明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺!

Mysql權(quán)限系統(tǒng)工作原理

[摘要]權(quán)限系統(tǒng)工作原理MySQL權(quán)限系統(tǒng)保證所有的用戶可以嚴(yán)格地做他們假定被允許做的事情。當(dāng)你連接一個(gè)MySQL服務(wù)器時(shí), 你的身份由你從那連接的主機(jī)和你指定的用戶名來決定,系統(tǒng)根據(jù)你的身份和你想做什么來授予權(quán)限。 MySQL在認(rèn)定身份中考慮你的主機(jī)名和用戶名字,是因?yàn)橛泻苄〉脑蚣俣ㄒ粋(gè)給定的用戶在因...
權(quán)限系統(tǒng)工作原理
MySQL權(quán)限系統(tǒng)保證所有的用戶可以嚴(yán)格地做他們假定被允許做的事情。當(dāng)你連接一個(gè)MySQL服務(wù)器時(shí), 你的身份由你從那連接的主機(jī)和你指定的用戶名來決定,系統(tǒng)根據(jù)你的身份和你想做什么來授予權(quán)限。

MySQL在認(rèn)定身份中考慮你的主機(jī)名和用戶名字,是因?yàn)橛泻苄〉脑蚣俣ㄒ粋(gè)給定的用戶在因特網(wǎng)上屬于同一個(gè)人。例如,用戶從whitehouse.gov連接的bill不必和從mosoft.com連接bill是同一個(gè)人。 MySQL通過允許你區(qū)分在不同的主機(jī)上碰巧有同樣名字用戶來處理它:你可以對從whitehouse.gov連接授與bill一個(gè)權(quán)限集,而為從microsoft.com的連接授予一個(gè)不同的權(quán)限集。

MySQL存取控制包含2個(gè)階段:

階段1:服務(wù)器檢查你是否允許連接。
階段2:假定你能連接,服務(wù)器檢查你發(fā)出的每個(gè)請求?茨闶欠裼凶銐虻臋(quán)限實(shí)施它。例如,如果你從數(shù)據(jù)庫中一個(gè)表精選(select)行或從數(shù)據(jù)庫拋棄一個(gè)表,服務(wù)器確定你對表有select權(quán)限或?qū)?shù)據(jù)庫有drop權(quán)限。
服務(wù)器在存取控制的兩個(gè)階段使用在mysql的數(shù)據(jù)庫中的user、db和host表,在這些授權(quán)表中字段如下:

表名稱userdbhost
范圍字段HostHostHost
UserDbDb
PasswordUser 
權(quán)限字段Select_privSelect_privSelect_priv
Insert_privInsert_privInsert_priv
Update_privUpdate_privUpdate_priv
Delete_privDelete_privDelete_priv
Index_privIndex_privIndex_priv
Alter_privAlter_privAlter_priv
Create_privCreate_privCreate_priv
Drop_privDrop_privDrop_priv
Grant_privGrant_privGrant_priv
Reload_priv
Shutdown_priv
Process_priv
File_priv

對存取控制的第二階段(請求證實(shí)),如果請求涉及表,服務(wù)器可以另外參考tables_priv和columns_priv表。這些表的字段如下:

表名稱 tables_privcolumns_priv
范圍字段HostHost
DbDb
UserUser
Table_nameTable_name
Column_name
權(quán)限字段Table_privColumn_priv
Column_priv 
其他字段TimestampTimestamp
Grantor 

每個(gè)授權(quán)表包含范圍字段和權(quán)限字段。

范圍字段決定表中每個(gè)條目的范圍,即,條目適用的上下文。例如, 一個(gè)user表?xiàng)l目的Host和User值為'thomas.loc.gov'和'bob'將被用于證實(shí)來自主機(jī)thomas.loc.gov的bob對服務(wù)器的連接。同樣,一個(gè)db表?xiàng)l目的Host、User和Db字段的值是'thomas.loc.gov'、'bob'和'reports'將用在bob從主機(jī)聯(lián)接thomas.loc.gov存取reports數(shù)據(jù)庫的時(shí)候。 tables_priv和columns_priv表包含范圍字段,指出每個(gè)條目適用的表或表/列的組合。

對于檢查存取的用途,比較Host值是忽略大小寫的。User、Password、Db和Table_name值是區(qū)分大小寫的。Column_name值在MySQL3.22.12或以后版本是忽略大小寫的。

權(quán)限字段指出由一個(gè)表?xiàng)l目授予的權(quán)限,即,可實(shí)施什么操作。服務(wù)器組合各種的授權(quán)表的信息形成一個(gè)用戶權(quán)限的完整描述。為此使用的規(guī)則在6.8 存取控制, 階段2:請求證實(shí)描述。

范圍字段是字符串,如下所述;每個(gè)字段的缺省值是空字符串:

字段名類型
HostCHAR(60)
UserCHAR(16)
PasswordCHAR(16)
DbCHAR(64)(tables_priv和columns_priv表為CHAR(60))

在user、db和host表中,所有權(quán)限字段被聲明為ENUM('N','Y')--每一個(gè)都可有值'N'或'Y',并且缺省值是'N'.

