【昌哥IT课堂】MySQL8.0新特性之partial_revokes-官方文档中文翻译.pdf

阮胜昌

8页

1次

2024-07-18

免费下载

数库信息培训课件

数往知来

库藏乾坤

务实高效

成就所托第- 1 -页

共 8页

权限部分撤销

Partial Revokes

编号

标题

说明

6.2.12

Privilege Restriction Using Partial Revokes

部分撤销权限限制

启用此变量可以部分撤销权限。具体来说，对于在全局级别具有权限的用户，partial_revokes 使得可以撤销特定模式的

权限，同时保留其他模式的权限。例如，拥有全局 UPDATE 权限的用户可以被限制在 mysql 系统模式上行使此权限。

（或者，换种说法，用户可以在除 mysql 模式外的所有模式上行使 UPDATE 权限。）从这个意义上说，用户的全局 UPDATE

权限被部分撤销了。

一旦启用，如果任何帐户具有特权限制，则无法禁用部分撤销。如果存在任何此类帐户，则禁用部分撤销会失败：

- 对于在启动时尝试禁用部分撤销，服务器会记录错误消息并启用部分撤销。

- 对于在运行时尝试禁用部分撤销，将会发生错误，部分撤销的值保持不变。

在这种情况下禁用部分撤销，首先修改每个具有部分撤销权限的帐户，可以通过重新授予权限或删除帐户来实现。

注意：

在权限分配中，启用 partial_revokes 会导致 MySQL 将模式名称中未转义的 _ 和 % SQL 通配符字符解释为文字字符，

就好像它们已经被转义为 \_ 和 \% 一样。由于这会改变 MySQL 解释权限的方式，建议在可能启用 partial_revokes 的

本章内容概览

语法概述：

数库信息培训课件

数往知来

库藏乾坤

务实高效

成就所托第- 2 -页

共 8页

安装中避免未转义的通配符字符。

有关更多信息，包括有关移除部分撤销的说明，请参阅“使用部分撤销进行权限限制”第 6.2.12 节。

在 MySQL 8.0.16 之前，不可能授予适用于全局但排除某些模式的权限。从 MySQL 8.0.16 开始，如果启用了

partial_revokes 系统变量，这就成为可能。具体来说，对于在全局级别具有权限的用户，partial_revokes 允许撤销特定

模式的权限，同时保留其他模式的权限。因此，强加的权限限制可用于管理具有全局权限但不应被允许访问某些模式的

帐户。例如，可以允许一个帐户修改除了 mysql 系统模式中的表之外的任何表。

• 使用部分撤销

• 部分撤销与显式模式授权的比较

• 禁用部分撤销

• 部分撤销和复制

注意

出于简洁起见，此处显示的 CREATE USER 语句不包括密码。

对于生产使用，请始终分配帐户密码。

Using Partial Revokes

partial_revokes 系统变量控制着是否可以对帐户施加权限限制。默认情况下，partial_revokes 被禁用，尝试部分撤销全

局权限将产生错误：

mysql> CREATE USER u1;

mysql> GRANT SELECT, INSERT ON *.* TO u1;

mysql> REVOKE INSERT ON world.* FROM u1;

ERROR 1141 (42000): There is no such grant defined for user 'u1' on host '%'

要允许 REVOKE 操作，请启用 partial_revokes：

SET PERSIST partial_revokes = ON;

SET PERSIST 为正在运行的 MySQL 实例设置一个值。它还保存该值，导致其延续到后续的服务器重启。要更改正在运行

的 MySQL 实例的值，而不使其延续到后续的重启，请使用 GLOBAL 关键字而不是 PERSIST。请参见第 13.7.6.1 节，“变

量赋值的 SET 语法”。

启用 partial_revokes 后，部分撤销操作成功：

mysql> REVOKE INSERT ON world.* FROM u1;

mysql> SHOW GRANTS FOR u1;

+------------------------------------------+

| Grants for u1@% |

+------------------------------------------+

| GRANT SELECT, INSERT ON *.* TO `u1`@`%` |

| REVOKE INSERT ON `world`.* FROM `u1`@`%` |

+------------------------------------------+

SHOW GRANTS 列出部分撤销作为 REVOKE 语句在其输出中。结果表明，u1 具有全局的 SELECT 和 INSERT 权限，只是

对于 world 模式中的表无法执行 INSERT 操作。也就是说，u1 对 world 表的访问是只读的。

服务器在 mysql.user 系统表中记录通过部分撤销实施的权限限制。如果一个帐户有部分撤销，其 User_attributes 列的

6.2.12 Privilege Restriction Using Partial Revokes

数库信息培训课件

数往知来

库藏乾坤

务实高效

成就所托第- 2 -页

共 8页

安装中避免未转义的通配符字符。

有关更多信息，包括有关移除部分撤销的说明，请参阅“使用部分撤销进行权限限制”第 6.2.12 节。

在 MySQL 8.0.16 之前，不可能授予适用于全局但排除某些模式的权限。从 MySQL 8.0.16 开始，如果启用了

partial_revokes 系统变量，这就成为可能。具体来说，对于在全局级别具有权限的用户，partial_revokes 允许撤销特定

模式的权限，同时保留其他模式的权限。因此，强加的权限限制可用于管理具有全局权限但不应被允许访问某些模式的

帐户。例如，可以允许一个帐户修改除了 mysql 系统模式中的表之外的任何表。

• 使用部分撤销

• 部分撤销与显式模式授权的比较

• 禁用部分撤销

• 部分撤销和复制

注意

出于简洁起见，此处显示的 CREATE USER 语句不包括密码。

对于生产使用，请始终分配帐户密码。

Using Partial Revokes

partial_revokes 系统变量控制着是否可以对帐户施加权限限制。默认情况下，partial_revokes 被禁用，尝试部分撤销全

局权限将产生错误：

mysql> CREATE USER u1;

mysql> GRANT SELECT, INSERT ON *.* TO u1;

mysql> REVOKE INSERT ON world.* FROM u1;

ERROR 1141 (42000): There is no such grant defined for user 'u1' on host '%'

要允许 REVOKE 操作，请启用 partial_revokes：

SET PERSIST partial_revokes = ON;

SET PERSIST 为正在运行的 MySQL 实例设置一个值。它还保存该值，导致其延续到后续的服务器重启。要更改正在运行

的 MySQL 实例的值，而不使其延续到后续的重启，请使用 GLOBAL 关键字而不是 PERSIST。请参见第 13.7.6.1 节，“变

量赋值的 SET 语法”。

启用 partial_revokes 后，部分撤销操作成功：

mysql> REVOKE INSERT ON world.* FROM u1;

mysql> SHOW GRANTS FOR u1;

+------------------------------------------+

| Grants for u1@% |

+------------------------------------------+

| GRANT SELECT, INSERT ON *.* TO `u1`@`%` |

| REVOKE INSERT ON `world`.* FROM `u1`@`%` |

+------------------------------------------+

SHOW GRANTS 列出部分撤销作为 REVOKE 语句在其输出中。结果表明，u1 具有全局的 SELECT 和 INSERT 权限，只是

对于 world 模式中的表无法执行 INSERT 操作。也就是说，u1 对 world 表的访问是只读的。

服务器在 mysql.user 系统表中记录通过部分撤销实施的权限限制。如果一个帐户有部分撤销，其 User_attributes 列的

6.2.12 Privilege Restriction Using Partial Revokes

of 8

免费下载

mysql8.0新特性

文档被以下合辑收录

MySQL（共1篇）

MySQL 技术分享

关注

文档被以下合辑收录

评论