MariaDB [mysql]> SELECT host,user,password FROM user WHERE user = 'mobius';
+-----------+--------+-------------------------------------------+
| host       | user   |   password |
+-----------+--------+-------------------------------------------+
| localhost | mobius | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
+-----------+--------+-------------------------------------------+
1 row in set (0.00 sec)

账户定义示例

账户	描述
mobius	用户mobius可以从任何主机连接。
mobius@'%'	用户mobius可以从任何主机连接。
mobius@'localhost'	用户mobius只能从Localhost连接。
mobius@'192.168.1.5'	用户mobius只能通过IP地址192.168.1.5进行连接。
mobius@'192.168.1.%'	用户mobius可以从属于该网络192.168.1.0/24的任何地址进行连接。
mobius@'2001:db8:18:b51:c32:a21'	用户mobius只能通过IP地址2001:db8:18:b51:C32: a21进行连接。

2. 控制用户权限

默认情况下，新帐户被授予最低权限。在不授予额外特权的情况下，mobius用户可以访问最小的帐户信息，但大多数其他操作都被拒绝。

# 在下面的例子中，允许访问:
[user@host ~]$ mysql -u mobius -p
Enter password: redhat
MariaDB [(none)]> SELECT USER();
+------------------+
| user() |
+------------------+
| mobius@localhost |
+------------------+
1 row in set (0.000 sec)

MariaDB [(none)]> SHOW DATABASES;
+--------------------+
| Database |
+--------------------+
| information_schema |
+--------------------+
1 row in set (0.000 sec)

# 在下一个例子中，用户验证了身份，但是访问被拒绝了:
[user@host ~]$ mysql -u mobius -p
Enter password: redhat
...output omitted...
MariaDB [(none)]> USE mysql;
ERROR 1044 (42000): Access denied for user 'mobius'@'localhost' to database 'mysql'
MariaDB [(none)]> CREATE DATABASE inventory;
ERROR 1044 (42000): Access denied for user 'mobius'@'localhost' to database 'inventory'

权限是用户在MariaDB中拥有的权限。它们决定了用户可以做什么，以及用户可以在MariaDB中看到什么。特权是按其详细范围组织的。

全局权限(例如CREATE USER)用于管理MariaDB数据库服务器本身。

数据库特权(如CREATE Database)用于在MariaDB服务器上创建数据库和使用数据库。

表特权(比如CRUD命令)用于在特定数据库中创建表和操作数据。

列特权用于授予类似于表的命令使用，但是在特定的列上(通常很少)。

其他更细粒度的特权将在本节末尾引用的MariaDB文档中详细讨论。

授予用户权限

GRANT语句可用于向帐户授予权限。要授予权限，连接的用户必须具有GRANT OPTION，并且必须具有正在授予的GRANT OPTION权限。

例如，mobius用户不能授予数据库表上的SELECT权限，除非他们已经拥有SELECT权限和grant OPTION表权限。

# 在这个示例中，MariaDB根用户将CRUD权限授予inventory数据库中类别表上的mobius用户。
[user@host ~]$ mysql -u root -p
Enter password: redhat
...output omitted...
MariaDB [(none)]> USE inventory;
...output omitted...
Database changed

MariaDB [(inventory)]> GRANT SELECT, UPDATE, DELETE, INSERT
-> ON inventory.category
-> TO mobius@localhost ;
Query OK, 0 rows affected (0.00 sec)
MariaDB [(inventory)]> exit
Bye

# 然后你可以确认mobius用户的权限如下:
[user@host ~]$ mysql -u mobius -p
Enter password: redhat
MariaDB [(none)]> USE inventory;
MariaDB [(inventory)]> SELECT * FROM category;
+----+------------+
| id | name |
+----+------------+
| 1 | Networking |
| 2 | Servers |
| 3 | Ssd |
+----+------------+
3 rows in set (0.00 sec)

GRANT操作的例子

Grant	描述
GRANT SELECT ON database.table TO username@hostname	将特定数据库中特定表的SELECT权限授予特定用户。
*GRANT SELECT ON database. TO username@hostname**	将特定数据库中所有表的SELECT权限授予特定用户。
*GRANT SELECT ON .* TO username@hostname**	将所有数据库中所有表的SELECT权限授予特定用户。
*GRANT CREATE, ALTER, DROP ON database. to username@hostname**	将特定数据库中的CREATE、ALTER、DROP TABLES权限授予特定用户。
*GRANT ALL PRIVILEGES ON .* to username@hostname**	将所有数据库的所有可用权限授予特定用户，有效地创建了一个超级用户，类似于root。

撤销用户权限

REVOKE语句从帐户中删除特权。连接的用户必须具有GRANT OPTION权限，并且具有正在被撤销的权限以撤销权限。

MariaDB [(none)]> REVOKE SELECT, UPDATE, DELETE, INSERT

-> ON inventory.category FROM mobius@localhost ;

Query OK, 0 rows affected (0.00 sec)

