MySQL管理員應(yīng)該知道如何設(shè)置MySQL用戶賬號(hào)，指出哪個(gè)用戶可以連接服務(wù)器，從哪里連接，連接后能做什么。MySQL 3.22.11開(kāi)始引入兩條語(yǔ)句使得這項(xiàng)工作更容易做：GRANT語(yǔ)句創(chuàng)建MySQL用戶并指定其權(quán)限，而REVOKE語(yǔ)句刪除權(quán)限。兩條語(yǔ)句扮演了mysql數(shù)據(jù)庫(kù)的前端角色，并提供與直接操作這些表的內(nèi)容不同的另一種方法。CREATE和REVOKE語(yǔ)句影響4個(gè)表：授權(quán)表
內(nèi)容
user 能連接服務(wù)器的用戶以及他們擁有的任何全局權(quán)限
db 數(shù)據(jù)庫(kù)級(jí)權(quán)限
tables_priv 表級(jí)權(quán)限
columns_priv 列級(jí)權(quán)限

還有第5個(gè)授權(quán)表（host），但它不受GRANT和REVOKE的影響。
當(dāng)你對(duì)一個(gè)用戶發(fā)出一條GRANT語(yǔ)句時(shí)，在user表中為該用戶創(chuàng)建一條記錄。如果語(yǔ)句指定任何全局權(quán)限（管理權(quán)限或適用于所有數(shù)據(jù)庫(kù)的權(quán)限），這些也記錄在user表中。如果你指定數(shù)據(jù)庫(kù)、表和列級(jí)權(quán)限，他們被分別記錄在db、tables_priv和columns_priv表中。
用GRANT和REVOKE比直接修改授權(quán)表更容易些，然而，建議你閱讀一下《MySQL安全性指南》。這些表異常重要，而且作為一名管理員，你應(yīng)該理解它們?nèi)绾纬紾RANT和REVOKE語(yǔ)句的功能水平。
在下面的章節(jié)中，我們將介紹如何設(shè)置MySQL用戶賬號(hào)并授權(quán)。我們也涉及如何撤權(quán)和從授權(quán)表中刪除用戶。
你可能也想考慮使用mysqlaccess和mysql_setpermission腳本，它是MySQL分發(fā)的一部分，它們是Perl腳本，提供GRANT語(yǔ)句的另一種選擇設(shè)置用戶賬號(hào)。mysql_setpermission需要安裝DBI支持。
1 創(chuàng)建用戶并授權(quán)

GRANT語(yǔ)句的語(yǔ)法看上去像這樣：
GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION　

要使用該語(yǔ)句，你需要填寫(xiě)下列部分：
privileges

授予用戶的權(quán)限，下表列出可用于GRANT語(yǔ)句的權(quán)限指定符：
權(quán)限指定符
權(quán)限允許的操作
ALTER 修改表和索引
CREATE 創(chuàng)建數(shù)據(jù)庫(kù)和表
DELETE 刪除表中已有的記錄
DROP 拋棄（刪除）數(shù)據(jù)庫(kù)和表
INDEX 創(chuàng)建或拋棄索引
INSERT 向表中插入新行
REFERENCE 未用
SELECT 檢索表中的記錄
UPDATE 修改現(xiàn)存表記錄
FILE 讀或?qū)懛?wù)器上的文件
PROCESS 查看服務(wù)器中執(zhí)行的線程信息或殺死線程
RELOAD 重載授權(quán)表或清空日志、主機(jī)緩存或表緩存。
SHUTDOWN 關(guān)閉服務(wù)器
ALL 所有；ALL PRIVILEGES同義詞
USAGE 特殊的“無(wú)權(quán)限”權(quán)限

上表顯示在第一組的權(quán)限指定符適用于數(shù)據(jù)庫(kù)、表和列，第二組數(shù)管理權(quán)限。一般，這些被相對(duì)嚴(yán)格地授權(quán)，因?yàn)樗鼈冊(cè)试S用戶影響服務(wù)器的操作。第三組權(quán)限特殊，ALL意味著“所有權(quán)限”，UASGE意味著無(wú)權(quán)限，即創(chuàng)建用戶，但不授予權(quán)限。
columns

