MySQL數(shù)據(jù)庫 5.1 用戶與權(quán)限的開發(fā)教案

教案首頁課程名稱MySQL數(shù)據(jù)庫開發(fā)本節(jié)課題任務(wù)5.1用戶與權(quán)限的開發(fā)授課方式理實(shí)一體化教學(xué)參考及教具姜云橋主編.MySQL數(shù)據(jù)庫開發(fā).臨科院：教務(wù)處,2023計(jì)算機(jī)MySQL數(shù)據(jù)庫軟件多媒體教學(xué)系統(tǒng)資料包教學(xué)目標(biāo)及基本要求了解安全性掌握CREATEUSER語句掌握PASSWORD語句掌握GRANT語句掌握REVOKE語句能創(chuàng)建用戶并授予權(quán)限以及使用REVOKE語句回收權(quán)限培養(yǎng)自主學(xué)習(xí)能力提高團(tuán)隊(duì)協(xié)作能力教學(xué)重點(diǎn)教學(xué)難點(diǎn)CREATEUSER語句、PASSWORD語句、GRANT語句、REVOKE語句PASSWORD語句、GRANT語句教學(xué)小結(jié)作業(yè)及要求按照任務(wù)書做好預(yù)習(xí)任務(wù)創(chuàng)建用戶，設(shè)置權(quán)限教后反思注意：用微課視頻每個(gè)典型操作做示范

教案用紙教學(xué)內(nèi)容、方法和過程附記任務(wù)5.1用戶與權(quán)限的開發(fā)【任務(wù)背景】 MySQL用戶包括root用戶和普通用戶。這兩種用戶的權(quán)限是不一樣的。root用戶是超級管理員，擁有所有的權(quán)限，包括創(chuàng)建用戶、刪除用戶和修改普通用戶的密碼等管理權(quán)限。而普通用戶只擁有創(chuàng)建該用戶時(shí)賦予它的權(quán)限。某校的教學(xué)管理系統(tǒng)，對用戶權(quán)限的要求如下：教務(wù)處管理員有對課程、學(xué)生表和成績表的所有權(quán)限（INSERT、UPDATE、DELETE等），任課教師可以錄入成績，但不能修改學(xué)生表、課程表數(shù)據(jù)，學(xué)生只能查看（SELECT）相關(guān)表數(shù)據(jù)，而不能進(jìn)行更新、刪除。那么，該怎樣建立這些用戶并設(shè)置相應(yīng)的權(quán)限呢？【任務(wù)要求】1本任務(wù)將學(xué)習(xí)使用CREATEUSER語句來創(chuàng)建用戶，用PASSWORD語句設(shè)置用戶密碼、給密碼加密，用GRANT語句創(chuàng)建用戶并授予權(quán)限以及使用REVOKE語句回收權(quán)限的方法，并嘗試通過修改MySQL授權(quán)表來創(chuàng)建用戶、設(shè)置密碼和授予權(quán)限。【任務(wù)必備知識】MySQL用戶包括root用戶和普通用戶。這兩種用戶的權(quán)限是不一樣的。root用戶是超級管理員，擁有所有的權(quán)限，包括創(chuàng)建用戶、刪除用戶和修改普通用戶的密碼等管理權(quán)限。而普通用戶只擁有創(chuàng)建該用戶時(shí)賦予它的權(quán)限。某校的教學(xué)管理系統(tǒng)，對用戶權(quán)限的要求如下：教務(wù)處管理員有對課程、學(xué)生表和成績表的所有權(quán)限（INSERT、update、DELETE等），任課教師可以錄入成績，但不能修改學(xué)生表、課程表數(shù)據(jù)，學(xué)生只能查看（select）相關(guān)表數(shù)據(jù)，而不能進(jìn)行更新、刪除。那么，該怎樣建立這些用戶并設(shè)置相應(yīng)的權(quán)限呢？當(dāng)用戶登錄MySQL服務(wù)器執(zhí)行各種操作時(shí)，它首先向服務(wù)器發(fā)送連接請求，確認(rèn)用戶的操作請求是否被允許。這個(gè)過程稱為MySQL中的訪間控制過程。MySQL的訪問控制分為兩個(gè)階段：連接核實(shí)階段和情求核實(shí)階段；MySQL的訪問主要分為兩個(gè)階段：連接驗(yàn)證和權(quán)限控制5.1.1用戶管理以root身份登錄到服務(wù)器上后，可以添加新賬戶。一、創(chuàng)建用戶用CREATEUSER分別創(chuàng)建能在本地主機(jī)、任意主機(jī)連接數(shù)據(jù)庫的用戶，并設(shè)置密碼。