该 GRANT 语句使系统管理员能够授予权限和角色，这些权限和角色可以授予用户账户和角色。这些语法限制适用：

有关角色的更多信息，请参阅 第 8.2.10 节，“使用角色”。

要使用 GRANT 授予权限，您必须拥有 GRANT OPTION 权限，并且您必须拥有要授予的权限。（或者，如果您拥有 UPDATE 权限对 mysql 系统架构中的授权表，您可以授予任何账户任何权限。）当 read_only 系统变量启用时，GRANT 还需要 CONNECTION_ADMIN 权限（或已弃用的 SUPER 权限）。

GRANT 语句要么成功授予所有命名用户和角色，要么回滚并且没有效果。如果出现任何错误，语句将写入二进制日志，只有当所有命名用户和角色都成功时。

该 REVOKE 语句与 GRANT 相关，允许管理员删除账户权限。见 第 15.7.1.8 节，“REVOKE 语句”。

每个账户名称使用 第 8.2.4 节，“指定账户名称” 中描述的格式。每个角色名称使用 第 8.2.5 节，“指定角色名称” 中描述的格式。例如：

GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';
GRANT SELECT ON world.* TO 'role3';

账户或角色名称的主机名部分，如果省略，默认为 '%'。

通常，数据库管理员首先使用 CREATE USER 创建账户并定义其非权限特征，如密码、是否使用安全连接和服务器资源访问限制，然后使用 GRANT 定义其权限。ALTER USER 可以用于更改现有账户的非权限特征。例如：

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'password';
GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT SELECT ON db2.invoice TO 'jeffrey'@'localhost';
ALTER USER 'jeffrey'@'localhost' WITH MAX_QUERIES_PER_HOUR 90;

从 mysql 程序中，GRANT 在执行成功时响应 Query OK, 0 rows affected。要确定操作的结果权限，请使用 SHOW GRANTS。见 第 15.7.7.22 节，“SHOW GRANTS 语句”。

GRANT 支持长达 255 个字符的主机名。用户名最长可以是 32 个字符。数据库、表、列和例程名称最长可以是 64 个字符。

在 GRANT 语句中，多个对象需要引用，尽管在许多情况下引用是可选的：账户、角色、数据库、表、列和例程名称。例如，如果 user_name 或 host_name 值在账户名称中是合法的未引用的标识符，你不需要引用它们。然而，引号是指定包含特殊字符（例如 -）的 user_name 字符串或包含特殊字符或通配符（例如 %）的 host_name 字符串（例如 'test-user'@'%.com'）所必需的。

要指定引用的值：

有关字符串引用和标识符引用的指南，请见 第 11.1.1 节，“字符串字面量” 和 第 11.2 节，“模式对象名称”。

在 GRANT 语句中，允许在数据库名称中使用 _ 和 % 通配符，以授予数据库级别的权限（GRANT ... ON db_name.*）。例如，要在数据库名称中使用 _ 字符，需要使用 \ 转义字符，如 \_，以防止用户访问其他匹配通配符模式的数据库（例如，GRANT ... ON `foo\_bar`.* TO ...）。

发出多个包含通配符的 GRANT 语句可能不会产生预期的效果；在解析包含通配符的授予权限时，MySQL 只考虑第一个匹配的授予权限。换言之，如果用户拥有两个使用通配符的数据库级别授予权限，MySQL 将应用第一个创建的授予权限。

mysql> CREATE DATABASE db;
Query OK, 1 row affected (0.01 sec)

mysql> CREATE TABLE db.t (c INT);
Query OK, 0 rows affected (0.01 sec)

mysql> INSERT INTO db.t VALUES ROW(1);
Query OK, 1 row affected (0.00 sec)

假设当前账户是 MySQL root 账户或其他拥有必要权限的账户，然后我们创建用户 u，然后发出两个包含通配符的 GRANT 语句，如下所示：

mysql> CREATE USER u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT SELECT ON `d_`.* TO u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT INSERT ON `d%`.* TO u;
Query OK, 0 rows affected (0.00 sec)

mysql> EXIT

Bye

如果我们结束会话，然后以 mysql 客户端重新登录，这次作为 u，我们看到该账户只有第一个匹配授予权限，而不是第二个：

$> mysql -uu -hlocalhost

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10
Server version: 8.3.0-tr Source distribution

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input
statement.

