第二部分：进阶主题 12 . 用户管理 --[MySQL轻松入门教程]

MySQL 用户管理涉及到创建用户、授予和撤销权限、修改密码以及删除用户等操作。以下是一些常用的 MySQL 用户管理命令：

创建用户

下面是两个创建 MySQL 用户的示例，包括授予用户权限。请确保您以具有足够权限（如 root）的用户身份登录到 MySQL。

示例 1: 创建一个只能从本地访问的用户，并给予对特定数据库的所有权限

假设我们想创建一个名为 app_user 的用户，该用户只能从本地连接，并且拥有对名为 app_database 数据库的所有权限。

-- 创建用户并设置密码
CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'SecurePassword123';-- 授予用户对特定数据库的所有权限
GRANT ALL PRIVILEGES ON app_database.* TO 'app_user'@'localhost';-- 确保权限立即生效
FLUSH PRIVILEGES;

示例 2: 创建一个可以从任何地方访问的用户，并给予只读权限

如果我们需要创建一个名为 readonly_user 的用户，这个用户可以从互联网上的任何地方连接，并且只有对 app_database 数据库的只读权限（即 SELECT 权限）。

-- 创建用户并设置密码
CREATE USER 'readonly_user'@'%' IDENTIFIED BY 'AnotherSecurePassword456';-- 授予用户对特定数据库的只读权限
GRANT SELECT ON app_database.* TO 'readonly_user'@'%';-- 确保权限立即生效
FLUSH PRIVILEGES;

请注意，在第二个例子中，使用了 '%' 作为主机名，这意味着用户可以从任意主机连接。这在生产环境中可能会带来安全风险，因此通常建议限制用户可以连接的主机地址或使用更严格的网络措施来保护数据库的安全。

执行这些命令后，请记得测试新用户的连接和权限，以确保一切按预期工作。

授予权限

以下是两个 MySQL 授予权限的示例。这两个例子将展示如何为用户授予不同级别的权限。

示例 1: 授予所有权限

假设我们有一个名为 developer 的用户，想要给予这个用户对名为 development_db 的数据库的所有权限（包括创建、删除表等）。这通常用于开发环境中，以便开发者可以自由地进行各种操作。

-- 确保你以有足够权限的用户登录，比如root用户
GRANT ALL PRIVILEGES ON development_db.* TO 'developer'@'localhost';-- 刷新权限以确保更改立即生效
FLUSH PRIVILEGES;

在这个例子中，ALL PRIVILEGES 表示该用户将获得对 development_db 数据库内所有对象的最大权限。development_db.* 意味着权限适用于 development_db 中的所有表。

示例 2: 授予只读权限

如果我们有一个名为 report_user 的用户，这个用户只需要从报表应用读取数据，那么我们可以仅授予 SELECT 权限，从而限制其只能执行查询操作而不能修改数据。

-- 只授予SELECT权限，保证用户只能读取数据
GRANT SELECT ON production_db.* TO 'report_user'@'localhost';-- 刷新权限以确保更改立即生效
FLUSH PRIVILEGES;

在此命令中，GRANT SELECT ON production_db.* 表明 report_user 将拥有对 production_db 数据库内所有表的 SELECT 权限，即只能执行查询操作。

请注意，在生产环境中，应该根据实际需求尽可能遵循最小权限原则，即只为用户分配完成其工作所必需的最少权限。这样做有助于提高系统的安全性，并减少潜在的安全风险。

修改密码

修改 MySQL 用户的密码是管理数据库安全的重要部分。以下是两个修改用户密码的示例，包括使用最新推荐的方法。

示例 1: 修改本地用户的密码

假设我们有一个名为 app_user 的用户，该用户只能从本地 (localhost) 连接到数据库。我们需要为这个用户设置一个新的密码：

-- 使用ALTER USER语句来修改密码
ALTER USER 'app_user'@'localhost' IDENTIFIED WITH mysql_native_password BY 'NewSecurePassword123';-- 刷新权限以确保更改立即生效（在某些情况下需要）
FLUSH PRIVILEGES;

