xml(graphml)有用戶信息，應(yīng)該用戶api接口擴展。

mysql>SELECT ROLES_GRAPHML() 

總結(jié)：

便利用戶分類管理，實際場景用的不多。

角色和用戶是可互通的。

參考：

https://dev.mysql.com/doc/refman/8.0/en/roles.html

墨天輪原文鏈接：https://www.modb.pro/db/688988

關(guān)于作者

崔虎龍，云和恩墨MySQL技術(shù)顧問，長期服務(wù)于金融、游戲、物流等行業(yè)的數(shù)據(jù)中心，設(shè)計數(shù)據(jù)存儲架構(gòu)，并熟悉數(shù)據(jù)中心運營管理的流程及規(guī)范，自動化運維等。擅長MySQL、Redis、MongoDB數(shù)據(jù)庫高可用設(shè)計和運維故障處理、備份恢復(fù)、升級遷移、性能優(yōu)化。自學(xué)通過了MySQL OCP 5.6和MySQL OCP 5.7認(rèn)證。2年多開發(fā)經(jīng)驗，10年數(shù)據(jù)庫運維工作經(jīng)驗，其中專職做MySQL工作8年;曾經(jīng)擔(dān)任過項目經(jīng)理、數(shù)據(jù)庫經(jīng)理、數(shù)據(jù)倉庫架構(gòu)師、MySQL技術(shù)專家、DBA等職務(wù);涉及行業(yè)：金融(銀行、理財)、物流、游戲、醫(yī)療、重工業(yè)等。