本文共 1336 字,大约阅读时间需要 4 分钟。
在进行MySQL数据库用户权限规范时,经常会遇到一些棘手的问题。以下是一个典型案例的分析和解决方案。
在将业务帐号'user'@'%'修改为'user'@'192.168.1.%'时,业务系统出现了404错误。经过排查,发现问题出在某些业务模块调用数据库时使用了视图,而这些视图的定义者是原来的'user'@'%'帐号,并且安全性设置为definer。由于新用户'user'@'192.168.1.%'虽然拥有与原用户相同的数据库权限,但仍然无法使用这些视图。
definer)必须存在且拥有相应权限,才能正常使用。虽然新用户拥有相同的权限,但由于其不再是定义者,无法访问定义者为原用户的视图。definer,这意味着必须存在定义者用户才能执行视图操作。针对上述问题,采取以下解决方案:
修改所有视图的定义者
将所有相关视图的定义者更改为新用户'user'@'192.168.1.%'。这样可以确保新用户作为定义者,具备执行视图所需的权限。调整安全性设置
将视图的安全性设置从definer改为invoker。这样,执行视图的用户(调用者)将使用其自身权限,而非依赖定义者的权限。这种方法在生产环境中虽然可行,但由于需要确保所有视图的定义者都已修改,因此优先采用第一种方法。在MySQL中,definer和invoker是用于定义数据库对象(如视图、存储过程等)的安全性验证方式。两者的主要区别如下:
definer
invoker
definer主要用于定义数据库对象的安全性验证方式。在创建视图、触发器、函数、存储程序或事件时,通常需要指定SQL SECURITY { DEFINER | INVOKER }。默认情况下,MySQL的安全性设置为DEFINER。
以存储程序为例:
默认设置
如果未指定SQL SECURITY,默认为DEFINER,即存储程序将使用定义者的权限执行。INVOKER设置
存储程序执行时,使用调用用户的权限。如果调用用户没有权限,操作将失败。DEFINER设置
存储程序执行时,使用定义者的权限。即使调用用户没有权限,仍需定义者用户存在且拥有权限。在生产环境中,数据库权限变更可能导致服务中断,因此必须谨慎操作。建议: