MySQL 零基础教程

MySQL 用户账户管理

数据库用户对于控制谁可以访问你的 MySQL 数据库以及他们可以执行哪些操作至关重要。适当的用户管理是确保数据安全和完整性的基石。每一个用户账户都是由用户名 (username)主机 (host) 的组合来标识的,这决定了该用户可以从哪台客户端机器发起连接。

1. 创建新的 MySQL 用户 (CREATE USER)

创建一个新用户需要指定用户名、允许他们连接的主机以及他们的身份验证方法。最常见的身份验证方法是使用密码。

CREATE USER 'username'@'host' IDENTIFIED BY 'password';
  • username: 这是你分配给用户的唯一名称。在 Windows 上,用户名是不区分大小写的,但在 Linux/Unix 系统上是区分大小写的。
  • host: 这指定了用户可以从哪里连接。
    • 'localhost': 用户只能从运行 MySQL 服务器的同一台机器上连接。
    • '%': 用户可以从任何主机连接。在生产环境中,应该非常谨慎地使用这个通配符。
    • '192.168.1.100': 用户只能从这个特定的 IP 地址连接。
    • 'example.com': 用户只能从特定的主机名连接。系统会使用 DNS 解析将主机名映射为 IP 地址。
  • password: 这是该用户账户的密码。它应该足够复杂且具有唯一性。

1.1 创建用户的示例

创建本地管理员: 一个只能从 MySQL 服务器本机连接的用户,通常用于本地的管理任务。

CREATE USER 'admin_local'@'localhost' IDENTIFIED BY 'StrongPass123!';

创建应用程序用户: 一个专为位于私有网络内特定服务器上的应用程序连接而设计的用户账户。

CREATE USER 'app_server_user'@'192.168.1.50' IDENTIFIED BY 'AppSecurePass#';

这里,app_server_user 被限制为只能从 IP 地址为 192.168.1.50 的主机连接。这是内部应用程序最小化攻击面的常见最佳实践。

创建报表用户: 一个需要从特定域内各种不同机器连接以进行报表拉取的用户。

CREATE USER 'reporting_user'@'%.example.com' IDENTIFIED BY 'ReportAccess2023';

这创建了可以从 example.com 域内任何主机连接的 reporting_user。通配符 %.example.com 匹配任何以 .example.com 结尾的主机名。

1.2 CREATE USER 的重要注意事项

  • 身份验证插件: 默认情况下,MySQL 根据其版本和配置使用 caching_sha2_passwordmysql_native_password。如果需要,你可以显式指定身份验证插件,例如 IDENTIFIED WITH mysql_native_password BY 'password'。不过,出于安全考虑,在现代 MySQL 版本中通常首选 caching_sha2_password
  • 密码策略: MySQL 服务器可以配置密码策略(例如,要求最小长度、必须包含特殊字符等)。如果创建的密码不符合策略要求,CREATE USER 语句将会失败。
  • 用户表: 用户信息存储在系统表 mysql.user 中。你可以查询这个表来查看现有用户,但绝不应该直接使用 INSERT/UPDATE 去修改这个表。

2. 查看现有的 MySQL 用户

要查看用户及其关联的主机,你可以查询 mysql.user 表。建议使用特定的列而不是 SELECT *,以避免在屏幕上暴露敏感的密码哈希值。

SELECT user, host FROM mysql.user;

此命令将列出所有用户账户以及允许他们连接的主机。这对于安全审计和确保只存在经过授权的用户非常有用。

3. 修改现有的 MySQL 用户 (ALTER USER)

用户创建后,你可能需要更改他们的密码或重命名他们。

3.1 更改用户密码

更改用户密码是一项常见的管理任务。这可以使用 ALTER USER 语句来完成。

ALTER USER 'username'@'host' IDENTIFIED BY 'new_password';

示例:
如果前面的 admin_local 需要由于安全策略要求而更新密码:

ALTER USER 'admin_local'@'localhost' IDENTIFIED BY 'EvenStrongerPass456!';

3.2 重命名用户

重命名用户同样使用 ALTER USER 语句。

ALTER USER 'old_username'@'old_host' RENAME TO 'new_username'@'new_host';

示例:
如果 app_server_user 需要重命名以反映新的应用程序命名规范:

ALTER USER 'app_server_user'@'192.168.1.50' RENAME TO 'accounting_app_user'@'192.168.1.50';

这在保持主机限制不变的情况下,将用户 app_server_user 重命名为了 accounting_app_user。在旧的和新的部分都包含主机信息是至关重要的,因为用户是由用户名和主机的组合唯一标识的。

4. 删除 MySQL 用户 (DROP USER)

当不再需要某个用户账户时,应将其移除以防止未经授权的访问。这是使用 DROP USER 语句完成的。

DROP USER 'username'@'host';

示例:
如果报表用户离开了组织,需要移除 reporting_user

DROP USER 'reporting_user'@'%.example.com';

此命令将永久删除 reporting_user 账户。授予该用户的任何权限也将被一并移除。

4.1 DROP USER 的重要注意事项

  • 用户和主机组合: 删除用户时,请务必准确指定用户名和主机。删错用户可能会产生严重的安全或业务影响。
  • 对应用程序的影响: 在删除用户之前,请确保没有任何应用程序或服务正在积极使用该账户。删除应用程序依赖的用户将导致该应用程序无法连接到数据库而崩溃。