MySQL 訪問控制實際上由兩個功能模塊共同組成，一個是負責(zé)“看守 MySQL 大門”的用戶管理模塊，另一個就是負責(zé)監(jiān)控來訪者每一個動作的訪問控制模塊。用戶管理模塊決定用戶是否能登陸數(shù)據(jù)庫，而訪問控制模塊則決定在數(shù)據(jù)庫中具體可以做的事。下面是一張 MySQL 中實現(xiàn)訪問控制的簡單流程圖。

1. 用戶管理

在 MySQL 中，用戶訪問控制部分的實現(xiàn)比較簡單，所有授權(quán)用戶都存放在一個系統(tǒng)表中：mysql.user，當然這個表不僅僅存放了授權(quán)用戶的基本信息，還存放有部分細化的權(quán)限信息。用戶管理模塊需要使用的信息很少，主要就是Host，User，Password 這三項，都在 mysql.user 表中

2. 訪問控制

當客戶端連接通過用戶管理模塊的驗證，可連接上 MySQL Server 之后，就會發(fā)送各種Query 和 Command 給 MySQL Server，以實現(xiàn)客戶端應(yīng)用的各種功能。當 MySQL 接收到客戶端的請求之后，訪問控制模塊是需要校驗該用戶是否滿足提交的請求所需要的權(quán)限。權(quán)限校驗過程是從最大范圍的權(quán)限往最小范圍的權(quán)限開始依次校驗所涉及到的每個對象的每個權(quán)限。

在驗證所有所需權(quán)限的時候，MySQL 首先會查找存儲在內(nèi)存結(jié)構(gòu)中的權(quán)限數(shù)據(jù)，首先查找 Global Level 權(quán)限，如果所需權(quán)限在 Global Level 都有定義(GRANT 或者 REVOKE)，則完成權(quán)限校驗(通過或者拒絕)，如果沒有找到所有權(quán)限的定義，則會繼續(xù)往后查找Database Level 權(quán)限，進行 Global Level 未定義的所需權(quán)限的校驗，如果仍然沒有能夠找到所有所需權(quán)限的定義，MySQL 會繼續(xù)往更小范圍的權(quán)限定義域查找，也就是 Table Level，最后則是 Column Level 或者 Routine Level。

3. 五個授權(quán)表

mysql數(shù)據(jù)庫包含五個主要的授權(quán)表。

• user表：包含用戶帳戶和全局權(quán)限列。MySQL使用user表來接受或拒絕來自主機的連接。 在user表中授予的權(quán)限對MySQL服務(wù)器上的所有數(shù)據(jù)庫都有效。
• db表：包含數(shù)據(jù)庫級權(quán)限。MySQL使用數(shù)據(jù)庫表來確定用戶可以訪問哪個數(shù)據(jù)庫以及哪個主機。在db表中的數(shù)據(jù)庫級授予的特權(quán)適用于數(shù)據(jù)庫，所有對象屬于該數(shù)據(jù)庫，例如表，觸發(fā)器，視圖，存儲過程等。
• table_priv和columns_priv表：包含表級和列級權(quán)限。 在table_priv表中授予的權(quán)限適用于表及其列，而在columns_priv表中授予的權(quán)限僅適用于表的特定列。
• procs_priv表：包含存儲函數(shù)和存儲過程的權(quán)限。

4. 參考訪問授權(quán)策略

這里附一份我平時做mysql數(shù)據(jù)庫授權(quán)的策略，僅供參考。

//針對root賬號 
set global validate_password_policy=0; --設(shè)置判斷密碼的標準基于密碼的長度（validate_password_length） 
grant all privilges on *.* to root@'localhost' identified by 'password'; 
grant all privilges on *.* to root@'%' identified by 'password'; --根據(jù)具體情況決定是否開啟 
 
//針對日常運維賬號 
grant select, insert, update, delete on database_name.* to hwb@'%' identified by 'password'; 
grant create,alter,drop,references on database_name.* to hwb@'%';  
grant create temporary tables on database_name.* to hwb@'%';  
grant index on database_name.* to hwb@'%';  
grant create view on database_name.* to hwb@'%';  
grant show view on database_name.* to hwb@'%';  
grant create routine on database_name.* to hwb@'%'; -- 查看存儲過程、函數(shù)狀態(tài)  
grant alter routine on database_name.* to hwb@'%'; --刪除存儲過程、函數(shù) 
grant execute on database_name.* to hwb@'%'; 
grant all privileges on mysql.* to hwb@'%' identified by 'password'; --不增加不能對其他用戶的函數(shù)或存儲過程做操作 
 
//針對應(yīng)用連接賬號 
grant all privileges on database_name.* to hwb2@'應(yīng)用服務(wù)器IP' identified by 'password'; 
grant all privileges on mysql.* to hwb2@'應(yīng)用服務(wù)器IP'; --不增加無法對其他用戶的函數(shù)或存儲過程做操作 
 
//針對只讀賬號（導(dǎo)出數(shù)據(jù)庫權(quán)限） 
grant select on database_name.* to hwbread@'%' identified by 'hwbread123'; 
grant select on mysql.* to hwbread@'%'; 
grant show view on database_name.* to hwbread@'%'; 
grant file on *.* to hwbread@'%'; --if database_name.* will ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES