爱站程序员基地在MySQL数据库中,权限访问控制实际上有两大模块。
第一:用户管理模块
第二:用户访问动作控制模块,用户访问动作最常见就是DML,DDL
其中用户管理模块的作用,就是验证用户能否合法登录mysql数据库,而用户访问动作控制模块,则控制这合法用户能做动作。
其实这么说还是有些抽象,那来看看mysql数据库中关于权限访问控制的4张表。
mysql.usermysql.dbmysql.tables_privmysql.columns_priv
用户管理模块由mysql.user控制,用户访问动作控制模块由mysql.db,mysql.tables_priv,mysql.columns_priv三张表一起控制。
其权限验证大概流程如下所示
举一个select语句的例子
select id,namefrom test.t4where status=\'delete\'
用户要执行这个select语句整个流程
第一步:应用首先需要连接mysql数据库,连接时验证host,user,password,如果不满足,则连接被拒绝,例如:用户名不正确,密码不正确,host主机被限制在特殊网段(192.168.2.%),或者限制本地登录(localhost)
第二步:验证global级别是否有select权限,即验证mysql.user表中的select权限,如果Select_priv为Y,则不做后续验证
mysql> select * from mysql.user where user=\'abc\'\\G;*************************** 1. row ***************************Host: %User: abcSelect_priv: NInsert_priv: NUpdate_priv: NDelete_priv: NCreate_priv: NDrop_priv: NReload_priv: NShutdown_priv: NProcess_priv: NFile_priv: NGrant_priv: NReferences_priv: NIndex_priv: NAlter_priv: NShow_db_priv: NSuper_priv: NCreate_tmp_table_priv: NLock_tables_priv: NExecute_priv: NRepl_slave_priv: NRepl_client_priv: NCreate_view_priv: NShow_view_priv: NCreate_routine_priv: NAlter_routine_priv: NCreate_user_priv: NEvent_priv: NTrigger_priv: NCreate_tablespace_priv: Nssl_type:ssl_cipher:x509_issuer:x509_subject:max_questions: 0max_updates: 0max_connections: 0max_user_connections: 0plugin: mysql_native_passwordauthentication_string: *0D3CED9BEC10A777AEC23CCC353A8C08A633045Epassword_expired: Npassword_last_changed: 2020-09-01 00:52:37password_lifetime: NULLaccount_locked: N1 row in set (0.00 sec)
第三步:验证db级别select权限,如果有,则后续不验证
mysql> select * from mysql.db where user=\'abc\'\\G;*************************** 1. row ***************************Host: %Db: testUser: abcSelect_priv: YInsert_priv: NUpdate_priv: NDelete_priv: NCreate_priv: NDrop_priv: NGrant_priv: NReferences_priv: NIndex_priv: NAlter_priv: NCreate_tmp_table_priv: NLock_tables_priv: NCreate_view_priv: NShow_view_priv: NCreate_routine_priv: NAlter_routine_priv: NExecute_priv: NEvent_priv: NTrigger_priv: N1 row in set (0.00 sec)
第四步:验证表级别权限,如果有,则后续不验证
mysql> select * from mysql.tables_priv where user=\'abc\'\\G;*************************** 1. row ***************************Host: %Db: testUser: abcTable_name: t4Grantor: root@localhostTimestamp: 0000-00-00 00:00:00Table_priv: SelectColumn_priv:1 row in set (0.00 sec)
第五步:验证列级别权限,如果有,则后续不验证
mysql> select * from columns_priv;+------+------+------+------------+-------------+---------------------+-------------+| Host | Db | User | Table_name | Column_name | Timestamp | Column_priv |+------+------+------+------------+-------------+---------------------+-------------+| % | test | abc | t4 | id | 0000-00-00 00:00:00 | Select || % | test | abc | t4 | name | 0000-00-00 00:00:00 | Select || % | test | abc | t4 | status | 0000-00-00 00:00:00 | Select |+------+------+------+------------+-------------+---------------------+-------------+3 rows in set (0.00 sec)
如果以上都验证都通过,则拒接执行select语句,上述详细流程图如下所示
这个mysql权限访问控制内幕,你get了吧。