在这个例子中，ALTER USER 是用于修改用户账户属性的标准 SQL 语句。IDENTIFIED WITH mysql_native_password BY 指定了新的认证方式和密码。

示例 2: 修改远程用户的密码

如果我们有一个可以从任何地方连接的用户 remote_user，我们同样可以为其修改密码。这里假设旧密码可能已经泄露或不再安全，所以我们要尽快更新它：

-- 修改可以来自任何主机的用户的密码
ALTER USER 'remote_user'@'%' IDENTIFIED WITH mysql_native_password BY 'AnotherVerySecurePassword456';-- 刷新权限以确保更改立即生效（在某些情况下需要）
FLUSH PRIVILEGES;

在这个命令中，'remote_user'@'%' 表示 remote_user 可以从任意 IP 地址连接到 MySQL 服务器。请注意，允许从任何地方连接可能会带来安全风险，因此应根据实际情况考虑是否限制特定的 IP 地址。

注意事项：

• 在执行这些命令时，请确保您是以拥有足够权限的用户身份登录，例如 root 用户。
• 修改密码后，所有使用该用户进行连接的应用程序都需要更新配置以使用新密码。
• 如果您的 MySQL 版本较老，可能不支持 ALTER USER ... IDENTIFIED WITH 语法，您可以使用 SET PASSWORD 或 UPDATE mysql.user 然后 FLUSH PRIVILEGES 来代替，但这是较为过时的做法。
• 始终确保密码的安全性，避免使用容易被猜测的密码，并定期更换密码。

撤销权限

撤销 MySQL 用户的权限是确保数据库安全和控制用户访问的重要步骤。以下是两个撤销权限的示例，演示如何从用户那里撤回特定的权限。

示例 1: 撤销所有权限

假设我们有一个名为 app_user 的用户，之前给予了对 development_db 数据库的所有权限。现在我们决定撤销该用户的全部权限：

-- 撤销用户对特定数据库的所有权限
REVOKE ALL PRIVILEGES ON development_db.* FROM 'app_user'@'localhost';-- 刷新权限以确保更改立即生效（在某些情况下需要）
FLUSH PRIVILEGES;

在这个例子中，REVOKE ALL PRIVILEGES 命令会移除 app_user 对 development_db 数据库的所有权限。请注意，这不会删除用户本身，仅移除其对该数据库的访问权限。

示例 2: 撤销特定权限

如果我们有一个用户 report_user，该用户有对 production_db 数据库的 SELECT 权限。现在我们决定只撤销这个用户的 SELECT 权限，而保留其他可能存在的权限（如果有的话）：

-- 撤销用户对特定数据库的SELECT权限
REVOKE SELECT ON production_db.* FROM 'report_user'@'localhost';-- 刷新权限以确保更改立即生效（在某些情况下需要）
FLUSH PRIVILEGES;

在此命令中，REVOKE SELECT 专门用于撤回 report_user 对 production_db 数据库内所有表的 SELECT 权限。这意味着该用户将不再能够查询这些表中的数据，但仍可能保留其他权限，如 INSERT 或 UPDATE（如果有授予的话）。

注意事项：

• 在执行这些命令时，请确保您是以拥有足够权限的用户身份登录，例如 root 用户。
• 撤销权限后，任何依赖于被撤销权限的应用程序或脚本可能会受到影响，因此请提前通知相关方并做好必要的调整。
• 如果您的环境中存在复杂的权限配置，建议先备份当前的权限设置，以便在必要时可以恢复到先前的状态。
• 使用 REVOKE 语句时要小心，因为错误的操作可能导致意料之外的访问限制或安全问题。

删除用户

删除 MySQL 用户是管理数据库安全和用户访问控制的一部分。以下是两个删除用户的示例，演示如何安全地从系统中移除用户。

示例 1: 删除本地用户

假设我们有一个名为 app_user 的用户，该用户只能从本地 (localhost) 连接到数据库。现在我们决定完全删除这个用户及其所有权限：

-- 删除本地用户
DROP USER 'app_user'@'localhost';-- 刷新权限以确保更改立即生效（在某些情况下需要）
FLUSH PRIVILEGES;