語法格式如下：CREATEUSERuser[IDENTIFIEDBY[PASSWORD]‘password’][,user[IDENTIFIEDBY[PASSWORD]‘password’]]...其中，user的格式為：'user_name'@'hostname'。hostname指定了用戶創(chuàng)建的使用MySQL的連接來自的主機(jī)。如果一個(gè)用戶名和主機(jī)名中包含特殊符號如“_”，或通配符如“%”，則需要用單引號將其括起。“%”表示一組主機(jī)。Localhost表示本地主機(jī)。IDENTIFIEDBY：指定用戶密碼。PASSWORD()：是對密碼進(jìn)行加密?？梢允褂肅REATEUSER語句同時(shí)創(chuàng)建多個(gè)數(shù)據(jù)庫用戶，用戶名之間用逗號分隔?！救蝿?wù)5.1.1】創(chuàng)建兩個(gè)用戶，用戶名分別為test_user1和test_user2，其中，test_user1只允許從本機(jī)登錄，test_user2允許從任意主機(jī)登錄，兩個(gè)用戶密碼都設(shè)置為123456。mysql>createuser'test_user1'@'%'identifiedby'123456',->'test_user2'@'localhost'identifiedby'123456';可通過查詢命令查看創(chuàng)建的用戶情況：mysql>selectuser,hostfrommysql.userwhereuserlike'test_%';【任務(wù)5.1.2】創(chuàng)建兩個(gè)用戶，用戶名分別為test_user3和test_user4，其中，test_user3只允許從主機(jī)192.168.2.10登錄，密碼為123456；test_user4允許從網(wǎng)段為192.168.1.0/24的主機(jī)登錄，密碼為空。mysql>createuser'test_user3'@'192.168.2.10'identifiedby'123456',->'test_user4'@'192.168.1.%'identifiedby'';查詢創(chuàng)建的用戶信息：mysql>selectuser,hostfrommysql.userwhereuserlike'test_%';二、修改用戶修改用戶最常用的操作包括修改用戶標(biāo)識和用戶密碼。1.修改用戶密碼通過alteruser語句修改：alteruseruseridentifiedby‘password’,useridentifiedby‘password’,...2.修改用戶標(biāo)識如果需要修改用戶標(biāo)識，MySQL提供了renameuser命令：renameuserold_usertonew_user,old_usertonew_user,...三、刪除用戶dropuser[ifexists]user,user,...5.1.2權(quán)限管理新創(chuàng)建的用戶默認(rèn)只有usage權(quán)限，只能連接數(shù)據(jù)庫，而沒有任何操作權(quán)限，如果需要其他操作權(quán)限，它必須被授權(quán)。一、授予權(quán)限授權(quán)可通過grant語句完成：grantpriv_type,priv_type,...onpriv_leveltouser_or_role,user_or_role,...[withgrantoption]說明：1)riv_type為權(quán)限類型。usage無權(quán)限,只有登錄數(shù)據(jù)庫；all所有權(quán)限；以及指定權(quán)限（如select,update,delete,insert,insert,drop,alter等）。2)priv_level指定權(quán)限的作用級別，可分為全局、數(shù)據(jù)庫、表、列層級。3)user_or_role指授予對象為用戶或者角色，用戶對應(yīng)上面講述，角色參考后面內(nèi)容。4)withgrantoption選項(xiàng)表示允許把自己的權(quán)限授予其它用戶或者從其他用戶收回自己的權(quán)限，但是這個(gè)權(quán)限分配不能超過自身權(quán)限。需要注意的是，MySQL8.0版本之后，不再允許通過grnat創(chuàng)建用戶，因此授權(quán)之前請確保用戶存在。1.全局權(quán)限存儲在mysql數(shù)據(jù)庫的user表中，作用于所有的數(shù)據(jù)庫，使用*.*表示。2.