mysql中访问控制列表（ACL）与权限模型的实现

P粉602998670

发布时间：2026-01-12 10:23:02

443人浏览过

来源于php中文网

原创

MySQL权限数据存储在mysql系统库的user、db、tables_priv、columns_priv、procs_priv和proxies_priv六张表中，均使用MyISAM引擎。

mysql中访问控制列表（acl）与权限模型的实现

MySQL 的权限数据存在哪几张系统表里

MySQL 的 ACL（Access Control List）权限信息全部存储在 mysql 系统数据库的几张核心表中，不是内存结构或配置文件。主要涉及：user、db、tables_priv、columns_priv、procs_priv 和 proxies_priv。其中：

user 表控制全局权限（如 SELECT、RELOAD），也决定用户能否连接服务器；
db 表控制某用户对特定数据库的权限，粒度比 user 细，但不包含表级操作；
tables_priv 和 columns_priv 分别支持表级和列级权限，启用时需注意性能开销（每次查询都需额外校验）；
所有这些表都使用 MyISAM 引擎（即使你用的是 InnoDB 默认引擎），因为需要表锁+快速读，且不支持事务。

GRANT 语句到底做了什么

GRANT 不是直接改内存，而是写入上述系统表，并触发权限缓存刷新。执行后 MySQL 会自动调用 FLUSH PRIVILEGES 的等效逻辑（5.7+ 版本），但仅限于由 GRANT/REVOKE 发起的操作；手动修改 mysql.user 表后仍必须显式执行 FLUSH PRIVILEGES。

权限是“累加”的：同一个用户对同一资源的多条 GRANT 会合并权限位，不会覆盖；
GRANT OPTION 权限本身不赋予实际操作能力，只允许该用户再把已有权限授予他人；
如果用 GRANT ... WITH GRANT OPTION 授予了某权限，之后用 REVOKE 撤销该权限时，所有由该用户转授的下游权限也会被级联清除（5.7.4+ 默认行为）；
注意 USAGE 权限：它表示“无任何特权”，仅用于创建用户但不赋权，GRANT USAGE ON *.* TO 'u'@'%' 是合法的。

权限匹配顺序为什么总是报 “Access denied”

MySQL 权限检查按固定顺序逐层匹配：先查 user 表（host + user），若匹配成功但权限字段全为 N，则拒绝连接；否则继续向下查 db、tables_priv 等。关键点在于：

Modoer多功能点评系统2.5 精华版 Build 20110710 UTF8

Modoer 是一款以本地分享，多功能的点评网站管理系统。采用 PHP+MYSQL 开发设计，开放全部源代码。因具有非凡的访问速度和卓越的负载能力而深受国内外朋友的喜爱，不局限于商铺类点评，真正实现了多类型的点评，可以让您的网站点评任何事与物，同时增加产品模块，也更好的网站产品在网站上展示。Modoer点评系统 2.5 Build 20110710更新列表1.同步旗舰版系统框架2.增加限制图片

下载

匹配是“最长 host 前缀优先”，比如 'user'@'192.168.1.%' 和 'user'@'192.168.1.100' 同时存在，后者更精确，会被优先选中；
空字符串 '' 在 host 字段中代表“任意主机”，但优先级最低；
用户名区分大小写（取决于 lower_case_table_names 设置），而 host 部分始终不区分大小写；
常见误判：执行 SELECT USER(), CURRENT_USER();，前者返回客户端声明的用户/主机，后者返回实际匹配到的 user@host 条目——二者不一致就说明有多个匹配项，MySQL 选了你没预期到的那个。

动态权限（MySQL 8.0+）和传统 ACL 的关键区别

MySQL 8.0 引入了角色（ROLE）和动态权限（如 BACKUP_ADMIN、CONNECTION_ADMIN），它们不存于旧的 mysql.user 表中，而是在 mysql.role_edges 和 mysql.global_grants 中管理。

动态权限不能用 GRANT ... ON *.* 语法，必须用 GRANT role_name TO user 或 GRANT dynamic_priv ON *.* TO user；
传统权限（如 SELECT）仍走老 ACL 流程；动态权限只影响管理类操作，不影响 DML；
SHOW GRANTS FOR 'u'@'h' 会同时列出传统权限和动态权限，但 mysql.user 表里看不到动态权限字段；
升级到 8.0 后，旧用户不会自动获得新动态权限，也不受影响；但如果你用 CREATE USER 创建新用户，默认会附带 APPLICATION_PASSWORD_ADMIN 等隐式权限，容易引发意外交互。

SELECT * FROM mysql.global_grants WHERE user = 'admin' AND host = '%';

ACL 的真实复杂性不在语法，而在权限叠加、host 匹配歧义、以及 8.0 后双模型并存带来的调试盲区——尤其当 CURRENT_USER() 和登录凭据不一致时，几乎必踩坑。

mysql通配符能用于多表查询吗_mysql通配符在多表联合查询中的使用方法

mysql唯一索引与普通索引区别_mysql索引类型解析

sql中case when的基本语法_mysql条件表达式说明

mysql中的全表扫描与索引优化技巧

mysql中触发器的创建、修改与删除操作

相关专题

mysql修改数据表名

MySQL修改数据表：1、首先查看数据库中所有的表，代码为：‘SHOW TABLES；’；2、修改表名，代码为：‘ALTER TABLE 旧表名 RENAME [TO] 新表名；’。php中文网还提供MySQL的相关下载、相关课程等内容，供大家免费下载使用。

660

2023.06.20

MySQL创建存储过程

存储程序可以分为存储过程和函数，MySQL中创建存储过程和函数使用的语句分别为CREATE PROCEDURE和CREATE FUNCTION。使用CALL语句调用存储过程智能用输出变量返回值。函数可以从语句外调用(通过引用函数名)，也能返回标量值。存储过程也可以调用其他存储过程。php中文网还提供MySQL创建存储过程的相关下载、相关课程等内容，供大家免费下载使用。

245

2023.06.21

mongodb和mysql的区别

mongodb和mysql的区别：1、数据模型；2、查询语言；3、扩展性和性能；4、可靠性。本专题为大家提供mongodb和mysql的区别的相关的文章、下载、课程内容，供大家免费下载体验。

281

2023.07.18

mysql密码忘了怎么查看

MySQL是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一，在 WEB 应用方面，MySQL是最好的 RDBMS 应用软件之一。那么mysql密码忘了怎么办呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

514

2023.07.19

mysql创建数据库

MySQL是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一，在 WEB 应用方面，MySQL是最好的 RDBMS 应用软件之一。那么mysql怎么创建数据库呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

253

2023.07.25