在tables_priv和columns_priv表中,權(quán)限字段被聲明為SET字段:

表名字段名可能的集合成員
tables_privTable_priv'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
tables_privColumn_priv'Select', 'Insert', 'Update', 'References'
columns_privColumn_priv'Select', 'Insert', 'Update', 'References'

簡單地說,服務(wù)器使用這樣的授權(quán)表:

user表范圍字段決定是否允許或拒絕到來的連接。對于允許的連接,權(quán)限字段指出用戶的全局(超級用戶)權(quán)限。
db和host表一起使用:
db表范圍字段決定用戶能從哪個(gè)主機(jī)存取哪個(gè)數(shù)據(jù)庫。權(quán)限字段決定允許哪個(gè)操作。
當(dāng)你想要一個(gè)給定的db條目應(yīng)用于若干主機(jī)時(shí),host表作為db表的擴(kuò)展被使用。例如,如果你想要一個(gè)用戶能在你的網(wǎng)絡(luò)從若干主機(jī)使用一個(gè)數(shù)據(jù)庫,在用戶的db表的Host條目設(shè)為空值,然后將那些主機(jī)的每一個(gè)移入host表。這個(gè)機(jī)制詳細(xì)描述在6.8 存取控制, 階段2:請求證實(shí)。
tables_priv和columns_priv表類似于db表,但是更精致:他們在表和列級應(yīng)用而非在數(shù)據(jù)庫級。
注意管理權(quán)限(reload, shutdown, 等等)僅在user表中被指定。這是因?yàn)楣芾硇圆僮魇欠⻊?wù)器本身的操作并且不是特定數(shù)據(jù)庫,因此沒有理由在其他授權(quán)表中列出這樣的權(quán)限。事實(shí)上,只需要請教user表來決定你是否執(zhí)行一個(gè)管理操作。

file權(quán)限也僅在user表中指定。它不是管理性權(quán)限,但你讀或謝在服務(wù)器主機(jī)上的文件的的能力獨(dú)立于你正在存取的數(shù)據(jù)庫。

當(dāng)mysqld服務(wù)器啟動時(shí),讀取一次授權(quán)表內(nèi)容。對授權(quán)表的更改生效在6.9 權(quán)限更改何時(shí)生效描述。

當(dāng)你修改授權(quán)表的內(nèi)容時(shí),確保你按你想要的方式更改權(quán)限設(shè)置是一個(gè)好主意。為幫助診斷問題,見6.13 “存取拒絕引起”錯誤的原因。對于安全問題上的忠告,見6.14 怎么對使MySQL安全對抗解密高手。

一個(gè)有用的診斷工具是mysqlaccess腳本,由Carlier Yves 提供給MySQL分發(fā)。使用--help選項(xiàng)調(diào)用mysqlaccess查明它怎樣工作。注意:mysqlaccess僅用user、db和host表僅檢查存取。它不檢查表或列級權(quán)限。

6.7 存取控制, 階段1:連接證實(shí)
當(dāng)你試圖聯(lián)接一個(gè)MySQL服務(wù)器時(shí),服務(wù)器基于你的身份和你是否能通過供應(yīng)正確的口令驗(yàn)證身份來接受或拒絕連接。如果不是,服務(wù)器完全具結(jié)你的存取,否則,服務(wù)器接受連接,然后進(jìn)入階段2并且等待請求。

你的身份基于2個(gè)信息:

你從那個(gè)主機(jī)連接
你的MySQL用戶名
身份檢查使用3個(gè)user表(Host, User和Password)范圍字段執(zhí)行。服務(wù)器只有在一個(gè)user表?xiàng)l目匹配你的主機(jī)名和用戶名并且你提供了正確的口令時(shí)才接受連接。

在user表范圍字段可以如下被指定:

