MySQL8.0——role功能

yllplay

　　MySQL8.0新增了role功能：
　　role可以看做一个权限的集合，这个集合有一个统一的名字role名。可以给多个账户统一的某个role的权限权限的修改直接通过修改role来实现，不需要每个账户一个一个的grant权限，方便运维和管理。role可以创建、删除、修改并作用到他管理的账户上。（和Oracle数据库中的角色差不多）
　　官方文档：
　　https://dev.mysql.com/doc/refman/8.0/en/roles.html
　　官方给的案例：
　　--创建3个角色：
　　mysql> CREATE ROLE 'app_developer', 'app_read', 'app_write';
　　--给每个角色授权：
　　mysql> GRANT ALL ON app_db.* TO 'app_developer';    --:app_db给这个角色所有权限
　　mysql> GRANT SELECT ON app_db.* TO 'app_read';      --:app_db给这个角色只读权限
　　mysql> GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';   --:app_db给这个角色写权限
　　--给每个用户授予不同的角色：
　　GRANT 'app_developer' TO 'dev1'@'localhost';
　　GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
　　GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';
　　--当然，还可以针对某个表的权限 做角色，如：
　　mysql> grant select on testdb.emp to app_read;
　　2、强制定义角色：mandatory_roles
　　通过在mandatory_roles系统变量的值做设置，可以指定角色为强制性的。服务器将强制角色视为授予所有用户，因此不需要显式地授予任何帐户。
　　在配置文件中，添加：
　　[mysqld]
　　mandatory_roles='role1,role2@localhost,r3@%.example.com'
　　或者，在命令行中执行：
　　SET PERSIST mandatory_roles = 'role1,role2@localhost,r3@%.example.com';
　　例子：
　　①：首先建一个角色并授权：
　　mysql> CREATE ROLE app_developer;
　　mysql> GRANT ALL ON test.* TO app_developer;
　　--然后我们把这个参数设成这个角色：（意思是：凡是创建的用户指定了@'%'用户可以在任意客户端登录数据库，默认创建用户会拥有app_developer角色）
　　mysql> SET PERSIST mandatory_roles = 'app_developer@%';
　　--然后我们创建一个用户 并不赋权

　　mysql> create user test_user@'%'>　　mysql> FLUSH PRIVILEGES;
　　--使用新用户登录数据库，然后可以直接set这个role
　　mysql> set role app_developer;
　　mysql> show databases;
　　+--------------------+
　　| Database           |
　　+--------------------+
　　| information_schema |
　　| test               |
　　+--------------------+
　　2 rows in set (0.00 sec)
　　注意：当一个角色被set了之后是不可以被删除的
　　3、检查用户的权限或角色，如：
　　mysql> SHOW GRANTS FOR zhang@'%';
　　+-----------------------------------+
　　| Grants for zhang@%                |
　　+-----------------------------------+
　　| GRANT USAGE ON *.* TO `zhang`@`%` |
　　+-----------------------------------+
　　1 row in set (0.00 sec)
　　--扩展显示，把授予角色的内容也显示出来：
　　mysql> SHOW GRANTS FOR 'zhang'@'%' USING 'app_developer';
　　+-------------------------------------------------+
　　| Grants for zhang@%                              |
　　+-------------------------------------------------+
　　| GRANT USAGE ON *.* TO `zhang`@`%`               |
　　| GRANT ALL PRIVILEGES ON `test`.* TO `zhang`@`%` |
　　+-------------------------------------------------+
　　2 rows in set (0.00 sec)
　　4、移除角色：
　　REVOKE role FROM user;
　　或者，将角色的权限移除：
　　REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';
　　5、删除角色
　　DROP ROLE 'app_read', 'app_write';