mysql> TABLE db.t;
+------+
| c    |
+------+
|    1 |
+------+
1 row in set (0.00 sec)

mysql> INSERT INTO db.t VALUES ROW(2);
ERROR 1142 (42000): INSERT command denied to user 'u'@'localhost' for table 't'

在权限分配中，MySQL 将未转义的 _ 和 % SQL 通配符字符视为文字字符，在以下情况下：

在 GRANT 语句中的 user 值表示 MySQL 账户，该语句适用于该账户。为了授予来自任意主机的用户权限，MySQL 支持指定 user 值的形式为 'user_name'@'host_name'。

您可以在主机名称中指定通配符。例如，'user_name'@'%.example.com' 适用于 user_name 在 example.com 域中的任何主机，'user_name'@'198.51.100.%' 适用于 user_name 在 198.51.100 类 C 子网中的任何主机。

简单形式 'user_name' 是 'user_name'@'%' 的同义词。

MySQL 不支持用户名中的通配符. 要引用匿名用户，请使用 GRANT 语句指定一个空用户名的账户：

GRANT ALL ON test.* TO ''@'localhost' ...;

在这种情况下，任何从本地主机连接的用户，如果提供了匿名用户的正确密码，将被授予访问权限，具有与匿名用户账户相关的权限。

有关账户名称和主机名值的更多信息，请参阅 第 8.2.4 节，“指定账户名称”。

SELECT Host, User FROM mysql.user WHERE User='';

DROP USER ''@'localhost';

以下表格总结了可以为 GRANT 和 REVOKE 语句指定的静态和动态 priv_type 权限类型，以及每个权限可以授予的级别。有关每个权限的更多信息，请参阅 第 8.2.2 节，“MySQL 提供的权限”。有关静态和动态权限之间的差异，请参阅 静态与动态权限。

触发器与表关联。要创建或删除触发器，必须拥有该表的 TRIGGER 权限，而不是触发器。

在 GRANT 语句中，ALL [PRIVILEGES] 或 PROXY 权限必须单独命名，不能与其他权限一起指定。ALL [PRIVILEGES] 代表授予级别的所有权限，除了 GRANT OPTION 和 PROXY 权限。

MySQL 账户信息存储在 mysql 系统模式的表中。有关详细信息，请参阅 第 8.2 节，“访问控制和账户管理”，其中讨论了 mysql 系统模式和访问控制系统。

如果授权表包含混合大小写数据库或表名的特权行，并且 lower_case_table_names 系统变量设置为非零值，则无法使用 REVOKE 撤销这些特权。在这种情况下，需要直接操作授权表。（GRANT 不会在 lower_case_table_names 设置时创建这些行，但这些行可能是在设置该变量之前创建的。 lower_case_table_names 设置只能在服务器启动时配置。）

特权可以在多个级别授予，具体取决于 ON 子句的语法。对于 REVOKE，相同的 ON 语法指定要撤销的特权。

对于全局、数据库、表和例程级别，GRANT ALL 只分配该级别存在的特权。例如，GRANT ALL ON db_name.* 是一个数据库级别语句，因此它不授予任何全局级别特权，如 FILE。授予 ALL 不会分配 GRANT OPTION 或 PROXY 特权。

如果存在，object_type 子句应指定为 TABLE、FUNCTION 或 PROCEDURE，具体取决于后面的对象是表、存储函数还是存储过程。

用户在数据库、表、列或例程上的特权是通过在每个特权级别（包括全局级别）的账户特权的逻辑 OR 运算符形成的。无法通过在较低级别缺少特权来否定较高级别授予的特权。例如，以下语句授予全局 SELECT 和 INSERT 特权：

GRANT SELECT, INSERT ON *.* TO u1;

全局授予的特权适用于所有数据库、表和列，即使没有在这些较低级别授予。

如果启用了 partial_revokes 系统变量，可以通过撤销特定数据库的特权来明确否定全局级别授予的特权：

GRANT SELECT, INSERT, UPDATE ON *.* TO u1;
REVOKE INSERT, UPDATE ON db1.* FROM u1;

前面的语句的结果是 SELECT 适用于所有表，而 INSERT 和 UPDATE 适用于除 db1 之外的所有表。db1 的账户访问是只读的。

特权检查过程的详细信息请参阅 第 8.2.7 节，“访问控制，第二阶段：请求验证”。

如果您为任何用户使用表、列或例程特权，服务器将检查所有用户的表、列和例程特权，这将使 MySQL 变慢。类似地，如果您限制了任何用户的查询、更新或连接数，服务器必须监控这些值。

