MySQL8.0提供了角色功能,用户需要在激活角色后才能够使用角色赋予的权限。角色可以在服务器、用户和会话三个级别进行激活。用户仅能激活已被授予的角色。
服务器级别激活角色
通过设置系统变量“activate_all_roles_on_login”的值进行激活,“ON”表示服务器在每个账户登录时激活授予的全部角色。“OFF”表示服务器在登录时,仅激活“SET DEFAULT ROLE”指定的角色。
用户级别激活角色
当用户连接到服务器时,通过“SET DEFAULT ROLE”定义的角色或被激活。例如,
SET DEFAULT ROLE r_viewer, r_updater to user1@localhost;
SET DEFAULT ROLE ALL TO user2@localhost,user3@localhost:
语句可以指定角色的列表或者全部(ALL),用户可以是一个也可以是多个。
此外,也可以在“CREATE USER ”或“ALTER USER”语句中激活角色。例如,
ALTER USER user1@localhost DEFAULT ROLE r_viewer, r_updater;
ALTER USER user1@localhost DEFAULT ROLE ALL;
用户级别的默认角色存储在“mysql.default_roles”表中。
会话级别激活角色
在当前会话中,使用“SET ROLE”语句可以修改激活角色的列表。“DEFAULT”表示激活账户的默认角色。“NONE”表示禁用全部角色。“ALL”表示激活该账户授予的全部角色。“ALL EXCEPT” 表示激活除指定角色外的全部角色。例如,
SET ROLE ALL;
SET ROLE r_viewer, r_updater;
使用“CURRENT_ROLE()”可以查看当前会话中哪些角色被激活。
强制角色
强制角色会自动赋予每个用户,通过“mandatory-roles”系统变量进行配置,在权限受到影响前必须激活。注意,不能通过更改授权表进行修改,也不能使用“REVOKE”,“DROP ROLE”或“DROP USER”语句进行删除。
配置“mandatory-roles”系统变量的示例如下:
SET PERSIST mandatory_roles = '`role1`@`%`,role2,role3@localhost';
以上是关于MySQL激活角色的简介,感谢关注“MySQL解决方案工程师”!