mysql代理用户(proxy)是让已认证用户(如app_user)代入另一用户(如alice)权限上下文的机制,需开启check_proxy_users、显式授权grant proxy on ‘alice’@’%’ to ‘app_user’@’%’,并客户端指定–proxy-user=alice等参数才能生效。
MySQL 代理用户(PROXY)是什么,什么时候必须用
代理用户不是普通账号,它本身不存密码、不直接登录,而是让一个已认证的用户「代入」另一个用户的权限上下文。典型场景是应用统一用 app_user 连接,但希望按实际操作人(比如 alice 或 bob)来走行级权限或审计日志——这时就靠 PROXY 授权把 app_user 和 alice 绑定起来。
常见错误现象:access denied for user 'app_user'@'%' using password: YES,但账号明明能连;或者 CURRENT_USER() 返回 app_user@%,而 USER() 是 alice@localhost,却始终拿不到 alice 的权限——说明代理没生效或没授权。
- 必须显式开启
check_proxy_users系统变量(默认 OFF),否则代理关系被忽略 - 代理目标用户(如
alice)必须真实存在,且不能是匿名用户(''@'%') -
app_user自身不需要有数据库权限,它的作用只是“跳板”,真正权限来自被代理用户
如何正确授予 PROXY 权限并验证是否生效
PROXY 权限不是 GRANT 语句里写的那种常规权限,它是独立的、全局级的授权类型,语法固定且容易写错。
实操命令:
GRANT PROXY ON 'alice'@'%' TO 'app_user'@'%';注意点:
-
'alice'@'%'必须和CREATE USER 'alice'@'%'中定义的 host 完全一致,哪怕只差一个空格也会失败 - 不能写成
GRANT PROXY ON alice TO app_user(漏掉引号和 host)——会报错Error 1410 (42000): You are not allowed to create a user with GRANT - 执行后需
FLUSH PRIVILEGES;,否则代理关系不加载 - 验证是否生效:
select * FROM mysql.proxies_priv WHERE User='app_user' AND Host='%';,应有对应记录
连接时启用代理的关键参数和常见失败原因
客户端连上去后,MySQL 不会自动触发代理;必须在连接字符串或客户端配置里明确告诉服务器:“我要以某身份代理登录”。
不同客户端方式:
- mysql 命令行:加
--proxy-user=alice参数,例如mysql -uapp_user -p --proxy-user=alice - Java JDBC:URL 中加
&sessionVariables=proxy_user=alice(MySQL 8.0+ 支持),或用 Connector/J 8.0.23+ 的proxyUser属性 - Python MySQLdb / PyMySQL:不原生支持,需在连接后手动执行
SET SESSION proxy_user = 'alice'(仅限 SUPER 权限用户,生产慎用)
容易踩的坑:
- MySQL 5.7 默认关闭
check_proxy_users,启动时没加--check-proxy-users或没在my.cnf里设check_proxy_users=ON,代理完全不工作 - 代理目标用户
alice如果被锁(account_locked=1),即使app_user能连,代理也会失败并报Access denied - 如果
app_user没有USAGE权限(即最基础的连接权),GRANT PROXY 会成功,但连接时仍拒绝——得先GRANT USAGE ON *.* TO 'app_user'@'%'
PROXY 模式下 CURRENT_USER() 和 USER() 的行为差异
这是调试时最容易混淆的一点:两个函数返回值不同,直接影响权限判断逻辑和审计日志准确性。
-
USER()返回「谁连上来的」,即认证用户,比如app_user@192.168.1.100 -
CURRENT_USER()返回「当前生效的权限上下文」,代理成功后就是alice@%,权限检查、SQL 审计、行级策略都基于这个值 - 如果你在存储过程中用
if CURRENT_USER() = 'alice'@'%'做分支,没问题;但用USER()就永远是app_user,逻辑会崩 - 触发器或视图定义中若依赖
CURRENT_USER(),必须确保代理已生效,否则上线后行为突变
代理不是透明的魔法,它改变了权限锚点,所有依赖用户身份的逻辑都要重新校验是否适配 CURRENT_USER()。