如何在 MySQL 中管理用户和认证

我们将使用的命令

要在 MySQL 中创建、修改和删除用户，您需要使用的核心命令是：

• CREATE USER: 创建一个新的用户账户
• ALTER USER: 更改现有用户账户
• DROP USER: 删除现有用户账户

所需权限

要执行上述命令，您需要使用具有 CREATE USER 权限的账户登录 MySQL。CREATE USER 权限允许您创建、修改、删除和重命名用户，以及其他操作。我们还需要对 mysql 数据库具有 SELECT 权限，以查看现有用户的信息。

按优先顺序，您应该使用以下账户登录：

• 一个受限账户，该账户对 mysql 数据库具有 CREATE USER 权限和 SELECT 权限
• 具有 MySQL 中所有权限的 root 或管理用户

MySQL 用户账户的语法是什么？

在 MySQL 中，用户账户由两个独立的信息组成，通过一个“@”符号连接：

• 用户名
• 用户连接的主机

通常，系统上的用户账户看起来像这样：

'<user>'@'<host>'

如上所示，可以使用单引号单独包装用户和主机组件。如果其中任何一个组件包含可能被误解的字符，则有时是必要的。一般来说，添加它们始终是一个好主意，以明确表示。

因此，在 MySQL 中，完整的账户名不仅仅是 'john'，还需要某种主机，例如 'john'@'localhost'。这意味着系统上可能存在多个 'john' 账户，只要它们来自不同的域，MySQL 就会将它们视为唯一的账户。

尽管如此，还是可以定义没有用户或主机组件的用户账户，但您必须了解其中重要的含义。

您可以使用空字符串定义一个没有用户值的用户账户：

''@'<host>'

例如，您可以创建一个用户，如 ''@'localhost'。此用户将匹配从本地计算机连接的 任何 用户名。

同样，您可以拥有一个可以匹配任何主机的用户账户。对于主机值，您可以使用 % 通配符，如下所示：

'<user>'@'%'

例如，如果您创建 'john'@'%'，该账户将匹配从 任何 主机连接的 'john' 用户。

MySQL 如何认证用户？

了解 MySQL 实际如何处理每个认证请求对于避免一类常见的认证问题非常重要，这些问题是由于合理但不正确的假设导致的。这在我们的 MySQL 认证和授权简介文章中已深入讨论。

当认证连接请求时，MySQL 使用其内部 mysql 数据库的 user 表中的多个字段来决定是否允许连接。MySQL 最多 使用 一条 用户账户记录来尝试认证连接。这意味着如果存在多条可以匹配连接的账户，MySQL 需要一种方法来决定使用哪个用户账户。

MySQL 认证用户的算法在服务器启动时开始。启动时，MySQL 将整个 mysql.user 表加载到内存中。每当使用常规 MySQL 命令创建用户账户时，它也会这样做。在加载表时，它会将条目从最高优先级排序到最低优先级。

MySQL 使用 Host 列作为主要排序字段，并优先选择具有更具体值的结果。因此，文字值被排序到顶部作为最高优先级，而使用通配符（如 %）的值则排序到底部。最后的条目是那些只包含 % 没有其他字符的，其次是主机完全为空的条目。

对于具有相同 Host 值的任何条目，User 列用作辅助排序字段。同样，更精确的匹配项会得到优先排序。由于 User 列不能使用通配符，因此除那些具有空白 User 值的条目外，所有条目都处于平等地位。这些条目被排序到底部。如果选择了任何具有空白 User 值的条目，则该用户将作为“匿名用户”进行身份验证，这通常等同于没有权限。

现在，每当发出连接请求时，MySQL 都会从上到下遍历其内存中的排序表。它使用找到的 第一个 条目来认证用户，无论是否存在其他也匹配的条目。如果客户端未能使用该条目定义的方法进行认证，连接将失败，并且不会检查其他条目。

在 MySQL 用户账户定义中不包含用户或主机的含义是什么？

由于 MySQL 的认证算法，如果您在创建不包含用户或主机组件的用户账户时不小心，可能会出现问题。这是因为 MySQL 决定使用哪条记录来认证您的方式可能不直观且令人惊讶。

例如，如果用户使用空白字符串作为用户部分进行 MySQL 认证，MySQL 会在会话的其余部分将其视为“匿名用户”。通常，匿名用户几乎没有权限，连接后能做的事情非常少。甚至在尝试使用其他用户账户进行认证时，也可能不小心认证为匿名用户。

使用通配符 主机 的用户账户的挑战在于，其他 包含 主机值的用户账户可以轻松地屏蔽或使使用通配符的用户账户不可用。

例如，如果您有一个用户账户定义为 'emily'@'%'，您可能期望能够从任何主机认证到 'emily'。但是，如果您有一个用户账户用户为空但主机值与 'emily' 连接的主机匹配，MySQL 将改用该账户进行认证（导致如上所述的匿名用户登录）。

因此，例如，MySQL 会将以下账户按以下顺序排序：

基本语法

创建新用户 的基本语法相对简单。您使用 CREATE USER 命令，然后指定新账户的用户和主机：

CREATE USER '<user>'@'<host>';

这将创建一个基本账户，在创建时除了其用户和主机之外不配置任何详细信息。

如何创建带密码的用户？

通常，您希望在创建用户时配置认证。您可以通过在 CREATE USER 语句中添加可选的 IDENTIFIED BY 子句来实现：

CREATE USER '<user>'@'<host>' IDENTIFED BY '<password>';