一個(gè)Host值可以是主機(jī)名或一個(gè)IP數(shù)字,或'localhost'指出本地主機(jī)。
你可以在Host字段里使用通配符字符“%”和“_”。
一個(gè)Host值'%'匹配任何主機(jī)名,一個(gè)空白Host值等價(jià)于'%'。注意這些值匹配能創(chuàng)建一個(gè)連接到你的服務(wù)器的任何主機(jī)!
通配符字符在User字段中不允許,但是你能指定空白的值,它匹配任何名字。如果user表匹配到來的連接的條目有一個(gè)空白的用戶名,用戶被認(rèn)為是匿名用戶(沒有名字的用戶),而非客戶實(shí)際指定的名字。這意味著一個(gè)空白的用戶名被用于在連接期間的進(jìn)一步的存取檢查(即,在階段2期間)。
Password字段可以是空白的。這不意味著匹配任何口令,它意味著用戶必須不指定一個(gè)口令進(jìn)行連接。
非空白Password值代表加密的口令。 MySQL不以任何人可以看的純文本格式存儲口令,相反,正在試圖聯(lián)接的一個(gè)用戶提供的口令被加密(使用PASSWORD()函數(shù)),并且與存儲了user表中的已經(jīng)加密的版本比較。如果他們匹配,口令是正確的。

下面的例子顯示出各種user表中Host和User條目的值的組合如何應(yīng)用于到來的連接:

Host 值User 值被條目匹配的連接
'thomas.loc.gov''fred'fred, 從thomas.loc.gov 連接
'thomas.loc.gov'''任何用戶, 從thomas.loc.gov連接
'%''fred'fred, 從任何主機(jī)連接
'%'''任何用戶, 從任何主機(jī)連接
'%.loc.gov''fred'fred, 從在loc.gov域的任何主機(jī)連接
'x.y.%''fred'fred, 從x.y.net、x.y.com,x.y.edu等聯(lián)接。(這或許無用)
'144.155.166.177''fred'fred, 從有144.155.166.177 IP 地址的主機(jī)連接
'144.155.166.%''fred'fred, 從144.155.166 C類子網(wǎng)的任何主機(jī)連接

既然你能在Host字段使用IP通配符值(例如,'144.155.166.%'匹配在一個(gè)子網(wǎng)上的每臺主機(jī)),有可能某人可能企圖探究這種能力,通過命名一臺主機(jī)為144.155.166.somewhere.com。為了阻止這樣的企圖,MySQL不允許匹配以數(shù)字和一個(gè)點(diǎn)起始的主機(jī)名,這樣,如果你用一個(gè)命名為類似1.2.foo.com的主機(jī),它的名字決不會匹配授權(quán)表中Host列。只有一個(gè)IP數(shù)字能匹配IP通配符值。

一個(gè)到來的連接可以被在user表中的超過一個(gè)條目匹配。例如,一個(gè)由fred從thomas.loc.gov的連接匹配多個(gè)條目如上所述。如果超過一個(gè)匹配,服務(wù)器怎么選擇使用哪個(gè)條目呢?服務(wù)器在啟動時(shí)讀入user表后通過排序來解決這個(gè)問題,然后當(dāng)一個(gè)用戶試圖連接時(shí),以排序的順序?yàn)g覽條目,第一個(gè)匹配的條目被使用。

user表排序工作如下,假定user表看起來像這樣:

+-----------+----------+-
Host User  ...
+-----------+----------+-
%  root  ...
%  jeffrey ...
localhost root  ...
localhost ...
+-----------+----------+-

當(dāng)服務(wù)器在表中讀取時(shí),它以最特定的Host值為先的次序排列('%'在Host列里意味著“任何主機(jī)”并且是最不特定的)。有相同Host值的條目以最特定的User值為先的次序排列(一個(gè)空白User值意味著“任何用戶”并且是最不特定的)。最終排序的user表看起來像這樣:

+-----------+----------+-
Host User  ...
+-----------+----------+-
localhost root  ...
localhost ...
%  jeffrey ...
%  root  ...
+-----------+----------+-

當(dāng)一個(gè)連接被嘗試時(shí),服務(wù)器瀏覽排序的條目并使用找到的第一個(gè)匹配。對于由jeffrey從localhost的一個(gè)連接,在Host列的'localhost'條目首先匹配。那些有空白用戶名的條目匹配連接的主機(jī)名和用戶名。('%'/'jeffrey'條目也將匹配,但是它不是在表中的第一匹配。)

這是另外一個(gè)例子。假定user桌子看起來像這樣:

+----------------+----------+-
Host  User  ...
+----------------+----------+-
% jeffrey ...
thomas.loc.gov ...
+----------------+----------+-

排序后的表看起來像這樣:

