1、权限表

        1.1、user表

                1.1.1、用户列

                        Host、User、Password分别表示主机名、用户名、密码

                1.1.2、权限列

                        决定了用户的权限，描述了在全局范围内允许对数据和数据库进行操作。

                1.1.3、安全列

                        安全列有6个字段，其中两个是ssl相关的，2个是x509相关的，另外2个是授权插件相关的。

                        ssl用于加密，x509标准用于标识用户，plugin字段标识可以用于验证用户身份的插件。

                1.1.4、资源控制列

                        用来限制用户使用的资源，包含4个字段，分别为：

                                1）、max_questions：用户每小时允许执行的查询操作次数。

                                2）、max_updates：用户每小时允许执行的更新操作次数。

                                3）、max_connections：用户每小时允许执行的连接操作次数。

                                4）、max_user_connections：用户允许同时建立的连接次数。

        1.2、db表和host表

                此两个表针对的是数据库。

                1.2.1、用户列

                        db表：Host、User、Db

                        host表：Host、Db

                1.2.2、权限列

        1.3、tables_priv表和cloumns_priv表

                tables_priv表用来对表设置权限；cloumns_priv表用来对表的某一列设置权限。

                tables_priv表有8个字段，各字段说明如下：

                1）、Host、Db、User、Table_name：主机名、数据库名、用户名、表名

                2）、Grantor：表示修改该记录的用户。

                3）、Timestamp：表示修改该记录的时间。

                4）、Table_priv：表示对表的操作权限包括Select、Insert、Update、Delete、Create、Drop、Grant、References、Index和Alter

                5）、Cloumn_priv：表示对表中的列的操作权限，包括Select、Insert、Update、References。

                        cloumns_priv表只有7个字段，Host、Db、User、Table_name、Cloumn_name、Timestamp、Cloumn_priv。

                        Cloumn_name表示指定对哪些数据列具有操作权限。

        1.4、procs_priv表

                procs_priv表可以对存储过程和存储函数来设置操作权限。

                procs_priv表有8个字段，各字段说明如下：

                1）、Host、Db、User：主机名、数据库名、用户名

                2）、Routime_name：表示存储过程或函数的名称。

                3）、Routine_type：表示存储过程或函数的类型。有两个值，分别是：FUNCTION和PROCEDURE。

                4）、Grantor：表示插入或修改该记录的用户。

                5）、Proc_priv：表示拥有的权限，包括Execute、Alter Routine、Grant 3种。

                6）、Timestamp：表示修改该记录的时间。

2、账户管理

        2.1、登陆和退出MYSQL服务器

                通过mysql -help命令查看mysql命令帮助信息，mysql的命令常用参数如下：

                1）、-h 主机名，可以使用该参数指定主机名或IP，如果不指定，则默认为localhost。

                2）、-u 用户名，可以使用该参数指定用户名。

                3）、-p 密码，可以使用该参数指定密码。注意：该参数后面的字符串h和-p之间不能有空格。

                4）、-P 端口号，该参数后面接MYSQL服务器端口号，默认为3306.

                5）、数据库名，可以在命令的最后指定数据库名。

                6）、-e 执行sql语句。

        2.2、新建普通用户

                2.2.1、使用CREATE USER 语句创建新用户

CREATE USER user_specification [,user_specification]...user_specification：'user'@'host'[IDENTIFIED BY [PASSWORD] 'password' | IDENTIFINED WITH auth_plugin [AS 'auth_string']]

                        user：表示创建的用户的名称。

                        host：表示允许登陆的用户主机名称。

                        IDENTIFIED BY：表示用来设置用户的密码；

                        [PASSWORD]：表示使用哈希值设置密码，该参数可选。

                        'password'：表示用户登录时使用的普通明文密码。

                        IDENTIFINED WITH：为用户指定一个身份验证插件。

                        auth_plugin：是插件的名称，插件的名称可以是一个带单引号的字符串，或者带引号的字符串。

                        auth_string：是可选的字符串参数，该参数将传递给身份验证插件，由该插件解释该参数的意义。

                2.2.2、使用GRANT语句创建新用户。

                        CREATE USER语句创建的新用户没有任何权限，GRANT语句不仅可以创建新用户，还可以在创建的同时

                        对用 户授权。                        

                        格式：

GRANT privileges ON db.tableTO 'user'@'host' [IDENTIFIED BY 'password'] [,user[IDENTIFIED BY 'password']][WITH GRANT OPTION];

                        privileges：表示赋予用户的权限类型。

                        db.table：表示用户的权限所作用的数据库中的表。

                        IDENTIFIED BY：表示用来设置用户的密码。

                        'password'：表示用户登录时使用的普通明文密码。

                        WITH GRANT OPTION：为可选参数，表示对新建的用户赋予GRANT权限，即该用户可对其他用户赋予权限

                2.2.3、直接操作MYSQL用户表

INSERT INTO mysql.user(Host,User,Password,[privilegelist])VALUES('host','username',PASSWORD('password'),privilegevaluelist);