这会像以前一样创建一个新用户账户，并同时为该账户分配密码。我们稍后将介绍如何在事后分配密码或如何更改用户的密码。

如何创建具有 Unix 套接字认证的用户？

虽然密码认证是大多数用户最常见的认证方法，但它不是唯一的选项。MySQL 提供了许多不同的内部和外部认证机制，您可以配置它们供您的用户账户使用。例如，我们将使用 Unix 套接字认证配置一个新账户。

Unix 套接字认证可以在 Linux 或类 Unix 环境中使用，以便操作系统上的账户无需进一步认证即可访问 MySQL 中同名的账户。在此配置中，MySQL 管理员知道操作系统上的用户账户受到严格控制。

因此，如果操作系统上有一个 mary 用户，如果 Unix 套接字认证是定义的认证机制，他们将能够登录到 MySQL 中的 'mary'@'localhost' 账户。让我们现在配置这个。

套接字认证需要 auth_socket 插件，所以首先通过键入以下命令加载插件：

INSTALL PLUGIN auth_socket SONAME 'auth_socket.so';

接下来，创建一个与您操作系统上的用户账户匹配的用户账户。在此示例中，我们将使用上面讨论的 mary 账户。如果您不使用与您操作系统名称之一匹配的名称，您将无法使用此用户进行认证。

要创建具有套接字认证的用户，我们需要使用 IDENTIFIED WITH 子句（与前面使用的 IDENTIFIED BY 子句不同）来指定要使用的认证插件：

CREATE USER 'mary'@'localhost' IDENTIFIED WITH auth_socket;

现在，您应该能够从操作系统上的 mary 用户认证到 MySQL 的 'mary'@'localhost' 用户。以 mary 身份登录时，无需提供任何用户名或密码即可连接到数据库：

mysql

您应该通过您配置的 Unix 套接字认证自动登录。

如何更改 MySQL 用户的密码？

对于大多数人来说，ALTER USER 最常见的用途是修改密码。

例如，您可以通过键入以下内容修改 'kamal'@'localhost' 的密码：

ALTER USER 'kamal'@'localhost' IDENTIFIED BY '<new_password>';

如果您想为用户设置一个他们必须立即替换的临时密码，您可以同时设置和过期密码：

ALTER USER 'kamal'@'localhost' IDENTIFIED BY '<new_password>' PASSWORD EXPIRE;

您总是可以更改自己的密码，即使没有 CREATE USER 权限。最简单的方法是使用 USER() 函数自动填写您自己的用户名：

ALTER USER USER() IDENTIFIED BY '<new_password>';

如何更改 MySQL 用户的认证插件？

您还可以更改用于认证账户的机制或插件。

在前面的示例中，我们配置了一个名为 'mary'@'localhost' 的账户使用 Unix 套接字认证。如果以后我们想将该账户更改为使用常规密码认证，我们可以再次使用 ALTER USER 命令。

首先，确定服务器的默认认证插件。如果它是基于密码的认证方法，最好重新使用默认选择：

SHOW VARIABLES LIKE 'default_authentication_plugin';

在这种情况下，默认的认证插件是 caching_sha2_password，因此在切换到密码认证时我们将使用它。

现在，将 'mary'@'localhost' 更改为使用 caching_sha2_password 插件并设置新密码：

ALTER USER 'mary'@'localhost' IDENTIFIED WITH 'caching_sha2_password' BY '<marys_password>';

'mary'@'localhost' 用户将不再能够使用 Unix 套接字认证登录，但他们可以使用提供的密码登录。

如何使用密码登录本地数据库？

要使用带密码的用户账户登录本地托管的 MySQL 数据库，基本语法如下：

mysql --user=<username> --password <dbname>

因此，如果 'kamal'@'localhost' 用户想登录 MySQL 并从托管系统的计算机连接到 testing 数据库，他们可以键入：

mysql --user=kamal --password testing

mysql 客户端将提示输入 'kamal'@'localhost' 的密码。如果您提供正确的凭据，您将连接到 testing 数据库。

在命令行上指定数据库是可选的。如果未指定，您将连接到服务器，但不会连接到特定的数据库。

如何使用 Unix 套接字认证登录本地数据库？

要使用 Unix 套接字认证登录本地 MySQL 服务器，您需要以匹配的账户名称登录到您的操作系统。因此，如果我们想使用 Unix 套接字认证来认证 'mary'@'localhost'，我们首先必须以名为 mary 的用户名登录到我们的计算机。

一旦您使用正确的操作系统账户，您可以通过执行客户端，无需任何选项，直接连接到本地数据库。

mysql

和以前一样，您可以选择追加一个数据库名称以连接到您想要的特定数据库。

如何使用密码登录远程数据库？

如果您的 MySQL 服务器不在本地服务器上运行，您将不得不指定客户端应尝试连接的主机。您可以通过添加 --host 选项来做到这一点。

大多数情况下，您将使用密码认证远程 MySQL 服务器，因此命令看起来像这样：

mysql --user=<username> --password --host=<host> <dbname>

因此 'tanya'@'<tanyas_domain>' 可以通过键入以下命令连接到位于 example.com 的 MySQL 服务器：

mysql --user='tanya' --password --host='example.com'