为了使代理用户在给定的身份验证插件中生效，必须满足以下条件：

代理机制仅允许将外部客户端用户名映射到代理用户名称。没有为映射主机名的提供。

考虑以下账户定义：

-- create proxy account
CREATE USER 'employee_ext'@'localhost'
  IDENTIFIED WITH my_auth_plugin
  AS 'my_auth_string';

-- create proxied account and grant its privileges;
-- use mysql_no_login plugin to prevent direct login
CREATE USER 'employee'@'localhost'
  IDENTIFIED WITH mysql_no_login;
GRANT ALL
  ON employees.*
  TO 'employee'@'localhost';

-- grant to proxy account the
-- PROXY privilege for proxied account
GRANT PROXY
  ON 'employee'@'localhost'
  TO 'employee_ext'@'localhost';

当客户端以employee_ext身份从本地主机连接时，MySQL使用名为my_auth_plugin的插件进行身份验证。假设my_auth_plugin将用户名返回为employee，基于'my_auth_string'的内容或外部身份验证系统的内容。名称employee不同于employee_ext，因此返回employee作为请求服务器将employee_ext外部用户视为employee本地用户，以便在权限检查时进行。

在这种情况下，employee_ext 是代理用户，而 employee 是被代理用户。

服务器验证 employee_ext 用户是否可以为 employee 用户执行代理身份验证，方法是检查 employee_ext 用户是否拥有 PROXY 权限，以便访问 employee 用户。如果没有授予权限，会出现错误。否则，employee_ext 将继承 employee 用户的权限。服务器将在客户端会话中执行的语句，检查它们是否符合 employee 用户的权限。在这种情况下，employee_ext 可以访问 employees 数据库中的表。

被代理的账户 employee 使用 mysql_no_login 认证插件来防止客户端直接使用账户登录。 (假设插件已经安装。有关安装的指南，请见第8.4.1.9节，“No-Login Pluggable Authentication”。) 对于保护被代理账户的直接使用的其他方法，请见Preventing Direct Login to Proxied Accounts。

当代理身份验证发生时，可以使用USER()和CURRENT_USER()函数来查看连接用户（代理用户）和当前会话中应用的账户（被代理用户）的差异。对于上述示例，函数返回以下值：

mysql> SELECT USER(), CURRENT_USER();
+------------------------+--------------------+
| USER()                 | CURRENT_USER()     |
+------------------------+--------------------+
| employee_ext@localhost | employee@localhost |
+------------------------+--------------------+

在CREATE USER语句中创建代理用户账户时，IDENTIFIED WITH子句指定的认证插件名称后，可以选择性地添加一个AS 'auth_string'子句，指定一个字符串，该字符串将在用户连接时传递给插件。如果存在，该字符串提供了帮助插件确定如何将代理（外部）客户端用户名称映射到被代理用户名称的信息。每个插件都决定是否需要AS子句。如果是，认证字符串的格式取决于插件如何使用它。请查看插件的文档，以获取关于认证字符串值的信息。

被代理账户通常旨在通过代理账户使用。也就是说，客户端使用代理账户连接，然后假设被代理用户的权限。

有多种方法可以确保被代理账户不能直接使用：

需要PROXY特权来使外部用户连接到另一个用户并拥有该用户的权限。要授予此特权，请使用GRANT语句。例如：

GRANT PROXY ON 'proxied_user' TO 'proxy_user';

语句创建了mysql.proxies_priv授权表中的行。

在连接时，proxy_user必须表示一个有效的外部身份验证的MySQL用户，而proxied_user必须表示一个有效的本地身份验证的用户。否则，连接尝试将失败。

对应的REVOKE语法是：

REVOKE PROXY ON 'proxied_user' FROM 'proxy_user';

MySQLGRANT和REVOKE语法扩展将像通常一样工作。示例：

-- grant PROXY to multiple accounts
GRANT PROXY ON 'a' TO 'b', 'c', 'd';

-- revoke PROXY from multiple accounts
REVOKE PROXY ON 'a' FROM 'b', 'c', 'd';

-- grant PROXY to an account and enable the account to grant
-- PROXY to the proxied account
GRANT PROXY ON 'a' TO 'd' WITH GRANT OPTION;

-- grant PROXY to default proxy account
GRANT PROXY ON 'a' TO ''@'';

可以在以下情况下授予PROXY特权：

安装 MySQL 时创建的初始 root 账户具有PROXY ... WITH GRANT OPTION特权，以便于 root 设置代理用户，并将其他账户的权限委托给代理用户。例如，root 可以这样做：

CREATE USER 'admin'@'localhost'
  IDENTIFIED BY 'admin_password';
GRANT PROXY
  ON ''@''
  TO 'admin'@'localhost'
  WITH GRANT OPTION;

这些语句创建了一个名为 admin 的用户，可以管理所有 GRANT PROXY 映射。例如，admin 可以这样做：

GRANT PROXY ON sally TO joe;

要指定某些或所有用户使用特定的身份验证插件连接，可以创建一个空白 MySQL 账户，使用空白用户名和主机名（''@''），将其关联到该插件，并让插件返回实际认证用户名称（如果与空白用户不同）。假设存在一个名为 ldap_auth 的插件，它实现 LDAP 认证，并将连接用户映射到开发者或经理账户之一。要设置用户代理，以使用以下语句：

-- create default proxy account
CREATE USER ''@''
  IDENTIFIED WITH ldap_auth
  AS 'O=Oracle, OU=MySQL';

