MySQL通过mysql库的user、db、tables_priv和columns_priv表分层存储权限,以用户账号(用户名+主机)为基础实现全局、数据库、表和列级的精细控制。
MySQL 通过一系列系统表来存储用户权限信息,这些表位于 mysql 数据库中。权限的管理基于用户账号(用户名 + 主机)和不同的权限级别(如全局、数据库、表、列等),所有权限数据都以结构化方式保存在对应的表中。
1. 用户账户与密码存储
用户的基本登录信息(用户名、主机地址、密码或认证信息)主要存储在 mysql.user 表中:
- Host:允许用户从哪个主机连接(如 ‘localhost’、’192.168.1.%’)
- User:用户名
- authentication_string:用户的密码哈希值(旧版本为 Password 字段)
- 还包括账户状态、插件、密码过期时间等字段
例如,创建一个用户:
CREATE USER ‘john’@’localhost’ IDENTIFIED BY ‘password123’;
这条语句会在 mysql.user 表中插入一条记录,Host=’localhost’,User=’john’,authentication_string 存储加密后的密码。
2. 权限信息的分层存储
MySQL 使用多张表分别存储不同粒度的权限,实现灵活控制:
全局权限(作用于整个实例)
- 存储在 mysql.user 表中
- 字段如:Select_priv、Insert_priv、Super_priv 等,取值为 ‘Y’ 或 ‘N’
- 使用 GRANT ALL ON *.* 授予的权限会写入这些字段
数据库级权限
- 存储在 mysql.db 表中
- 包含 Host、User、Db 字段,以及对应权限标志(如 Select_priv)
- 执行 GRANT SELECT ON mydb.* TO ‘john’@’%’; 会在此表添加记录
表级和列级权限
- 表级权限:存储在 mysql.tables_priv 表中,支持对特定表的权限控制
- 列级权限:存储在 mysql.columns_priv 表中,可对某表的某些列授权(如 UPDATE on col1)
- 这两张表使用更复杂的结构,包含权限类型、授权时间、范围等信息
3. 权限的加载与生效机制
MySQL 启动时会将这些权限表加载到内存中,连接验证和权限检查都基于内存中的副本进行,以提高性能。
- 执行 GRANT、REVOKE 或 CREATE USER 等操作后,权限表被更新
- 可以使用 FLUSH PRIVILEGES 命令强制重新加载权限表(通常在手动修改表后需要)
- 大多数管理语句会自动触发刷新,无需手动操作
4. 查看权限的方法
推荐使用 SQL 命令查看权限,而不是直接查表:
- SHOW GRANTS FOR ‘user’@’host’;:查看指定用户的权限
- 例如:SHOW GRANTS FOR ‘john’@’localhost’;
也可以查询系统表获取详细信息,但结构较复杂,不建议直接解析。
基本上就这些。MySQL 通过 mysql 库中的 user、db、tables_priv、columns_priv 等表分层存储权限,结合账号的 Host 和 User 字段实现精细访问控制。日常管理应使用 GRANT/REVOKE 等语句,避免直接操作表。