MySQL 允许您授予不存在的数据库或表的特权。对于表，授予的特权必须包括 CREATE 特权。这是设计的意图，旨在使数据库管理员能够为将来创建的数据库或表准备用户账户和特权。

全局权限是管理或应用于服务器上的所有数据库的权限。要分配全局权限，请使用 ON *.* 语法：

GRANT ALL ON *.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON *.* TO 'someuser'@'somehost';

The CREATE TABLESPACE, CREATE USER, FILE, PROCESS, RELOAD, REPLICATION CLIENT, REPLICATION SLAVE, SHOW DATABASES, SHUTDOWN, 和 SUPER 静态权限是管理的，可以只在全局级别授予。

动态权限都是全局的，可以只在全局级别授予。

其他权限可以在全局级别或更具体的级别授予。

在全局级别授予 GRANT OPTION 的效果对于静态和动态权限不同：

GRANT ALL 在全局级别授予所有静态全局权限和所有当前注册的动态权限。动态权限在 GRANT 语句执行后注册的，不会被授予回溯到任何账户。

MySQL 将全局权限存储在 mysql.user 系统表中。

数据库权限适用于给定数据库中的所有对象。要分配数据库级权限，请使用 ON db_name.* 语法：

GRANT ALL ON mydb.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'somehost';

如果您使用 ON * 语法（而不是 ON *.*），权限将被授予默认数据库的数据库级别。如果没有默认数据库，将发生错误。

The CREATE, DROP, EVENT, GRANT OPTION, LOCK TABLES, 和 REFERENCES 权限可以在数据库级别指定。表或routine权限也可以在数据库级别指定，在这种情况下它们将应用于数据库中的所有表或routine。

MySQL 将数据库权限存储在 mysql.db 系统表中。

表权限适用于给定表中的所有列。要分配表级权限，请使用 ON db_name.tbl_name 语法：

GRANT ALL ON mydb.mytbl TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.mytbl TO 'someuser'@'somehost';

如果您指定 tbl_name 而不是 db_name.tbl_name，语句将应用于默认数据库中的 tbl_name。如果没有默认数据库，将发生错误。

允许的 priv_type 值在表级别是 ALTER、CREATE VIEW、CREATE、DELETE、DROP、GRANT OPTION、INDEX、INSERT、REFERENCES、SELECT、SHOW VIEW、TRIGGER 和 UPDATE。

表级别权限适用于基本表和视图，不适用于使用 CREATE TEMPORARY TABLE 创建的表，即使表名匹配。有关 TEMPORARY 表权限的信息，请参阅 第 15.1.20.2 节，“CREATE TEMPORARY TABLE 语句”。

MySQL 将表权限存储在 mysql.tables_priv 系统表中。

列权限适用于给定表中的单个列。每个要授予的权限必须在括号中跟随列或列。

GRANT SELECT (col1), INSERT (col1, col2) ON mydb.mytbl TO 'someuser'@'somehost';

允许的 priv_type 值对于列（即使用 column_list 子句）是 INSERT、REFERENCES、SELECT 和 UPDATE。

MySQL 将列权限存储在 mysql.columns_priv 系统表中。

The ALTER ROUTINE、CREATE ROUTINE、EXECUTE 和 GRANT OPTION 权限适用于存储例程（过程和函数）。它们可以在全局和数据库级别授予。除了 CREATE ROUTINE 之外，这些权限可以在单个例程级别授予。

GRANT CREATE ROUTINE ON mydb.* TO 'someuser'@'somehost';
GRANT EXECUTE ON PROCEDURE mydb.myproc TO 'someuser'@'somehost';

允许的 priv_type 值在例程级别是 ALTER ROUTINE、EXECUTE 和 GRANT OPTION。CREATE ROUTINE 不是例程级别权限，因为您必须在全局或数据库级别拥有该权限才能创建例程。

MySQL 将例程级别权限存储在 mysql.procs_priv 系统表中。

The PROXY 权限使一个用户可以代理另一个用户；即，它假扮或采用被代理用户的身份；也就是说，它假设被代理用户的权限。

GRANT PROXY ON 'localuser'@'localhost' TO 'externaluser'@'somehost';

当PROXY被授予时，它必须是GRANT语句中唯一命名的权限，并且唯一允许的WITH选项是WITH GRANT OPTION。

代理需要代理用户通过插件认证，插件返回被代理用户的名称给服务器，当代理用户连接时，并且代理用户对被代理用户拥有PROXY权限。有关详细信息和示例，请参阅第 8.2.19 节，“代理用户”。

MySQL 将代理权限存储在mysql.proxies_priv系统表中。

GRANT语法不带ON子句授予角色，而不是单个权限。角色是命名的权限集合；请参阅第 8.2.10 节，“使用角色”。例如：

GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';

每个要授予的角色必须存在，以及每个用户账户或要授予的角色。角色不能授予匿名用户。

授予角色不会自动激活该角色。有关角色激活和停用信息，请参阅激活角色。

授予角色需要以下权限：

使用GRANT可以创建循环引用。例如：

CREATE USER 'u1', 'u2';
CREATE ROLE 'r1', 'r2';

GRANT 'u1' TO 'u1';   -- simple loop: u1 => u1
GRANT 'r1' TO 'r1';   -- simple loop: r1 => r1

GRANT 'r2' TO 'u2';
GRANT 'u2' TO 'r2';   -- mixed user/role loop: u2 => r2 => u2

循环授予引用是允许的，但不会为受让人添加新的权限或角色，因为用户或角色已经拥有其权限和角色。

GRANT可以使用AS user [WITH ROLE]子句指定关于权限上下文的附加信息，以便语句执行。该语法在 SQL 级别可见，尽管其主要目的是为了在所有节点上实现统一的复制，跨所有节点实施部分撤销的权限限制，并将这些限制显示在二进制日志中。有关部分撤销的信息，请参阅第 8.2.12 节，“使用部分撤销的权限限制”。

当指定AS user子句时，语句执行将考虑到该用户关联的权限限制，包括所有使用WITH ROLE指定的角色。结果是，语句授予的权限可能相比指定的权限减少。

以下条件适用于AS user子句：

AS 子句的效果如下示例所示。创建一个用户 u1，该用户拥有某些全局权限，以及这些权限的限制：

CREATE USER u1;
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO u1;
REVOKE INSERT, UPDATE ON schema1.* FROM u1;
REVOKE SELECT ON schema2.* FROM u1;

还创建一个角色 r1，该角色解除某些权限限制，并将其授予 u1：

CREATE ROLE r1;
GRANT INSERT ON schema1.* TO r1;
GRANT SELECT ON schema2.* TO r1;
GRANT r1 TO u1;

现在，使用一个没有权限限制的帐户，授予多个用户相同的全局权限，但每个用户都有不同的限制，通过 AS 子句施加，并检查实际授予的权限。

如果 GRANT 语句包括一个 AS 用户 子句，执行用户的权限限制将被忽略（而不是像没有 AS 子句时那样应用）。

可选的 WITH 子句用于授予其他用户权限。 WITH GRANT OPTION 子句授予用户将其拥有的权限授予其他用户的能力。

要授予 GRANT OPTION 权限给某个帐户，而不改变其权限，执行以下操作：

GRANT USAGE ON *.* TO 'someuser'@'somehost' WITH GRANT OPTION;

小心地授予 GRANT OPTION 权限，因为两个拥有不同权限的用户可能会组合权限！

您不能授予另一个用户您自己没有的权限；GRANT OPTION权限使您只能分配您自己拥有的权限。

请注意，当您在特定权限级别授予用户GRANT OPTION权限时，该用户拥有的所有权限（或将来可能拥有的权限）都可以授予其他用户。假设您授予用户在数据库上的INSERT权限。如果您然后授予用户在数据库上的SELECT权限，并指定WITH GRANT OPTION，那么该用户可以授予其他用户不仅SELECT权限，还有INSERT权限。如果您然后授予用户在数据库上的UPDATE权限，该用户可以授予INSERT、SELECT和UPDATE权限。

对于非管理员用户，不应授予ALTER权限全局或对mysql系统架构。如果您这样做，该用户可以尝试破坏权限系统通过重命名表格！

有关特定权限相关的安全风险的更多信息，请参阅第 8.2.2 节，“MySQL 提供的权限”。

MySQL 和标准 SQL 版本的 GRANT 之间最大的区别是：