mysql 8.0引入角色功能,通过CREATE ROLE创建角色,GRANT授予权限,可将角色分配给用户并用SET default ROLE激活,默认角色需手动启用,使用SHOW GRANTS查看权限,REVOKE撤销权限或角色,简化多用户环境权限管理。
MySQL 从 8.0 版本开始引入了角色(Role)管理功能,允许将一组权限打包成一个角色,然后将角色分配给用户,简化权限管理。这种方式特别适合多用户、多环境的权限控制场景。
1. 创建和删除角色
角色本质上是一个特殊的用户账户,但不用于登录。使用 CREATE ROLE 命令创建角色:
CREATE ROLE ‘app_developer’, ‘app_readonly’;
上述语句创建了两个角色:’app_developer’ 和 ‘app_readonly’。
删除角色使用 DROP ROLE:
DROP ROLE ‘app_readonly’;
2. 给角色授予权限
使用 GRANT 语句为角色赋予具体权限。例如,让 ‘app_developer’ 拥有对某个数据库的全部操作权限:
- GRANT select, INSERT, UPDATE, delete ON mydb.* TO ‘app_developer’;
- GRANT ALL PRIVILEGES ON mydb.logs TO ‘app_readonly’;
也可以授予系统级权限,如:
GRANT CREATE, DROP ON *.* TO ‘app_developer’;
3. 将角色分配给用户
先确保用户存在,然后把角色赋予该用户:
GRANT ‘app_developer’ TO ‘alice’@’localhost’;
如果用户不存在,可先创建:
CREATE USER ‘bob’@’%’ IDENTIFIED BY ‘password‘;
GRANT ‘app_readonly’ TO ‘bob’@’%’;
4. 激活角色
用户登录后,默认角色不会自动激活。需要手动设置默认角色或在会话中启用。
设置用户的默认角色:
西部数码域名虚拟主机分销管理系统简单易用通过API接口与上级服务商通信。让使用者能在操作简单快捷的情况下轻松完成业务的实时申请、开通和管理以及续费升级。 系统的主要特色有:开源免费、模板分离使用方便、可以不依赖于上级代理独立运行、客服托管系统,降低售后服务压力、在线升级、无限级别代理平台、免费集成新网万网等五大域名注册接口、功能强大界面美观等 系统包含如下模块: 1、域名实时注册
73 
SET DEFAULT ROLE ‘app_developer’ TO ‘alice’@’localhost’;
或者在当前会话中激活角色:
SET ROLE ‘app_developer’;
查看当前生效的角色:
SELECT CURRENT_ROLE();
5. 查看角色和权限
查看某用户被授予了哪些角色:
SHOW GRANTS for ‘alice’@’localhost’;
查看角色具体有哪些权限:
SHOW GRANTS FOR ‘app_developer’;
6. 撤销权限或角色
撤销角色中的权限:
REVOKE INSERT ON mydb.* FROM ‘app_developer’;
撤销用户的角色:
REVOKE ‘app_developer’ FROM ‘alice’@’localhost’;
基本上就这些。通过合理使用角色,可以大幅降低权限管理复杂度,提升数据库安全性和维护效率。注意:所有操作需具备相应权限(如 GRANT OPTION),建议由 dba 统一管理角色策略。