MySQL 8.3 Release Notes
SHOW GRANTS
[FOR user_or_role
[USING role [, role] ...]]
user_or_role: {
user (see Section 8.2.4, “Specifying Account Names”)
| role (see Section 8.2.5, “Specifying Role Names”.
}该语句显示分配给 MySQL 用户帐户或角色的权限和角色,以 GRANT 语句的形式,这些语句必须执行以复制权限和角色分配。
Note
要显示 MySQL 帐户的非权限信息,请使用 SHOW CREATE USER 语句。见 第 15.7.7.13 节,“SHOW CREATE USER 语句”。
SHOW GRANTS 需要 SELECT 权限以访问 mysql 系统模式,除非显示当前用户的权限和角色。
要指定 SHOW GRANTS 的帐户或角色,请使用与 GRANT 语句相同的格式(例如,'jeffrey'@'localhost'):
mysql> SHOW GRANTS FOR 'jeffrey'@'localhost';
+------------------------------------------------------------------+
| Grants for jeffrey@localhost |
+------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `jeffrey`@`localhost` |
| GRANT SELECT, INSERT, UPDATE ON `db1`.* TO `jeffrey`@`localhost` |
+------------------------------------------------------------------+如果省略主机部分,默认为 '%'。有关指定帐户和角色名称的更多信息,请参见 第 8.2.4 节,“指定帐户名称” 和 第 8.2.5 节,“指定角色名称”。
要显示当前用户(您用于连接到服务器的帐户)的权限,可以使用以下语句:
SHOW GRANTS;
SHOW GRANTS FOR CURRENT_USER;
SHOW GRANTS FOR CURRENT_USER();如果在定义者上下文中使用 SHOW GRANTS FOR CURRENT_USER(或任何等效语法),例如在存储过程中执行定义者而不是调用者权限,那么显示的权限将是定义者的权限,而不是调用者的权限。
在 MySQL 8.3 中,与之前的系列相比,SHOW GRANTS 不再在其全局权限输出中显示 ALL PRIVILEGES,因为全局级别的 ALL PRIVILEGES 的含义取决于定义的动态权限。相反,SHOW GRANTS 明确列出了每个授予的全局权限:
mysql> SHOW GRANTS FOR 'root'@'localhost';
+---------------------------------------------------------------------+
| Grants for root@localhost |
+---------------------------------------------------------------------+
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, |
| SHUTDOWN, PROCESS, FILE, REFERENCES, INDEX, ALTER, SHOW DATABASES, |
| SUPER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION |
| SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, |
| ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE TABLESPACE, |
| CREATE ROLE, DROP ROLE ON *.* TO `root`@`localhost` WITH GRANT |
| OPTION |
| GRANT PROXY ON ''@'' TO `root`@`localhost` WITH GRANT OPTION |
+---------------------------------------------------------------------+处理 SHOW GRANTS 输出的应用程序应该相应地进行调整。
在全局级别,GRANT OPTION 适用于所有授予的静态全局权限,如果授予了任何静态全局权限,但适用于每个授予的动态权限。 SHOW GRANTS 以以下方式显示全局权限:
-
一行列出所有授予的静态权限,如果有的话,包括
WITH GRANT OPTION如果适用。 -
一行列出所有授予的动态权限,其中
GRANT OPTION授予了,如果有的话,包括WITH GRANT OPTION。 -
一行列出所有授予的动态权限,其中
GRANT OPTION未授予,如果有的话,不包括WITH GRANT OPTION。
使用可选的 USING 子句,SHOW GRANTS 启用您检查与用户关联的角色权限。每个在 USING 子句中命名的角色必须授予给用户。
假设用户 u1 被分配了角色 r1 和 r2,如下所示:
CREATE ROLE 'r1', 'r2';
GRANT SELECT ON db1.* TO 'r1';
GRANT INSERT, UPDATE, DELETE ON db1.* TO 'r2';
CREATE USER 'u1'@'localhost' IDENTIFIED BY 'u1pass';
GRANT 'r1', 'r2' TO 'u1'@'localhost';SHOW GRANTS 不带 USING 子句显示授予的角色:
mysql> SHOW GRANTS FOR 'u1'@'localhost';