權(quán)限運(yùn)用的列，它是可選的，并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個(gè)列，應(yīng)該用逗號(hào)分開(kāi)它們。
what

權(quán)限運(yùn)用的級(jí)別。權(quán)限可以是全局的（適用于所有數(shù)據(jù)庫(kù)和所有表）、特定數(shù)據(jù)庫(kù)（適用于一個(gè)數(shù)據(jù)庫(kù)中的所有表）或特定表的?？梢酝ㄟ^(guò)指定一個(gè)columns字句是權(quán)限是列特定的。
user

權(quán)限授予的用戶，它由一個(gè)用戶名和主機(jī)名組成。在MySQL中，你不僅指定誰(shuí)能連接，還有從哪里連接。這允許你讓兩個(gè)同名用戶從不同地方連接。MySQL讓你區(qū)分他們，并彼此獨(dú)立地賦予權(quán)限。
MySQL中的一個(gè)用戶名就是你連接服務(wù)器時(shí)指定的用戶名，該名字不必與你的Unix登錄名或Windows名聯(lián)系起來(lái)。缺省地，如果你不明確指定一個(gè)名字，客戶程序?qū)⑹褂媚愕牡卿浢鳛镸ySQL用戶名。這只是一個(gè)約定。你可以在授權(quán)表中將該名字改為nobody，然后以nobody連接執(zhí)行需要超級(jí)用戶權(quán)限的操作。
password

賦予用戶的口令，它是可選的。如果你對(duì)新用戶沒(méi)有指定IDENTIFIED BY子句，該用戶不賦給口令（不安全）。對(duì)現(xiàn)有用戶，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當(dāng)你用IDENTIFIED BY時(shí)，口令字符串用改用口令的字面含義，GRANT將為你編碼口令，不要象你用SET PASSWORD 那樣使用password()函數(shù)。
WITH GRANT OPTION子句是可選的。如果你包含它，用戶可以授予權(quán)限通過(guò)GRANT語(yǔ)句授權(quán)給其它用戶。你可以用該子句給與其它用戶授權(quán)的能力。
用戶名、口令、數(shù)據(jù)庫(kù)和表名在授權(quán)表記錄中是大小寫(xiě)敏感的，主機(jī)名和列名不是。
一般地，你可以通過(guò)詢問(wèn)幾個(gè)簡(jiǎn)單的問(wèn)題來(lái)識(shí)別GRANT語(yǔ)句的種類：
誰(shuí)能連接，從那兒連接？
用戶應(yīng)該有什么級(jí)別的權(quán)限，他們適用于什么？
用戶應(yīng)該允許管理權(quán)限嗎？

下面就討論一些例子。
1.1 誰(shuí)能連接，從那兒連接？

你可以允許一個(gè)用戶從特定的或一系列主機(jī)連接。有一個(gè)極端，如果你知道降職從一個(gè)主機(jī)連接，你可以將權(quán)限局限于單個(gè)主機(jī)：
GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"

(samp_db.*意思是“samp_db數(shù)據(jù)庫(kù)的所有表)另一個(gè)極端是，你可能有一個(gè)經(jīng)常旅行并需要能從世界各地的主機(jī)連接的用戶max。在這種情況下，你可以允許他無(wú)論從哪里連接：
GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"

“%”字符起通配符作用，與LIKE模式匹配的含義相同。在上述語(yǔ)句中，它意味著“任何主機(jī)”。所以max和max@%等價(jià)。這是建立用戶最簡(jiǎn)單的方法，但也是最不安全的。
取其中，你可以允許一個(gè)用戶從一個(gè)受限的主機(jī)集合訪問(wèn)。例如，要允許mary從snake.net域的任何主機(jī)連接，用一個(gè)%.snake.net主機(jī)指定符：
GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";

