2、授權(quán)機(jī)制是如何進(jìn)行運(yùn)作的？

在MySQL中主機(jī)和用戶的聯(lián)合視為唯一標(biāo)志。比如說(shuō)，在主機(jī)1和主機(jī)2上的用戶lee實(shí)際上是不同的，他們對(duì)MySQL的使用權(quán)限也可以是有差別的。而整個(gè)授權(quán)機(jī)制的核心問(wèn)題就是要解決授予從某個(gè)主機(jī)上登錄的某個(gè)用戶對(duì)某個(gè)數(shù)據(jù)庫(kù)的使用權(quán)限。你可以通過(guò)腳本mysqlaccess測(cè)試一個(gè)主機(jī)上用戶的對(duì)數(shù)據(jù)庫(kù)操作的權(quán)限。而所有的授權(quán)信息都被存儲(chǔ)在數(shù)據(jù)庫(kù)mysql的user、host和db表中。我們可以通過(guò)mysql mysql的指令連接到這個(gè)數(shù)據(jù)庫(kù)中，并且通過(guò)select * from user(或者db,host)顯示每個(gè)數(shù)據(jù)表中的內(nèi)容。user表中所授予的權(quán)限是整個(gè)授權(quán)機(jī)制的基本授權(quán)，也就是說(shuō)，user中的定義對(duì)于任何一個(gè)用戶+主機(jī)來(lái)說(shuō)都是適用的，除非在db表中另外有所定義，因此，對(duì)于用戶來(lái)說(shuō)最好是就某個(gè)數(shù)據(jù)庫(kù)為基礎(chǔ)進(jìn)行授權(quán)。而host表的主要目的是維護(hù)一個(gè)“安全” 服務(wù)器的列表。而在具體考慮某個(gè)用戶/主機(jī)對(duì)某個(gè)數(shù)據(jù)庫(kù)的權(quán)限的的時(shí)候，我們還需要研究一下授權(quán)機(jī)制的的匹配搜索機(jī)制：

其次，在授權(quán)機(jī)制中可以對(duì)一個(gè)用戶的口令進(jìn)行加密，而且是必須加密，加密的方法是password(“口令“)，如果直接填寫口令的話，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)無(wú)法訪問(wèn)。user表中所授予的權(quán)限是整個(gè)授權(quán)機(jī)制的基本授權(quán)，也就是說(shuō)，user中的定義對(duì)于任何一個(gè)用戶+主機(jī)來(lái)說(shuō)都是適用的，除非在db表中另外有所定義，因此，對(duì)于用戶來(lái)說(shuō)最好是就某個(gè)數(shù)據(jù)庫(kù)為基礎(chǔ)進(jìn)行授權(quán)。而host表的主要目的是維護(hù)一個(gè)“安全”服務(wù)器的列表。而在具體考慮某個(gè)用戶/主機(jī)對(duì)某個(gè)數(shù)據(jù)庫(kù)的權(quán)限的的時(shí)候，我們還需要研究一
下授權(quán)機(jī)制的的匹配搜索機(jī)制：