+----------------+----------+-
Host  User  ...
+----------------+----------+-
thomas.loc.gov ...
% jeffrey ...
+----------------+----------+-

一個(gè)由jeffrey從thomas.loc.gov的連接被第一個(gè)條目匹配,而一個(gè)由jeffrey從whitehouse.gov的連接被第二個(gè)匹配。

普遍的誤解是認(rèn)為,對一個(gè)給定的用戶名,當(dāng)服務(wù)器試圖對連接尋找匹配時(shí),明確命名那個(gè)用戶的所有條目將首先被使用。這明顯不是事實(shí)。先前的例子說明了這點(diǎn),在那里一個(gè)由jeffrey從thomas.loc.gov的連接沒被包含'jeffrey'作為User字段值的條目匹配,但是由沒有用戶名的題目匹配!

如果你有服務(wù)器連接的問題,打印出user表并且手工排序它看看第一個(gè)匹配在哪兒進(jìn)行。

6.8 存取控制,階段2:請求證實(shí)
一旦你建立了一個(gè)連接,服務(wù)器進(jìn)入階段2。對在此連接上進(jìn)來的每個(gè)請求,服務(wù)器檢查你是否有足夠的權(quán)限來執(zhí)行它,它基于你希望執(zhí)行的操作類型。這正是在授權(quán)表中的權(quán)限字段發(fā)揮作用的地方。這些權(quán)限可以來子user、db、host、tables_priv或columns_priv表的任何一個(gè)。授權(quán)表用GRANT和REVOKE命令操作。見7.26 GRANT和REVOKE 句法。(你可以發(fā)覺參考6.6 權(quán)限系統(tǒng)怎樣工作很有幫助,它列出了在每個(gè)權(quán)限表中呈現(xiàn)的字段。)

user表在一個(gè)全局基礎(chǔ)上授予賦予你的權(quán)限,該權(quán)限不管當(dāng)前的數(shù)據(jù)庫是什么均適用。例如,如果user表授予你delete權(quán)限, 你可以刪除在服務(wù)器主機(jī)上從任何數(shù)據(jù)庫刪除行!換句話說,user表權(quán)限是超級用戶權(quán)限。只把user表的權(quán)限授予超級用戶如服務(wù)器或數(shù)據(jù)庫主管是明智的。對其他用戶,你應(yīng)該把在user表中的權(quán)限設(shè)成'N'并且僅在一個(gè)特定數(shù)據(jù)庫的基礎(chǔ)上授權(quán), 使用db和host表。

db和host表授予數(shù)據(jù)庫特定的權(quán)限。在范圍字段的值可以如下被指定:

通配符字符“%”和“_”可被用于兩個(gè)表的Host和Db字段。
在db表的'%'Host值意味著“任何主機(jī)”,在db表中一個(gè)空白Host值意味著“對進(jìn)一步的信息咨詢host表”。
在host表的一個(gè)'%'或空白Host值意味著“任何主機(jī)”。
在兩個(gè)表中的一個(gè)'%'或空白Db值意味著“任何數(shù)據(jù)庫”。
在兩個(gè)表中的一個(gè)空白User值匹配匿名用戶。
db和host表在服務(wù)器啟動時(shí)被讀取和排序(同時(shí)它讀user表)。db表在Host、Db和User范圍字段上排序,并且host表在Host和Db范圍字段上排序。對于user表,排序首先放置最特定的值然后最后最不特定的值,并且當(dāng)服務(wù)器尋找匹配入條目時(shí),它使用它找到的第一個(gè)匹配。

tables_priv和columns_priv表授予表和列特定的權(quán)限。在范圍字段的值可以如下被指定:

通配符“%”和“_”可用在使用在兩個(gè)表的Host字段。
在兩個(gè)表中的一個(gè)'%'或空白Host意味著“任何主機(jī)”。
在兩個(gè)表中的Db、Table_name和Column_name字段不能包含通配符或空白。
tables_priv和columns_priv表在Host、Db和User字段上被排序。這類似于db表的排序,盡管因?yàn)橹挥蠬ost字段可以包含通配符,但排序更簡單。

請求證實(shí)進(jìn)程在下面描述。(如果你熟悉存取檢查的源代碼,你會注意到這里的描述與在代碼使用的算法略有不同。描述等價(jià)于代碼實(shí)際做的東西;它只是不同于使解釋更簡單。)

