MySQL角色使用详解

在MySQL数据库管理系统中，角色是一种命名的权限集合，类似于用户账户，可以向其授予或撤销权限。通过将权限集以角色的形式分配给用户账户，MySQL提供了一种概念化和实现所需权限分配的便捷方式，替代了单独授予每个权限的传统做法。本文将详细介绍MySQL角色的管理与使用。

角色管理能力概览

MySQL支持以下角色管理功能：

• 创建与删除角色：通过CREATE ROLE和DROP ROLE语句来创建和移除角色。
• 授权与撤销权限：使用GRANT和REVOKE语句向用户账户和角色分配或撤销权限。
• 查看权限分配：SHOW GRANTS命令用于展示用户账户和角色的权限及角色分配情况。
• 设置默认角色：SET DEFAULT ROLE指定账户默认激活的角色。
• 改变当前会话中的角色：SET ROLE语句可以在当前会话中更改活跃角色。
• 查询当前激活角色：CURRENT_ROLE()函数显示当前会话中的激活角色。
• 定义强制性角色与登录时自动激活所有角色：通过系统变量mandatory_roles和activate_all_roles_on_login实现。

创建角色并授予权限

考虑一个应用案例，假设有一个名为app_db的数据库，该数据库关联的应用程序需要为开发者（拥有完全访问权）和不同权限级别的用户（读取或读写访问）创建账户。为了避免对多个用户账户逐一授权，可以创建代表所需权限集合的角色，并通过分配相应角色简化权限管理流程。例如，可以这样创建角色：

CREATE ROLE 'app_developer', 'app_read', 'app_write';

随后，通过GRANT语句将这些角色赋予相应的用户账户，如：

GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

强制性角色与角色激活

• 强制性角色：通过设置系统变量mandatory_roles，可以指定某些角色对所有用户自动生效，无需显式分配。
• 激活角色：用户连接服务器后，默认情况下角色并不自动激活。使用SET DEFAULT ROLE可设定每次登录时默认激活的角色集，而SET ROLE允许在会话中动态切换角色状态。

检查、撤销与删除角色

• 检查权限：利用SHOW GRANTS可验证角色或用户所拥有的权限。
• 撤销权限或角色：通过REVOKE语句收回角色或角色中的特定权限。
• 删除角色：不再需要的角色可以通过DROP ROLE语句删除。

用户与角色的互换性

用户账户与角色之间存在一定的互换性，即可以像处理角色一样对待用户账户，通过互相授权来传递权限。这在处理遗留系统或需要灵活权限调整的场景中尤为有用。