首先，我們需要介紹一下統(tǒng)配符的概念，統(tǒng)配符包括“%”，其意思為任意（的主機(jī)、用戶或者數(shù)據(jù)庫(kù)），而如果一條記錄為空的話，也表示任意的意思。其次，在授權(quán)機(jī)制中可以對(duì)一個(gè)用戶的口令進(jìn)行加密，而且是必須加密，加密的方法是password(“口令“)，如果直接填寫口令的話，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)無(wú)法訪問(wèn)。
從我們對(duì)這三個(gè)表的顯示我們可以看到，這三個(gè)表中的每一條記錄包含了對(duì)于某個(gè)用戶的授權(quán)情況的描述，MySQL數(shù)據(jù)庫(kù)中幾個(gè)相關(guān)的授權(quán)機(jī)制的數(shù)據(jù)表被搜索的順序?yàn)椋簎ser，db，host。也就是說(shuō)，我們將首先首先檢索user數(shù)據(jù)表，找到第一個(gè)匹配的記錄，我們把在user數(shù)據(jù)表中首先匹配的記錄稱之為Priv；然后搜索db表，獲得相應(yīng)的授權(quán)。如果在db數(shù)據(jù)表相應(yīng)記錄中host字段的為空，并且Priv記錄中主機(jī)也被包含在host表的host字段之中，這樣的話，對(duì)于某個(gè)user來(lái)說(shuō)，則可以在user表中加入在host表中的一些為“Y”的權(quán)限設(shè)定。如果在db表中的host字段不為空的話，那么也就不會(huì)對(duì)該用戶/主機(jī)的授權(quán)產(chǎn)生什么影響了。
了解了這一點(diǎn)之后，我們需要討論在各個(gè)數(shù)據(jù)表中的記錄的搜索的優(yōu)先權(quán)的問(wèn)題，也就是說(shuō)，怎樣確定第一匹配的記錄，這并不是按照數(shù)據(jù)表中的記錄的自然先后順序來(lái)確定的。在各個(gè)數(shù)據(jù)表內(nèi)的各條記錄的優(yōu)先權(quán)排列如下：
（1）user表：根據(jù)先host后user的順序確定。搜索規(guī)則如下：不包含統(tǒng)配符的記錄，包含統(tǒng)配符的記錄，空記錄。而在同樣一個(gè)host里面，繼續(xù)按照user來(lái)排列，規(guī)則和上述的一樣。
（2）db表：檢索的順序根據(jù)host字段確定：不包含統(tǒng)配符的記錄，包含統(tǒng)配符的記錄，空記錄。
（3）host表：檢索的順序根據(jù)host字段確定：不包含統(tǒng)配符的記錄，包含統(tǒng)配符的記錄，空記錄。我們用下面的例子來(lái)說(shuō)明進(jìn)行匹配搜索的規(guī)則：請(qǐng)記住如果你更改了這些數(shù)據(jù)表，你必須使用mysqladmin reload使其生效。
下面是演示系統(tǒng)是如何進(jìn)行搜索的：
+-----------+---------+-
| Host | User | ...
+-----------+---------+-
| % | root | ...
| % | jeffrey | ...
| localhost | root | ...
| localhost | | ...
+-----------+---------+-
搜索的順序應(yīng)當(dāng)是:
localhost/root
localhost/any
any/jeffrey
any/root
這樣，如果在localhost的用戶jeffrey要連接數(shù)據(jù)庫(kù)的話，那么其授權(quán)應(yīng)當(dāng)根據(jù)localhost/“任意” 行所規(guī)定的權(quán)限而非“任意”/jeffrey行所規(guī)定的權(quán)限，請(qǐng)大家注意這一點(diǎn)，因?yàn)槿绻缓线m的配置完全可能會(huì)使得你無(wú)法正常地使用這個(gè)數(shù)據(jù)庫(kù)系統(tǒng)。
我們現(xiàn)在來(lái)看一個(gè)添加一個(gè)用戶的例子：需要添加一名叫做“custom”用戶，他分別從主機(jī)“localhost“, “server.domain“ 和 “whitehouse.gov“連接到數(shù)據(jù)庫(kù)中，他的口令為“stupid”，對(duì)于數(shù)據(jù)庫(kù)“bankaccount“他只想從“localhost”進(jìn)行訪問(wèn)，而“customer”數(shù)據(jù)庫(kù)則應(yīng)當(dāng)被上述3個(gè)主機(jī)所訪問(wèn)。我們通過(guò)以下的sql語(yǔ)句來(lái)完成其操作。

shell> mysql mysql.
mysql> insert into user (host,user,password)
values(“localhost“,“custom“,password(“stupid“));
mysql> insert into user (host,user,password)
values(“server.domain“,“custom“,password(“stupid“));
mysql> insert into user (host,user,password)
values(“whitehouse.gov“,“custom“,password(“stupid“));

mysql> insert into db
(host,db,user,Select_priv,Insert_priv,Update_priv,Delete_priv,
Create_priv,Drop_priv)
values
(“localhost“,“bankaccount“,“custom“,“Y“,“Y“,“Y“,“Y“,“Y“,“Y“);
mysql> insert into db
(host,db,user,Select_priv,Insert_priv,Update_priv,Delete_priv,
Create_priv,Drop_priv)
values
(“%“,“customers“,“custom“,“Y“,“Y“,“Y“,“Y“,“Y“,“Y“);