在这个例子中，DROP USER 命令会彻底移除 app_user 用户以及其所有的权限设置。请注意，这不会影响同名但来自不同主机的用户（例如 'app_user'@'%'）。

示例 2: 删除可以远程连接的用户

如果我们有一个可以从任何地方连接的用户 remote_user，并且我们决定不再允许该用户访问数据库，我们可以使用如下命令来删除它：

-- 删除可以来自任何主机的用户
DROP USER 'remote_user'@'%';-- 刷新权限以确保更改立即生效（在某些情况下需要）
FLUSH PRIVILEGES;

在此命令中，'remote_user'@'%' 表示无论 remote_user 从哪个 IP 地址连接，都将被移除。这同样适用于所有匹配此模式的用户记录。

注意事项：

• 在执行这些命令时，请确保您是以拥有足够权限的用户身份登录，例如 root 用户。
• 删除用户是一个不可逆的操作，请谨慎操作并确认确实不再需要该用户。
• 如果您的环境中存在依赖于该用户的自动化脚本或应用程序，请确保在删除用户之前已经更新了这些依赖关系，以避免服务中断。
• 使用 DROP USER 语句时要小心，因为错误的操作可能会导致意外的用户删除，从而影响系统的正常运行。

通过以上步骤，您可以有效地管理和维护 MySQL 数据库中的用户账户，确保只有授权的用户能够访问数据库资源。

刷新权限

在 MySQL 中，刷新权限是确保最近授予、修改或撤销的权限立即生效的重要步骤。通常情况下，MySQL 会自动处理权限的更新，但在某些情况下（例如手动修改权限表后），您可能需要显式地刷新权限。以下是两个刷新权限的示例。

示例 1: 使用 FLUSH PRIVILEGES 刷新权限

这是最直接的方法，适用于大多数情况。当您通过 SQL 语句（如 GRANT、REVOKE 或 ALTER USER）修改用户权限后，可以使用以下命令刷新权限：

-- 刷新权限以确保更改立即生效
FLUSH PRIVILEGES;

这条命令会告诉 MySQL 重新加载权限表，使得所有最近的权限变更立即生效。它是一个非常快速的操作，并且不会影响正在运行的查询。

示例 2: 重启 MySQL 服务来刷新权限

虽然这不是一个推荐的做法，因为涉及到服务中断，但在某些特殊情况下，比如手动编辑了权限表文件，您可以选择重启 MySQL 服务来确保所有权限设置都被正确加载。

注意： 重启服务会导致短暂的服务中断，所有正在进行的连接都将被断开。因此，应该尽量避免在生产环境中频繁使用这种方法。

在 Linux 系统上：

sudo systemctl restart mysql
# 或者，根据您的系统配置可能是 mysqld 或 mariadb
# sudo systemctl restart mysqld
# sudo systemctl restart mariadb

在 Windows 系统上：

1. 打开“服务”管理器（可以通过运行 services.msc 来打开）。
2. 找到 MySQL 服务（名称可能类似于 “MySQL80” 或其他版本号）。
3. 右键点击该服务并选择“重启”。

注意事项：

• 在执行 FLUSH PRIVILEGES 时，请确保您是以拥有足够权限的用户身份登录，例如 root 用户。
• 对于大多数日常操作，FLUSH PRIVILEGES 已经足够，并且不会引起服务中断。
• 如果您在修改权限之后遇到权限未生效的问题，尝试使用 FLUSH PRIVILEGES。如果问题仍然存在，检查是否有语法错误或者是否正确指定了用户名和主机名。

通过上述方法，您可以确保 MySQL 数据库中的权限设置总是最新的，并且用户能够按照预期访问资源。

请记得，直接在命令行中使用 SQL 命令来管理用户时，务必小心，因为错误的操作可能会导致数据访问问题或者安全风险。在生产环境中，建议先备份数据，并且尽可能在测试环境中先行试验。