{{ item.name }}
{{ item.name }}

{{ it.name }}

{{ it.text }}

{{ item.name }}
{{news.time}}
{{news.title}}
{{ it.name }}

{{ innerIt.name }}

{{ innerIt.text }}

{{news.time}}
{{news.title}}
新特性解读 | 部分权限回收功能的说明
2021-02-07发布 1,099浏览

关键字:数据库扩容数据库维护服务数据库性能调优

背景

MySQL 数据库对于对象的操作级别分为:全局、数据库、表、字段等。粒度从粗到细。如果粗的粒度的权限满足了,将不再检验细粒度的级别,这种验证方式有的时候不方便,例如需要把 100 个数据库中除了某一个数据库外的访问权限赋予某个用户,需要进行 99 次赋权。

从 MySQL 8.0.16 开始,MySQL 推出了一种部分权限回收(Partial Revokes)的功能,可以将粗粒度赋予的权限在细粒度上回收。


实验

要使用这个功能需要将系统参数 partial_revokes 设置成 on,这个参数默认是 off,即默认不允许使用部分权限回收功能,在使用时会遇到下面的错误:

mysql> revoke select on mysql.* from scutech;
ERROR 1141 (42000): There is no such grant defined for user 'scutech' on host '%'

可以使用下面的命令将这个参数打开:

mysql> SET PERSIST partial_revokes = ON;
Query OK, 0 rows affected (0.00 sec)

下面的命令赋予用户 scutech 对除了 mysql 之外的所有数据库和下面的表的 select 权限:

mysql> grant select on *.* to scutech;
Query OK, 0 rows affected (0.04 sec)

mysql> revoke select on mysql.* from scutech;
Query OK, 0 rows affected (0.00 sec)

赋权完成后可以使用 show grants 命令进行检查:

mysql> show grants for scutech;
+-----------------------------------------------+
| Grants for scutech@%                          |
+-----------------------------------------------+
| GRANT SELECT ON *.* TO `scutech`@`%`          |
| REVOKE SELECT ON `mysql`.* FROM `scutech`@`%` |
+-----------------------------------------------+
2 rows in set (0.00 sec)

赋权完成后在 mysql.user 表里面的 User_attributes 会有 Restrictions 的属性:

mysql> select  User_attributes from mysql.user where user='scutech' and host='%';
+---------------------------------------------------------------------+
| User_attributes                                                     |
+---------------------------------------------------------------------+
| {"Restrictions": [{"Database": "mysql", "Privileges": ["SELECT"]}]} |
+---------------------------------------------------------------------+
1 row in set (0.00 sec)

回收部分权限回收功能可以再次赋予部分权限,例如:

mysql> grant SELECT ON `mysql`.* to scutech;
Query OK, 0 rows affected (0.01 sec)


mysql> show grants for scutech;
+--------------------------------------+
| Grants for scutech@%                 |
+--------------------------------------+
| GRANT SELECT ON *.* TO `scutech`@`%` |
+--------------------------------------+
1 row in set (0.00 sec)

也可以从粗粒度上回收权限,这样细粒度的回收当然没有必要存在了,例如:

mysql>  revoke  SELECT ON *.* from scutech;
Query OK, 0 rows affected (0.01 sec)

mysql> show grants for scutech;
+-------------------------------------+
| Grants for scutech@%                |
+-------------------------------------+
| GRANT USAGE ON *.* TO `scutech`@`%` |
+-------------------------------------+
1 row in set (0.00 sec)

说明:USAGE 这个权限等于什么权限也没有。

关键字:数据库扩容数据库维护服务数据库性能调优

上一篇
技术分享 | EXPLAIN 执行计划详解(2)--Extra
2024-03-28  发布     775 浏览
36氪发布AIGC行业报告,爱可生荣登向量数据库领域代表企业榜单
2024-02-02  发布     1,039 浏览
爱可生荣获证券基金行业信息技术应用创新联盟年度优秀成员奖
2024-02-01  发布     1,330 浏览
爱可生获得OceanBase特别认可“客户第一”,2023年度重点项目交付合作再创佳绩
2024-01-31  发布     3,287 浏览
信通院云大所大数据和区块链部向爱可生致谢,共铸业内首个《向量数据库技术要求》
2024-01-05  发布     762 浏览
爱可生荣登《2023年亿欧信创100强》报告榜单
相关推荐
2024-03-28   发布    775 浏览
36氪发布AIGC行业报告,爱可生荣登向量数据库领域代表企业榜单
2024-02-02   发布    1,039 浏览
爱可生荣获证券基金行业信息技术应用创新联盟年度优秀成员奖
2024-02-01   发布    1,330 浏览
爱可生获得OceanBase特别认可“客户第一”,2023年度重点项目交付合作再创佳绩
2024-01-31   发布    3,287 浏览
信通院云大所大数据和区块链部向爱可生致谢,共铸业内首个《向量数据库技术要求》
2024-01-05   发布    762 浏览
爱可生荣登《2023年亿欧信创100强》报告榜单
400-820-6580 13916131869
marketing@actionsky.com
上海市闵行区万源路2138号泓茂中心2号楼
产品详情
关系型数据库
AI数据库
数据库智能管理平台
数据库生态产品
行业案例
金融行业
新零售行业
制造业
通信行业
更多
公司动态
最新新闻
国产化信息
技术分享
关于我们
公司简介
公司分布
国家专利
资质认证
扫码关注公众号
© Copyright 2017, All rights reserved by: 上海爱可生信息技术股份有限公司 沪ICP备12003970号-1 | 法律声明 | 网站地图
沪公网安备 31010402003331号