重要：在修改授权表之后运行FLUSH PRIVILEGES命令是一个好习惯。虽然MariaDB会注意到一些语句并自动加载，但是大多数撤销特权的语句都需要用FLUSH PRIVILEGES重新加载特权表才能生效。

MariaDB [(none)]> FLUSH PRIVILEGES;

显示用户权限

可以验证哪些特权被授予给了用户。SHOW GRANTS FOR username; 提供了该用户的权限列表:

MariaDB [(none)]> SHOW GRANTS FOR root@localhost;
+---------------------------------------------------------------------+
| Grants for root@localhost |
+---------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION |
| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION |
+---------------------------------------------------------------------+
2 rows in set (0.00 sec)

3. 删除用户帐号

当您不再需要一个特定的用户帐户时，可以使用DROP USER从数据库中删除它。username应该使用与CREATE USER相同的'user'@'host'格式。

MariaDB [(none)]> DROP USER mobius;

Query OK, 0 rows affected (0.002 sec)

重要：如果当前连接的帐户被删除，该帐户将直到连接关闭后才会被删除。如果该用户有一个活动的连接，当帐户被删除时，它不会自动关闭。

4. 数据库访问的故障诊断

下表总结了用户在身份验证和访问方面可能遇到的一些问题以及可能的原因。

一些常见的数据库访问问题

问题	解决方案
用户已被授予从任何主机连接的访问权限，但只能在数据库服务器上使用shell中的mysql命令进行连接。	如果在/etc/my.cnf.d/mariadb-server.cnf中设置了skip-networking，请删除该指令并重新启动服务。
用户可以连接localhost上的任何应用程序，但不能远程连接。	确保/etc/my.cnf.d/mariadb-server.cnf中的bind-address配置是正确的，确保可以访问数据库。确保user表中包含用户试图连接的主机的用户条目。
用户可以连接，但不能看到除information_schema之外的任何数据库。	确保用户已被授予访问其数据库的特权。当用户刚刚创建时，这是一个常见的问题，因为默认情况下创建的用户帐户具有最小的权限。
该用户可以连接，但不能创建任何数据库。	考虑为用户授予全局CREATE特权(这也授予DROP特权)。
用户可以连接，但不能读写任何数据。	为用户打算使用的数据库授予CRUD特权。

5. 课本练习

[student@workstation ~]$ lab database-users start

创建用户与授权

[student@servera ~]$ mysql -u root -p
Enter password: redhat

MariaDB [(none)]> CREATE USER john@localhost identified by 'john_password';
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]> CREATE USER steve@'%' identified by 'steve_password';
Query OK, 0 rows affected (0.000 sec)

MariaDB [(none)]> GRANT INSERT, UPDATE, DELETE,SELECT on inventory.* to john@localhost;
Query OK, 0 rows affected (0.000 sc)
MariaDB [(none)]> GRANT SELECT on inventory.* to steve@'%';
Query OK, 0 rows affected (0.000 sec)

MariaDB [(none)]> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]> exit
Bye

验证

[student@servera ~]$ mysql -u john -p
Enter password: john_password
MariaDB [(none)]>
MariaDB [(none)]> USE inventory;
Database changed
MariaDB [(inventory)]> SELECT * FROM category;
+----+------------+
| id | name |
+----+------------+
| 1 | Networking |
| 2 | Servers |
| 3 | Ssd |
+----+------------+
3 rows in set (0.00 sec)

MariaDB [(inventory)]> INSERT INTO category(name) VALUES('Memory');
Query OK, 1 row affected (0.00 sec)
MariaDB [(inventory)]> UPDATE category SET name='Solid State Drive' WHERE id = 3;
Query OK, 1 row affected (0.01 sec)
Rows matched: 1 Changed: 1 Warnings: 0

MariaDB [(inventory)]> SELECT * FROM category;
+----+-------------------+
| id | name |
+----+-------------------+
| 1 | Networking |
| 2 | Servers |
| 3 | Solid State Drive |
| 5 | Memory |
+----+-------------------+
4 rows in set (0.000 sec)

MariaDB [(inventory)]> DELETE FROM category WHERE name LIKE 'Memory';
Query OK, 1 row affected (0.01 sec)
MariaDB [(inventory)]> exit
Bye

[student@serverb ~]$ mysql -u steve -h servera -p
Enter password: steve_password
MariaDB [(none)]> USE inventory;
Database changed
MariaDB [(inventory)]> SELECT * FROM category;
+----+-------------------+
| id | name |
+----+-------------------+
| 1 | Networking |
| 2 | Servers |
| 3 | Solid State Drive |
+----+-------------------+
3 rows in set (0.00 sec)

MariaDB [(inventory)]> INSERT INTO category(name) VALUES('Memory');
ERROR 1142 (42000): INSERT command denied to user 'steve'@'serverb.example.com'for table 'category'
MariaDB [(inventory)]> exit
Bye

完成实验

[student@workstation ~]$ lab database-users finish