對管理請求(shutdown、reload等等),服務(wù)器僅檢查user表?xiàng)l目,因?yàn)槟鞘俏ㄒ恢付ü芾頇?quán)限的表。如果條目許可請求的操作,存取被授權(quán)了,否則拒絕。例如,如果你想要執(zhí)行mysqladmin shutdown,但是你的user表?xiàng)l目沒有為你授予shutdown權(quán)限,存取甚至不用檢查db或host表就被拒絕。(因?yàn)樗麄儾话琒hutdown_priv行列,沒有這樣做的必要。)

對數(shù)據(jù)庫有關(guān)的請求(insert、update等等),服務(wù)器首先通過查找user表?xiàng)l目來檢查用戶的全局(超級用戶)權(quán)限。如果條目允許請求的操作,存取被授權(quán)。如果在user表中全局權(quán)限不夠,服務(wù)器通過檢查db和host表確定特定的用戶數(shù)據(jù)庫權(quán)限:

服務(wù)器在db表的Host、Db和User字段上查找一個(gè)匹配。 Host和User對應(yīng)連接用戶的主機(jī)名和MySQL用戶名。Db字段對應(yīng)用戶想要存取的數(shù)據(jù)庫。如果沒有Host和User的條目,存取被拒絕。
如果db表中的條目有一個(gè)匹配而且它的Host字段不是空白的,該條目定義用戶的數(shù)據(jù)庫特定的權(quán)限。
如果匹配的db表的條目的Host字段是空白的,它表示host表列舉主機(jī)應(yīng)該被允許存取數(shù)據(jù)庫的主機(jī)。在這種情況下,在host表中作進(jìn)一步查找以發(fā)現(xiàn)Host和Db字段上的匹配。如果沒有host表?xiàng)l目匹配,存取被拒絕。如果有匹配,用戶數(shù)據(jù)庫特定的權(quán)限以在db和host表的條目的權(quán)限,即在兩個(gè)條目都是'Y'的權(quán)限的交集(而不是并集!)計(jì)算。(這樣你可以授予在db表?xiàng)l目中的一般權(quán)限,然后用host表?xiàng)l目按一個(gè)主機(jī)一個(gè)主機(jī)為基礎(chǔ)地有選擇地限制它們。)
在確定了由db和host表?xiàng)l目授予的數(shù)據(jù)庫特定的權(quán)限后,服務(wù)器把他們加到由user表授予的全局權(quán)限中。如果結(jié)果允許請求的操作,存取被授權(quán)。否則,服務(wù)器檢查在tables_priv和columns_priv表中的用戶的表和列權(quán)限并把它們加到用戶權(quán)限中;诖私Y(jié)果允許或拒絕存取。

用布爾術(shù)語表示,前面關(guān)于一個(gè)用戶權(quán)限如何計(jì)算的描述可以這樣總結(jié):

global privileges
OR (database privileges AND host privileges)
OR table privileges
OR column privileges

它可能不明顯,為什么呢,如果全局user條目的權(quán)限最初發(fā)現(xiàn)對請求的操作不夠,服務(wù)器以后把這些權(quán)限加到數(shù)據(jù)庫、表和列的特定權(quán)限。原因是一個(gè)請求可能要求超過一種類型的權(quán)限。例如,如果你執(zhí)行一個(gè)INSERT ... SELECT語句,你就都要insert和select權(quán)限。你的權(quán)限必須如此以便user表?xiàng)l目授予一個(gè)權(quán)限而db表?xiàng)l目授予另一個(gè)。在這種情況下,你有必要的權(quán)限執(zhí)行請求,但是服務(wù)器不能自己把兩個(gè)表區(qū)別開來;兩個(gè)條目授予的權(quán)限必須組合起來。

host表能被用來維護(hù)一個(gè)“安全”服務(wù)器列表。在TcX,host表包含一個(gè)在本地的網(wǎng)絡(luò)上所有的機(jī)器的表,這些被授予所有的權(quán)限。

你也可以使用host表指定不安全的主機(jī)。假定你有一臺機(jī)器public.your.domain,它位于你不認(rèn)為是安全的一個(gè)公共區(qū)域,你可以用下列的host表?xiàng)l目子允許除了那臺機(jī)器外的網(wǎng)絡(luò)上所有主機(jī)的存。

+--------------------+----+-
Host  Db ...
+--------------------+----+-
public.your.domain % ... (所有權(quán)限設(shè)為 'N')
%.your.domain % ... (所有權(quán)限設(shè)為 'Y')
+--------------------+----+-

當(dāng)然,你應(yīng)該總是測試你在授權(quán)表中的條目(例如,使用mysqlaccess)讓你確保你的存取權(quán)限實(shí)際上以你認(rèn)為的方式被設(shè)置。