先聊聊为什么要给 MySQL 用户授权

说实话，hen多小伙伴一上手就想把 root 权限全扔给业务账号。

哈哈，这招不靠谱。

咱就是说权限是安全的第一道防线。

懂的dou懂，Zui怕的是哪天被黑客玩儿成了“数据泄露大赛”。

所以先弄清楚怎么给用户开门，又怎么关门，这事儿真的hen重要。

先登录 MySQL，记得用 root 或者有 GRANT OPTION 权限的账号。

mysql -u root -p

输入密码后咱们来造个新号。

CREATE USER 'myapp'@'%' IDENTIFIED BY 'S3cureP@ss!';

这个 % 通配符表示Ke以从任意 IP 连接，当然你也Ke以写具体 IP，比如 '192.168.1.%'。

不对不对，Ru果只是本机测试，用 'localhost' 就行啦。

基本格式是：

GRANT 权限列表 ON 数据库名.表名 TO '用户名'@'主机';

比如想让 myapp Neng读写 testdb 库里的所有表：

GRANT SELECT,INSERT,UPDATE,DELETE ON testdb.* TO 'myapp'@'%';

一句话，一行代码，就Neng让它干活。

全局：*.*——整个服务器dou给你玩儿。

数据库级：mydb.*——只在某库里开绿灯。

表级：mydb.mytable——精准控制到表。

GRANT ALL PRIVILEGES ON dev_db.* TO 'dev_user'@'10.0.%';

Aha，这玩意儿让开发同学Ke以随心所欲建表改结构。

GRANT SELECT ON analytics.* TO 'report_user'@'192.168.1.%';

# 小提醒：别忘了加上 SAME USER? 哈哈，不需要啦，只要 SELECT 就行。

GRANT CREATE,DROP ON *.* TO 'ops_user'@'%' WITH GRANT OPTION;

SAME USER? 嗯，我又跑题了跟这没关系。重点是加了 WITH GRANT OPTION，后面的人还Neng再授权。

从 8.0 开始，你Ke以把一堆权限装进一个角色，然后直接给用户套上这个角色。

Create ROLE 'read_only';

GRANT SELECT ON prod_db.* TO ROLE 'read_only';

GRANT 'read_only' TO 'analyst'@'%';

Amazing，对吧？以后改权限只改角色就行，不用一个个找用户改。

REVOKE INSERT,UPDATE ON testdb.* FROM 'myapp'@'%';

P.S. Ru果要撤掉全部，就这么写：

REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'myapp'@'%';

强烈建议先 REVOKE 再 DROP，免得残留脏数据。

- 用 % 通配符时要注意防火墙和网络层面的限制，否则外部随意访问会hen危险；害，我说错了是“外部随意访问会hen危险”。

- 授权后记得执行 ? 不对不对，其实在 MySQL 5.7+ 大多数情况下不需要手动刷新，系统会自动生效。