[[395250]]

前言：

我們介紹了 MySQL 權限管理相關知識。當數據庫實例中存在大量的庫或用戶時，權限管理將會變得越來越繁瑣，可能要頻繁進行權限變更。MySQL 8.0 新增了 role 功能，使得權限管理更加方便，本篇文章我們來看下 8.0 下的 role 功能。

1. role 簡介

role 角色功能對于 Oracle 數據庫來說不算是什么特殊，在 Oracle 中經常被用到。MySQL 8.0 版本終于新增了 role 功能，為數據庫用戶權限管理提供了一種新思路。

role 可以看做一個權限的集合，這個集合有一個統一的名字 role 名。可以給多個數據庫用戶授予同個 role 的權限，權限變更可直接通過修改 role 來實現，不需要每個用戶一個一個的去變更，方便運維和管理。role 可以創建、刪除、修改并作用到它管理的用戶上。

下面我們具體來體驗下 role 角色功能：

# 創建role 
mysql> create role 'dev_role'; 
Query OK, 0 rows affected (0.15 sec) 
 
# 給role授予權限 
mysql> grant select on db1.* to 'dev_role'@'%'; 
Query OK, 0 rows affected (0.12 sec) 
 
# 查看role的權限 
mysql> show grants for 'dev_role'@'%'; 
+-------------------------------------------+ 
| Grants for dev_role@%                     | 
+-------------------------------------------+ 
| GRANT USAGE ON *.* TO `dev_role`@`%`      | 
| GRANT SELECT ON `db1`.* TO `dev_role`@`%` | 
+-------------------------------------------+ 
 
# 創建用戶 并賦予角色權限 
mysql> create user 'dev1'@'%' identified by '123456'; 
Query OK, 0 rows affected (0.68 sec) 
 
mysql> grant 'dev_role' to 'dev1'@'%'; 
Query OK, 0 rows affected (0.38 sec) 
 
# 查看用戶權限 
mysql> show grants for 'dev1'@'%'; 
+------------------------------------+ 
| Grants for dev1@%                  | 
+------------------------------------+ 
| GRANT USAGE ON *.* TO `dev1`@`%`   | 
| GRANT `dev_role`@`%` TO `dev1`@`%` | 
+------------------------------------+ 
2 rows in set (0.63 sec) 
 
# 使用dev1用戶登錄 
root@localhost ~]# mysql -udev1 -p123456 
 
mysql> show databases; 
+--------------------+ 
| Database           | 
+--------------------+ 
| information_schema | 
+--------------------+ 
1 row in set (0.34 sec) 
 
mysql> select CURRENT_ROLE(); 
+----------------+ 
| CURRENT_ROLE() | 
+----------------+ 
| NONE           | 
+----------------+ 
1 row in set (0.59 sec) 

什么情況?貌似和我們想象不同，賦予用戶某個角色權限后，該用戶并沒有獲得相應權限。

出現上述情況的原因是，在用戶會話中，授予該用戶的角色處于非活動狀態。只有授予的角色在會話中處于活動狀態時，該用戶才擁有此角色的權限，要確定當前會話中哪些角色處于活動狀態，可以使用 CURRENT_ROLE() 函數。

# 使用 set default role 命令激活角色 
mysql> SET DEFAULT ROLE ALL TO dev1; 
Query OK, 0 rows affected (0.77 sec) 
 
# 重新登錄 發現權限正常 
root@localhost ~]# mysql -udev1 -p123456 
 
mysql> select CURRENT_ROLE(); 
+----------------+ 
| CURRENT_ROLE() | 
+----------------+ 
| `dev_role`@`%` | 
+----------------+ 
1 row in set (0.57 sec) 
 
mysql> show databases; 
+--------------------+ 
| Database           | 
+--------------------+ 
| db1                | 
| information_schema | 
+--------------------+ 
2 rows in set (1.05 sec) 

除了使用 set default role 命令激活角色外，還可以修改系統變量 activate_all_roles_on_login ，該變量決定是否自動激活 role ，默認為 OFF 即不自動激活，建議將該變量改為 ON ，這樣以后賦予角色給新用戶后就不需要再手動激活了。