如果你喜歡，用戶標(biāo)識(shí)符的主機(jī)部分可以用IP地址而不是一個(gè)主機(jī)名來(lái)給定。你可以指定一個(gè)IP地址或一個(gè)包含模式字符的地址，而且，從MySQL 3.23，你還可以指定具有指出用于網(wǎng)絡(luò)號(hào)的位數(shù)的網(wǎng)絡(luò)掩碼的IP號(hào)：
GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby" GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz" GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"

第一個(gè)例子指出用戶能從其連接的特定主機(jī)，第二個(gè)指定對(duì)于C類子網(wǎng)192.168.128的IP模式，而第三條語(yǔ)句中，192.168.128.0/17指定一個(gè)17位網(wǎng)絡(luò)號(hào)并匹配具有192.168.128頭17位的IP地址?！?
如果MySQL抱怨你指定的用戶值，你可能需要使用引號(hào)（只將用戶名和主機(jī)名部分分開(kāi)加引號(hào)）。
GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
1.2 用戶應(yīng)該有什么級(jí)別的權(quán)限和它們應(yīng)該適用于什么？

你可以授權(quán)不同級(jí)別的權(quán)限，全局權(quán)限是最強(qiáng)大的，因?yàn)樗鼈冞m用于任何數(shù)據(jù)庫(kù)。要使ethel成為可做任何事情的超級(jí)用戶，包括能授權(quán)給其它用戶，發(fā)出下列語(yǔ)句：
GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION

ON子句中的*.*意味著“所有數(shù)據(jù)庫(kù)、所有表”。從安全考慮，我們指定ethel只能從本地連接。限制一個(gè)超級(jí)用戶可以連接的主機(jī)通常是明智的，因?yàn)樗拗屏嗽噲D破解口令的主機(jī)。
有些權(quán)限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理權(quán)限并且只能用"ON *.*"全局權(quán)限指定符授權(quán)。如果你愿意，你可以授權(quán)這些權(quán)限，而不授權(quán)數(shù)據(jù)庫(kù)權(quán)限。例如，下列語(yǔ)句設(shè)置一個(gè)flush用戶，他只能發(fā)出flush語(yǔ)句。這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會(huì)有用：
GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"

一般地，你想授權(quán)管理權(quán)限，吝嗇點(diǎn)，因?yàn)閾碛兴鼈兊挠脩艨梢杂绊懩愕姆?wù)器的操作。
數(shù)據(jù)庫(kù)級(jí)權(quán)限適用于一個(gè)特定數(shù)據(jù)庫(kù)中的所有表，它們可通過(guò)使用ON db_name.*子句授予：
GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"

第一條語(yǔ)句向bill授權(quán)samp_db數(shù)據(jù)庫(kù)中所有表的權(quán)限，第二條創(chuàng)建一個(gè)嚴(yán)格限制訪問(wèn)的用戶ro_user（只讀用戶），只能訪問(wèn)samp_db數(shù)據(jù)庫(kù)中的所有表，但只有讀取，即用戶只能發(fā)出SELECT語(yǔ)句。
你可以列出一系列同時(shí)授予的各個(gè)權(quán)限。例如，如果你想讓用戶能讀取并能修改現(xiàn)有數(shù)據(jù)庫(kù)的內(nèi)容，但不能創(chuàng)建新表或刪除表，如下授予這些權(quán)限：
GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"

對(duì)于更精致的訪問(wèn)控制，你可以在各個(gè)表上授權(quán)，或甚至在表的每個(gè)列上。當(dāng)你想向用戶隱藏一個(gè)表的部分時(shí)，或你想讓一個(gè)用戶只能修改特定的列時(shí)，列特定權(quán)限非常有用。如：
GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost

第一條語(yǔ)句授予對(duì)整個(gè)member表的讀權(quán)限并設(shè)置了一個(gè)口令，第二條語(yǔ)句增加了UPDATE權(quán)限，當(dāng)只對(duì)expiration列。沒(méi)必要再指定口令，因?yàn)榈谝粭l語(yǔ)句已經(jīng)指定了。
如果你想對(duì)多個(gè)列授予權(quán)限，指定一個(gè)用逗號(hào)分開(kāi)的列表。例如，對(duì)assistant用戶增加member表的地址字段的UPDATE權(quán)限，使用如下語(yǔ)句，新權(quán)限將加到用戶已有的權(quán)限中：
GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost
通常，你不想授予任何比用戶確實(shí)需要的權(quán)限寬的權(quán)限。然而，當(dāng)你想讓用戶能創(chuàng)建一個(gè)臨時(shí)表以保存中間結(jié)果，但你又不想讓他們?cè)谝粋€(gè)包含他們不應(yīng)修改內(nèi)容的數(shù)據(jù)庫(kù)中這樣做時(shí)，發(fā)生了要授予在一個(gè)數(shù)據(jù)庫(kù)上的相對(duì)寬松的權(quán)限。你可以通過(guò)建立一個(gè)分開(kāi)的數(shù)據(jù)庫(kù)（如tmp）并授予開(kāi)數(shù)據(jù)庫(kù)上的所有權(quán)限來(lái)進(jìn)行。例如，如果你想讓來(lái)自mars.net域中主機(jī)的任何用戶使用tmp數(shù)據(jù)庫(kù)，你可以發(fā)出這樣的GRANT語(yǔ)句：
GRANT ALL ON tmp.* TO ""@mars.net
在你做完之后，用戶可以創(chuàng)建并用tmp.tbl_name形式引用tmp中的表（在用戶指定符中的""創(chuàng)建一個(gè)匿名用戶，任何用戶均匹配空白用戶名）。
1.3 用戶應(yīng)該被允許管理權(quán)限嗎？

你可以允許一個(gè)數(shù)據(jù)庫(kù)的擁有者通過(guò)授予數(shù)據(jù)庫(kù)上的所有擁有者權(quán)限來(lái)控制數(shù)據(jù)庫(kù)的訪問(wèn)，在授權(quán)時(shí)，指定WITH GRANT OPTION。例如：如果你想讓alicia能從big.corp.com域的任何主機(jī)連接并具有sales數(shù)據(jù)庫(kù)中所有表的管理員權(quán)限，你可以用如下GRANT語(yǔ)句：
GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION
在效果上WITH GRANT OPTION子句允許你把訪問(wèn)授權(quán)的權(quán)利授予另一個(gè)用戶。要注意，擁有GRANT權(quán)限的兩個(gè)用戶可以彼此授權(quán)。如果你只給予了第一個(gè)用戶SELECT權(quán)限，而另一個(gè)用戶有GRANT加上SELECT權(quán)限，那么第二個(gè)用戶可以是第一個(gè)用戶更“強(qiáng)大”。
2 撤權(quán)并刪除用戶

要取消一個(gè)用戶的權(quán)限，使用REVOKE語(yǔ)句。REVOKE的語(yǔ)法非常類似于GRANT語(yǔ)句，除了TO用FROM取代并且沒(méi)有INDETIFED BY和WITH GRANT OPTION子句：
REVOKE privileges (columns) ON what FROM user
user部分必須匹配原來(lái)GRANT語(yǔ)句的你想撤權(quán)的用戶的user部分。privileges部分不需匹配，你可以用GRANT語(yǔ)句授權(quán)，然后用REVOKE語(yǔ)句只撤銷部分權(quán)限。
REVOKE語(yǔ)句只刪除權(quán)限，而不刪除用戶。即使你撤銷了所有權(quán)限，在user表中的用戶記錄依然保留，這意味著用戶仍然可以連接服務(wù)器。要完全刪除一個(gè)用戶，你必須用一條DELETE語(yǔ)句明確從user表中刪除用戶記錄：
%mysql -u root mysqlmysql>DELETE FROM user ->WHERE User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES;　

DELETE語(yǔ)句刪除用戶記錄，而FLUSH語(yǔ)句告訴服務(wù)器重載授權(quán)表。（當(dāng)你使用GRANT和REVOKE語(yǔ)句時(shí)，表自動(dòng)重載，而你直接修改授權(quán)表時(shí)不是。）

原作者：sonymusic