+---------------------------------------------+
| Grants for u1@localhost |
+---------------------------------------------+
| GRANT USAGE ON *.* TO `u1`@`localhost` |
| GRANT `r1`@`%`,`r2`@`%` TO `u1`@`localhost` |
+---------------------------------------------+添加 USING 子句会导致语句也显示每个在子句中命名的角色的权限:
mysql> SHOW GRANTS FOR 'u1'@'localhost' USING 'r1';
+---------------------------------------------+
| Grants for u1@localhost |
+---------------------------------------------+
| GRANT USAGE ON *.* TO `u1`@`localhost` |
| GRANT SELECT ON `db1`.* TO `u1`@`localhost` |
| GRANT `r1`@`%`,`r2`@`%` TO `u1`@`localhost` |
+---------------------------------------------+
mysql> SHOW GRANTS FOR 'u1'@'localhost' USING 'r2';
+-------------------------------------------------------------+
| Grants for u1@localhost |
+-------------------------------------------------------------+
| GRANT USAGE ON *.* TO `u1`@`localhost` |
| GRANT INSERT, UPDATE, DELETE ON `db1`.* TO `u1`@`localhost` |
| GRANT `r1`@`%`,`r2`@`%` TO `u1`@`localhost` |
+-------------------------------------------------------------+
mysql> SHOW GRANTS FOR 'u1'@'localhost' USING 'r1', 'r2';
+---------------------------------------------------------------------+
| Grants for u1@localhost |
+---------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `u1`@`localhost` |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `db1`.* TO `u1`@`localhost` |
| GRANT `r1`@`%`,`r2`@`%` TO `u1`@`localhost` |
+---------------------------------------------------------------------+
Note
授予账户的权限总是生效的,但角色不是。账户的活动角色可能会在会话中和会话之间不同,取决于activate_all_roles_on_login系统变量的值、账户默认角色和是否在会话中执行了SET ROLE。
MySQL支持全局权限的部分撤销,以便在特定模式下限制全局权限(见第 8.2.12 节,“使用部分撤销限制权限”)。为了指示哪些全局模式权限已被撤销,SHOW GRANTS输出包括 REVOKE 语句:
mysql> SET PERSIST partial_revokes = ON;
mysql> CREATE USER u1;
mysql> GRANT SELECT, INSERT, DELETE ON *.* TO u1;
mysql> REVOKE SELECT, INSERT ON mysql.* FROM u1;
mysql> REVOKE DELETE ON world.* FROM u1;
mysql> SHOW GRANTS FOR u1;
+--------------------------------------------------+
| Grants for u1@% |
+--------------------------------------------------+
| GRANT SELECT, INSERT, DELETE ON *.* TO `u1`@`%` |
| REVOKE SELECT, INSERT ON `mysql`.* FROM `u1`@`%` |
| REVOKE DELETE ON `world`.* FROM `u1`@`%` |
+--------------------------------------------------+SHOW GRANTS 不显示授予其他账户的权限,即使该账户可以使用这些权限。例如,如果存在匿名账户,该账户可能可以使用其权限,但SHOW GRANTS 不显示这些权限。
SHOW GRANTS 显示在mandatory_roles系统变量值中命名的强制角色如下:
-
SHOW GRANTS不带FOR子句显示当前用户的权限,包括强制角色。 -
SHOW GRANTS FOR显示命名用户的权限,不包括强制角色。user
这种行为是为了便于应用程序使用SHOW GRANTS FOR 的输出来确定哪些权限明确授予了命名用户。如果该输出包括强制角色,将难以区分明确授予用户的角色和强制角色。user
对于当前用户,应用程序可以使用SHOW GRANTS 或 SHOW GRANTS FOR CURRENT_USER 分别确定权限,包括或不包括强制角色。