# 查看 activate_all_roles_on_login 變量 
mysql> show variables like 'activate_all_roles_on_login'; 
+-----------------------------+-------+ 
| Variable_name               | Value | 
+-----------------------------+-------+ 
| activate_all_roles_on_login | OFF   | 
+-----------------------------+-------+ 
1 row in set (1.53 sec) 
 
# 啟用該變量 先動態啟用 之后可以將此參數加入my.cnf配置文件中 
mysql> set global activate_all_roles_on_login = on; 
Query OK, 0 rows affected (0.50 sec) 
 
# 之后角色就會自動激活 
mysql> create user 'dev2'@'%' identified by '123456'; 
Query OK, 0 rows affected (0.68 sec) 
 
mysql> grant 'dev_role' to 'dev2'@'%'; 
Query OK, 0 rows affected (0.38 sec) 
 
root@localhost ~]# mysql -udev2 -p123456 
 
mysql> select CURRENT_ROLE(); 
+----------------+ 
| CURRENT_ROLE() | 
+----------------+ 
| `dev_role`@`%` | 
+----------------+ 
1 row in set (0.57 sec) 
 
mysql> show databases; 
+--------------------+ 
| Database           | 
+--------------------+ 
| db1                | 
| information_schema | 
+--------------------+ 
2 rows in set (1.05 sec) 

2. role 相關操作

上面我們介紹了創建角色及給用戶授予角色權限，關于 role 相關操作還有很多，我們接著來看下。

# 變更角色權限 
mysql> grant select on db2.* to 'dev_role'@'%'; 
Query OK, 0 rows affected (0.33 sec) 
 
# 擁有該角色的用戶 重新登錄后權限也會對應變化 
root@localhost ~]# mysql -udev1 -p123456 
 
mysql> show databases; 
+--------------------+ 
| Database           | 
+--------------------+ 
| db1                | 
| db2                | 
| information_schema | 
+--------------------+ 
3 rows in set (2.01 sec) 
 
# 回收角色權限 
mysql> revoke SELECT ON db2.* from 'dev_role'@'%'; 
Query OK, 0 rows affected (0.31 sec) 
 
# 撤銷用戶的角色 
mysql> revoke 'dev_role'@'%' from 'dev1'@'%'; 
Query OK, 0 rows affected (0.72 sec) 
 
mysql> show grants for 'dev1'@'%'; 
+----------------------------------+ 
| Grants for dev1@%                | 
+----------------------------------+ 
| GRANT USAGE ON *.* TO `dev1`@`%` | 
+----------------------------------+ 
1 row in set (1.06 sec) 
 
# 刪除角色 (刪除角色后 對應的用戶也會失去該角色的權限) 
mysql> drop role dev_role; 
Query OK, 0 rows affected (0.89 sec) 

我們還可以通過 mandatory_roles 變量來配置強制性角色。使用強制性角色，服務器會為全部的用戶戶默認賦予該角色，而不需要顯示執行授予角色?？梢允褂?my.cnf 文件或者使用 SET PERSIST 進行配置，例如：

# my.cnf 配置 
[mysqld] 
mandatory_roles='dev_role' 
 
# set 更改變量 
SET PERSIST mandatory_roles = 'dev_role'; 

需要注意的是，配置在 mandatory_roles 中的角色不能撤銷其權限，也不能刪除。

總結：

關于 role 角色相關知識，簡單總結幾點如下：

• role 是一個權限的集合，可以被賦予不同權限。
• 開啟 activate_all_roles_on_login 變量，才可以自動激活角色。
• 一個用戶可以擁有多個角色，一個角色也可以授予多個用戶。
• 角色權限變化會應用到對應用戶。
• 刪除角色，則擁有此角色的用戶也會喪失此角色的權限。
• 可設置強制性角色，使得所有用戶都擁有此角色的權限。
• 角色管理和用戶管理相似，只是角色不能用于登錄數據庫。