安全迁移 mysql 用户权限需先用 mysqldump 导出 mysql 库中 user、db 等权限表生成可审计 SQL,再清理目标库同名用户避免权限叠加,最后分步导入 CREATE USER 和 GRANT 语句并验证。
安全迁移 MySQL 用户权限,核心是完整导出源库的权限定义,并在目标库中精准还原,避免遗漏或误授。关键在于不直接复制 mysql 系统表(如 user、db、tables_priv),而应使用官方推荐的逻辑导出方式——即生成可读、可审计、可验证的 SQL 语句。
导出用户与权限:用 mysqldump + –skip-lock-tables
MySQL 自带的 mysqldump 是最稳妥的导出工具,需指定系统库和权限相关表,同时跳过锁表以减少对线上影响:
- 执行命令:
mysqldump -u root -p --skip-lock-tables --databases mysql --tables user db tables_priv columns_priv procs_priv proxies_priv > mysql_grants.sql - 注意:必须包含
--databases mysql和显式--tables列表,否则默认不导出系统库;--skip-lock-tables防止阻塞业务查询 - 导出后检查
mysql_grants.sql中是否含CREATE USER和GRANT语句(5.7+ 默认开启log_bin_trust_function_creators后才支持完整还原)
清理目标库残留:先删再导,避免权限叠加
目标 MySQL 实例若已有同名用户,直接导入会导致权限合并(如重复 GRANT 会累加,而非覆盖),引发越权风险:
- 登录目标库,逐个删除待迁移用户:
DROP USER 'user1'@'host1'; DROP USER 'user2'@'host2'; - 若用户较多,可用脚本生成批量 DROP 语句:
select CONCAT('DROP USER ''',user,'''@''',host,''';') FROM mysql.user WHERE user NOT IN ('root','mysql.session','mysql.sys'); - 执行
FLUSH PRIVILEGES;确保内存权限同步清空
导入权限并验证:分步执行 + 手动核对
导入不是“一键完成”,需控制节奏并验证结果:
- 先导入用户定义(CREATE USER):
mysql -u root -p mysql (仅执行含 CREATE USER 的行) - 再执行 GRANT 语句(可过滤后导入):
grep 'GRANT ' mysql_grants.sql | mysql -u root -p - 验证示例:
SHOW GRANTS for 'app_user'@'10.20.%';对比源库输出是否一致;SELECT user, host, authentication_string FROM mysql.user WHERE user = 'app_user';检查密码哈希是否迁移成功(注意:5.7+ 使用authentication_string字段)
特殊场景处理:跨版本 / 密码格式兼容
MySQL 5.7 升级到 8.0 时,原 mysql_native_password 用户可能因默认认证插件变更而无法登录:
- 导出前,在源库(5.7)确认用户认证方式:
SELECT user, host, plugin FROM mysql.user WHERE user = 'xxx'; - 若 plugin 为
mysql_native_password,导入 8.0 后需手动重置:ALTER USER 'xxx'@'yyy' IDENTIFIED WITH mysql_native_password BY 'password'; - 8.0+ 新增角色(ROLE)机制,若源库用了角色,需额外导出
role_edges和default_roles表,并按依赖顺序导入
不复杂但容易忽略细节,重点盯住用户是否存在、密码是否生效、权限是否精确匹配,而不是只看导入有没有报错。