                        用户添加成功后还需要使用 FLUSH PRIVILEGES命令，告诉服务器重新加载授权表（重启服务器也会重新加载授权表）

        2.3、删除普通用户

                2.3.1、使用DROP USER语句删除用户

DROP USER user[,user]

                2..3.2、使用DELETE语句删除用户

DELETE FROM MYSQL.user WHERE host='hostname' and user='username';

        2.4、root用户修改自己的密码

                2.4.1、使用mysqladmin命令在命令行指定新密码

mysqladmin -u username -h localhost -p password 'newpwd'

                2.4.2、修改MYSQL数据库的user表

UPDATE mysql.user set Password=PASSWORD('rootpwd') WHERE User='root' and Host='localhost'

                        执行UPDATE语句后，需要执行FLUSH PRIVILEGES语句重新加载用户权限。

                2.4.3、使用SET语句修改root用户密码

SET PASSWORD=PASSWORD('rootpwd');

                        需要执行FLUSH PRIVILEGES语句重新加载用户权限。

        2.5、root用户修改普通用户密码

                2.5.1、使用set语句修改普通用户密码

SET PASSWORD FOR 'user'@'host'=PASSWORD('somepassword');

                2.5.2、使用UPDATE修改普通用户密码

UPDATE mysql.user set Password=PASSWORD('rootpwd') WHERE User='userName' and Host='hostName'

                        执行UPDATE语句后，需要执行FLUSH PRIVILEGES语句重新加载用户权限。

                2.5.3、使用GRANT语句修改普通用户密码

                        在全局级别使用GRANT USAGE语句指定某个账户的密码而不影响账户当前权限。

GRANT USAGE ON *.* TO 'someuser'@'%' IDENTIFIED BY 'somepassword';

        2.6、普通用户修改密码

SET PASSWORD=PASSWORD('newpwd');

                需要执行FLUSH PRIVILEGES语句重新加载用户权限。

        2.7、root用户密码丢失的解决办法

                2.7.1、使用 --skip-grant-tables选项启动MySQL服务

                        windows下：（先切换到MYSQL的bin目录下）

                                mysqld命令如下： 

mysqld --skip-grant-tables

                                mysqld-nt命令如下：                       

 mysqld-nt --skip-grant-tables

                        linux下：

                                mysqld_self命令如下：

mysqld_self --skip-grant-tables user=mysql

                                /etc/init.d/mysql命令如下：

/etc/init.d/mysql start-mysqld --skip-grant-tables user

                2.7.2、使用root用户登录，重新设置密码

                        windows下：

                        1）、使用net stop mysql命令停止MYSQL服务进程

                        2）、在命令行输入mysqld --skip-grant-tables选项启动MySQL服务

                        3）、打开另外一个命令窗口，输入不加密码的登录命令。

                        4）、登录成功后可以使用UPDATE语句h或者使用mysqladmin命令重新设置root密码

                        5）、加载权限表：需要执行FLUSH PRIVILEGES语句重新加载用户权限。

3、权限管理

        3.1、MySQL各种权限

        3.2、授权

                3.2.1、全局层级

                        全局权限适用于一个给定服务器中的所有数据库。这些权限存储在mysql.user表中。

                        GRANT ALL ON *.* 和 REVOKE ALL ON *.*只授予和撤销全局权限

                3.2.2、数据库层级

                        数据库权限适用于一个给定数据库中所有目标。这些权限存储在mysql.db和mysql.host表中。

                        GRANT ALL ON db_name.* 和 REVOKE ALL ON db_name.*只授予和撤销数据库权限

                3.2.3、表层级

                        表权限适用于一个给定表中所有列。这些权限存储在mysql.tables_priv表中。

                        GRANT ALL ON db_name.table_name 和 REVOKE ALL ON db_name.table_name只授予和撤销表权限

                3.2.4、列层级

                        列权限适用于一个给定表中单一列。这些权限存储在mysql.columns_priv表中。

                3.2.5、子程序层级

                        CREATE ROUTINE、ALTER ROUTINE、EXECUTE和GRANT权限适用于已存储的子程序。

        3.3、收回权限

                3.3.1、收回所有用户的所有权限

                        REVOKE ALL PRIVILEGES,GRANT OPTION

     REVOKE ALL PRIVILEGES ON db_name.* FROM 'new_user'@'localhost';

                3.3.2、收回指定的权限

REVOKE priv_type[(columns)][,priv_type[(columns)]]...ON table1,table2,....,tablenFROM 'user'@'host'[,'user'@'host'...]

        3.4、查看权限

       SHOW GRANTS FOR 'user'@'host'

4、访问控制

        4.1、连接核实阶段

        4.2、请求核实阶段

5、安全考虑

        通常建议避免使用超级用户进行日常操作，而是创建具有特定权限的普通用户。

        定期审查并更新用户权限，确保安全