-- create proxied accounts; use
-- mysql_no_login plugin to prevent direct login
CREATE USER 'developer'@'localhost'
  IDENTIFIED WITH mysql_no_login;
CREATE USER 'manager'@'localhost'
  IDENTIFIED WITH mysql_no_login;

-- grant to default proxy account the
-- PROXY privilege for proxied accounts
GRANT PROXY
  ON 'manager'@'localhost'
  TO ''@'';
GRANT PROXY
  ON 'developer'@'localhost'
  TO ''@'';

现在假设客户端连接如下：

$> mysql --user=myuser --password ...
Enter password: myuser_password

服务器找不到 myuser 定义为 MySQL 用户，但因为存在一个空白用户账户（''@''），该账户匹配客户端用户名和主机名，服务器对客户端进行身份验证。服务器调用 ldap_auth 身份验证插件，并将 myuser 和 myuser_password 传递给它作为用户名和密码。

如果 ldap_auth 插件在 LDAP 目录中找到 myuser_password 不是 myuser 的正确密码，身份验证失败，服务器拒绝连接。

如果密码正确，ldap_auth 插件找到 myuser 是开发者，它返回用户名 developer 给 MySQL 服务器，而不是 myuser。返回的用户名不同于客户端用户名 myuser，提示服务器将 myuser 视为代理用户。服务器验证 ''@'' 可以作为 developer 进行身份验证（因为 ''@'' 拥有PROXY特权），并接受连接。会话继续使用 myuser 拥有代理用户的权限。 (这些权限应该由 DBA 使用GRANT 语句设置，不显示。) USER() 和CURRENT_USER() 函数返回这些值：

mysql> SELECT USER(), CURRENT_USER();
+------------------+---------------------+
| USER()           | CURRENT_USER()      |
+------------------+---------------------+
| myuser@localhost | developer@localhost |
+------------------+---------------------+

如果插件在LDAP目录中找到myuser是经理，它将返回manager作为用户名，并将会话继续使用myuser拥有manager代理用户的权限。

mysql> SELECT USER(), CURRENT_USER();
+------------------+-------------------+
| USER()           | CURRENT_USER()    |
+------------------+-------------------+
| myuser@localhost | manager@localhost |
+------------------+-------------------+

为了简单起见，外部身份验证不能多级：既不考虑developer的凭证，也不考虑manager的凭证。但是，如果客户端尝试直接连接并身份验证为developer或manager账户，这些代理账户仍然会被使用（参见Preventing Direct Login to Proxied Accounts）。

如果你想创建默认代理用户，请检查其他存在的“match any user”账户，因为它们可以防止默认代理用户工作正常。

在前面的讨论中，默认代理用户账户的主机部分是''，这将匹配任何主机。如果你设置了默认代理用户，请确保也检查是否存在同名账户，但主机部分是'%'，因为'%'也可以匹配任何主机，但根据服务器内部排序规则，它们的优先级高于''（参见Section 8.2.6, “Access Control, Stage 1: Connection Verification”）。

假设有一台MySQL安装包括这两个账户：

-- create default proxy account
CREATE USER ''@''
  IDENTIFIED WITH some_plugin
  AS 'some_auth_string';
-- create anonymous account
CREATE USER ''@'%'
  IDENTIFIED BY 'anon_user_password';

第一个账户（''@''）是默认代理用户，用于身份验证连接的用户，如果用户不匹配更具体的账户。第二个账户（''@'%'）是一个匿名用户账户，可能是为了允许用户连接到匿名账户。

两个账户都有同名的用户部分（''），匹配任何用户。每个账户的主机部分也匹配任何主机。然而，账户匹配规则使得'%'优先于''。因此，对于不匹配任何更具体账户的连接尝试，服务器将尝试使用''@'%'（匿名用户）而不是''@''（默认代理用户）。结果，默认代理账户从不被使用。

为了避免这个问题，请使用以下策略之一：

一些身份验证插件实现了自己对代理用户的映射（例如，PAM和Windows身份验证插件）。其他身份验证插件不支持代理用户默认情况下。这些插件中，有些可以请求MySQL服务器自己对代理用户进行映射：mysql_native_password，sha256_password。如果check_proxy_users系统变量启用，服务器将对身份验证插件请求的代理用户进行映射：

例如，要启用所有前述功能，请在my.cnf文件中添加以下行：

[mysqld]
check_proxy_users=ON
mysql_native_password_proxy_users=ON
sha256_password_proxy_users=ON

假设相关系统变量已经启用，使用CREATE USER创建代理用户，然后授予该用户对单个其他帐户的PROXY权限。当服务器接收到代理用户的成功连接请求时，它找到该用户具有PROXY权限，并使用它来确定合适的代理用户。

-- create proxy account
CREATE USER 'proxy_user'@'localhost'
  IDENTIFIED WITH mysql_native_password
  BY 'password';

-- create proxied account and grant its privileges;
-- use mysql_no_login plugin to prevent direct login
CREATE USER 'proxied_user'@'localhost'
  IDENTIFIED WITH mysql_no_login;
-- grant privileges to proxied account
GRANT ...
  ON ...
  TO 'proxied_user'@'localhost';

-- grant to proxy account the
-- PROXY privilege for proxied account
GRANT PROXY
  ON 'proxied_user'@'localhost'
  TO 'proxy_user'@'localhost';

要使用代理帐户，使用其名称和密码连接到服务器：

$> mysql -u proxy_user -p
Enter password: (enter proxy_user password here)

身份验证成功，服务器找到proxy_user具有PROXY权限为proxied_user，并将会话继续使用proxy_user拥有proxied_user的权限。

服务器对代理用户映射的执行受以下限制：

两个系统变量帮助跟踪代理登录过程：