【MySQL数据库管理问答题】第6章管理 MySQL 用户

1. 对于验证和授权，它们有什么区别，各自发生在用户访问过程的哪个阶段？

2. MySQL 用户账户的定义信息保存在数据库的什么地方？

3. 在定义用户时，要避免在主机名中使用通配符，除非绝对必要。请给出如何检查用户定义中包含有通配符的办法。

4. 角色是一个不允许连接的帐户，因为它是作为锁定帐户创建的。可以使用 ALTER USER 语句解锁角色，将其转换为允许连接的帐户。请问这个说法对不对，给出验证结果。

5. 请说明 FILE、PROCESS、RELOAD 这三个系统权限的作用？

6. 在授予权限时，WITH GRANT OPTION 或 WITH ADMIN OPTION 子句会对被授予的权限有什么影响？

7. 在权限管理中，不能将口令和对象直接关联，不能对表行进行授权，不能明确拒绝对特定对象比如表的访问。谈一下你对这三个判断的理解。

8. 请说明授权表的内容和它的作用？

9. 你是如何理解“最小权限原则”的？

1. 对于验证和授权，它们有什么区别，各自发生在用户访问过程的哪个阶段？

验证和授权的区别及其在用户访问过程中的阶段：

验证 (Authentication) ：是确认用户身份的过程，验证阶段会发生在用户尝试连接数据库时。MySQL 通过验证用户的用户名和密码，确保用户是其声称的身份。

授权 (Authorization) ：是在用户通过验证后确定其可以访问的资源和操作的过程。授权阶段发生在用户登录成功后，MySQL 会检查用户的权限，决定用户可以执行哪些 SQL 操作（如 SELECT、 INSERT 等）或访问哪些数据库对象（如表、视图等）。

2. MySQL 用户账户的定义信息保存在数据库的什么地方？

MySQL 用户账户的定义信息保存在 mysql 数据库的 user 表中。

3. 在定义用户时，要避免在主机名中使用通配符，除非绝对必要。请给出如何检查用户定义中包含有通配符的办法。

检查用户定义中包含有通配符的办法：

使用以下 SQL 查询检查 MySQL 用户定义中是否包含通配符：

SELECT user, host FROM mysql.user WHERE host LIKE '%';

该查询会返回主机名中包含通配符的所有用户。

4. 角色是一个不允许连接的帐户，因为它是作为锁定帐户创建的。可以使用 ALTER USER 语句解锁角色，将其转换为允许连接的帐户。请问这个说法对不对，给出验证结果。

关于角色是否可以通过解锁来转换为允许连接的账户的验证：

说法错误；

角色在 MySQL 中是一个不能直接连接的实体。即使使用 ALTER USER 语句解锁角色，角色依然不能作为普通用户连接。

角色设计的目的是为了权限管理，而不是作为一个连接账户。验证可以通过如下命令查看：

ALTER USER 'role_name'@'host' ACCOUNT UNLOCK;

这不会将角色转换为允许连接的帐户。

5. 请说明 FILE、PROCESS、RELOAD 这三个系统权限的作用？

FILE、PROCESS、RELOAD 三个系统权限的作用：

FILE ：允许用户执行文件相关的操作，如导入数据到表中（ LOAD DATA INFILE ）或从表导出数据到文件（SELECT INTO OUTFILE ）。

PROCESS ：允许用户查看所有线程的状态信息，而不仅仅是自己的（通过 SHOW PROCESSLIST 命令）。

RELOAD ：允许用户执行刷新操作，如刷新日志、重新加载权限表、刷新表缓存等（通过 FLUSH 命令）。

6. 在授予权限时，WITH GRANT OPTION 或 WITH ADMIN OPTION 子句会对被授予的权限有什么影响？

WITH GRANT OPTION 或 WITH ADMIN OPTION 子句对被授予权限的影响：

① WITH GRANT OPTION ：允许被授予的用户将其拥有的权限进一步授予其他用户。这增加了权限管理的复杂性，因为授予权限的链条会延长。

② WITH ADMIN OPTION ：在 MySQL 8.0 中用于角色管理，允许被授予的用户将角色授予其他用户。这也增加了权限链的复杂性。

7. 在权限管理中，不能将口令和对象直接关联，不能对表行进行授权，不能明确拒绝对特定对象比如表的访问。谈一下你对这三个判断的理解。

对以下权限管理判断的理解：

① 不能将口令和对象直接关联： MySQL 的权限系统基于用户和主机，而非口令和对象。

② 不能对表行进行授权： MySQL 的权限系统只能在表、列、视图等级别进行授权，而不能对单行数据进行授权。

③ 不能明确拒绝对特定对象的访问： MySQL 权限系统采用“白名单”模式，只能通过授予权限来控制访问，而没有明确的“拒绝”规则来阻止对特定对象的访问。

8. 请说明授权表的内容和它的作用？

授权表的内容及其作用：

① 授权表：授权表位于 mysql 数据库中，主要包括 user 、 db 、 tables_priv 、 columns_priv 等表。这些表存储着关于用户权限的详细信息。

② 作用：授权表控制着 MySQL 数据库中的用户权限，决定用户可以访问哪些资源、执行哪些操作。权限系统通过这些表来检查用户的操作权限。

9. 你是如何理解“最小权限原则”的？

对“最小权限原则”的理解：

最小权限原则（ Principle of Least Privilege, POLP ）是安全管理中的一个重要概念，指的是用户或进程应仅被授予完成任务所需的最小权限。

对于数据库管理，最小权限原则意味着为用户分配的权限应尽可能少，以减少安全风险。避免赋予过多权限可以降低因恶意操作或错误配置引发的安全问题。