數(shù)據(jù)庫級權(quán)限存儲在mysql數(shù)據(jù)庫的db表中，作用于指定數(shù)據(jù)庫中的所有對象上，使用db_name.*表示。3.表級權(quán)限存儲在mysql數(shù)據(jù)庫的tables_priv表中，作用于整個(gè)表上，使用db_name.table_name表示。如果沒有指定db_name，將使用默認(rèn)數(shù)據(jù)庫。4.列級權(quán)限存儲在mysql數(shù)據(jù)庫中的columns_priv表中，作用于表的指定列上，與其他級別權(quán)限表示方式不同，列權(quán)限后面緊跟作用的具體的列名，如select（s_name），對s_name列的查詢權(quán)限。二、回收權(quán)限r(nóng)evoke命令用于回收用戶權(quán)限。【格式一】revoke[ifexists]priv_type,priv_type,...onpriv_levelfromuser_or_role,user_or_role,...【格式二】revoke[ifexists]all,grantoptionfromuser_or_role,user_or_role,...第一種格式用來回收某些特定的權(quán)限，第二種格式回收該用戶的所有權(quán)限。5.1.3角色管理MySQL8.0之前權(quán)限直接授予用戶，如下圖所示：在實(shí)際應(yīng)用中，很多用戶的權(quán)限都是相同的，且主要分為幾類用戶，不同類別的用戶可能經(jīng)常切換，比如開發(fā)人員、測試人員、維護(hù)人員等。直接應(yīng)用上面的授權(quán)模式的話，隨著用戶數(shù)量的增長，權(quán)限的管理將越來越復(fù)雜，為此MySQL8.0之后引入了新的特性：角色（role），現(xiàn)在授權(quán)模式如下所示：現(xiàn)在不再是將權(quán)限直接授予用戶，而是授予角色，用戶通過關(guān)聯(lián)角色間接完成權(quán)限設(shè)置。因此，角色本質(zhì)就是是一組權(quán)限的集合，與用戶設(shè)置類似，只不過角色不能用于登錄數(shù)據(jù)庫。一、創(chuàng)建角色創(chuàng)建角色的語法和創(chuàng)建用戶的語法基本相同，只不過不需要設(shè)置密碼。createrole[ifnotexists]role,role,...二、為角色授權(quán)與用戶授權(quán)方式類似，給角色授權(quán)同樣通過grant語句完成。三、關(guān)聯(lián)用戶【任務(wù)5.1.14】創(chuàng)建兩個(gè)用戶’devp_user’@’%’和’test_user’@’%’，分別關(guān)聯(lián)devp_role和test_role。先創(chuàng)建用戶：mysql>createuserdevp_useridentifiedby'123456',test_useridentifiedby'123456';為用戶關(guān)聯(lián)角色：mysql>grantdevp_roletodevp_user;mysql>granttest_roletotest_user;查看用戶的權(quán)限：mysql>showgrantsfordevp_user;使用using選項(xiàng)可以查看用戶通過角色獲取的具體權(quán)限：mysql>showgrantsfordevp_userusingdevp_role;四、激活角色賦予用戶的角色只有在會(huì)話中處于活動(dòng)狀態(tài)，用戶才具有相應(yīng)的權(quán)限。因此，要確定當(dāng)前會(huì)話中哪些角色處于活動(dòng)狀態(tài)，使用current_role()函數(shù)，若角色處于非活動(dòng)狀態(tài)，需要激活角色。五、回收角色權(quán)限同回收用戶權(quán)限類似，回收角色權(quán)限同樣使用revoke語句。需要注意，修改了角色的權(quán)限，會(huì)影響到角色對應(yīng)賬戶的權(quán)限。六、刪除角色類似刪除用戶，droprole語句可用來刪除角色。同時(shí)會(huì)撤銷為用戶指定的角色。【項(xiàng)目實(shí)踐】在rsgl數(shù)據(jù)庫中，進(jìn)行如下操作。1.用createuser命令創(chuàng)建一個(gè)david用戶，以本地主機(jī)登錄MySQL服務(wù)器。2.用createuser命令同時(shí)創(chuàng)