3、授權(quán)數(shù)據(jù)表
授權(quán)數(shù)據(jù)表對(duì)表的行操作包括select，insert，update和delete，對(duì)表和數(shù)據(jù)庫(kù)的操作包括create和drop。其它的授權(quán)還包括如LOAD DATA INFILE和SELECT INTO OUTFILE和管理命令：shutdown, reload, refresh 和process.三個(gè)授權(quán)數(shù)據(jù)表的結(jié)構(gòu)如下所示：
user表
字段 類型 健 默認(rèn)值
Host char(60) PRI ““
User char(16) PRI ““
Password char(16) - ““
Select_priv enum(“N“,“Y“) - N
Insert_priv enum(“N“,“Y“) - N
Update_priv enum(“N“,“Y“) - N
Delete_priv enum(“N“,“Y“) - N
Create_priv enum(“N“,“Y“) - N
Drop_priv enum(“N“,“Y“) - N
Reload_priv enum(“N“,“Y“) - N
Shutdown_priv enum(“N“,“Y“) - N
Process_priv enum(“N“,“Y“) - N
File_priv enum(“N“,“Y“) - N

db表
字段 類型 健 默認(rèn)值
Host char(60) PRI ““
Db char(64) PRI ““
User char(16) PRI ““
Select_priv enum(“N“,“Y“) - N
Insert_priv enum(“N“,“Y“) - N
Update_priv enum(“N“,“Y“) - N
Delete_priv enum(“N“,“Y“) - N
Create_priv enum(“N“,“Y“) - N
Drop_priv enum(“N“,“Y“) - N

host 表只有在db的數(shù)據(jù)項(xiàng)中出現(xiàn)host為空的情況下使用。
字段 類型 健 默認(rèn)值
Host char(60) PRI ““
Db char(64) PRI ““
Select_priv enum(“N“,“Y“) - N
Insert_priv enum(“N“,“Y“) - N
Update_priv enum(“N“,“Y“) - N
Delete_priv enum(“N“,“Y“) - N
Create_priv enum(“N“,“Y“) - N
Drop_priv enum(“N“,“Y“) - N

在數(shù)據(jù)表中可以使用統(tǒng)配符號(hào)。

4、最常見(jiàn)的Access denied出現(xiàn)錯(cuò)誤的原因

（1）你是否通過(guò)mysql_install_db腳本建立mySQL的授權(quán)表，你可以通過(guò)mysql -u root進(jìn)行測(cè)試，正確的情況下應(yīng)該不會(huì)發(fā)生錯(cuò)誤?；蛘?，你是否有一個(gè)文件為：user.ISD，通常其位置在install_dir/var/mysql/user.ISD。
（2）最初使用的時(shí)候你應(yīng)該使用mysql -u root mysql以存取數(shù)據(jù)庫(kù)，或者以root身份進(jìn)行操作。
（3）更改了授權(quán)之后是否使用了mysqladmin reload進(jìn)行了更新？
（4）在以測(cè)試為目的的時(shí)候，你應(yīng)當(dāng)選用--without-grant-tables選項(xiàng)啟動(dòng)mysqld服務(wù)，你可以在這時(shí)更改授權(quán)表的相關(guān)內(nèi)容，也可以用mysqlaccess檢查你的授權(quán)是否到位。
（5）沒(méi)有使用password（“口令“）設(shè)定了口令，結(jié)果也會(huì)出現(xiàn)錯(cuò)誤，在使用-p的選項(xiàng)的時(shí)候，注意-ppassword之間沒(méi)有空格。