本文共 1336 字，大约阅读时间需要 4 分钟。

MySQL数据库用户权限问题及解决方案

在进行MySQL数据库用户权限规范时，经常会遇到一些棘手的问题。以下是一个典型案例的分析和解决方案。

问题背景

在将业务帐号'user'@'%'修改为'user'@'192.168.1.%'时，业务系统出现了404错误。经过排查，发现问题出在某些业务模块调用数据库时使用了视图，而这些视图的定义者是原来的'user'@'%'帐号，并且安全性设置为definer。由于新用户'user'@'192.168.1.%'虽然拥有与原用户相同的数据库权限，但仍然无法使用这些视图。

问题原因

• 视图权限依赖原定义者：视图的定义者（definer）必须存在且拥有相应权限，才能正常使用。虽然新用户拥有相同的权限，但由于其不再是定义者，无法访问定义者为原用户的视图。
• 默认安全性设置：默认情况下，MySQL视图的安全性设置为definer，这意味着必须存在定义者用户才能执行视图操作。

解决方案

针对上述问题，采取以下解决方案：

definer与invoker的区别

在MySQL中，definer和invoker是用于定义数据库对象（如视图、存储过程等）的安全性验证方式。两者的主要区别如下：

• definer

  • 视图执行时，使用定义者的权限。
  • 定义者必须存在且拥有相应权限，否则会导致执行失败。

• invoker

  • 视图执行时，使用调用者的权限。
  • 只需调用者具备执行权限即可使用。

definer的作用

definer主要用于定义数据库对象的安全性验证方式。在创建视图、触发器、函数、存储程序或事件时，通常需要指定SQL SECURITY { DEFINER | INVOKER }。默认情况下，MySQL的安全性设置为DEFINER。

• DEFINER：视图或其他对象执行时，使用定义者用户的权限。
• INVOKER：视图或其他对象执行时，使用调用用户的权限。

示例说明

以存储程序为例：

注意事项

在生产环境中，数据库权限变更可能导致服务中断，因此必须谨慎操作。建议：

• 批量修改：在测试环境中先验证所有视图、触发器等对象的定义者和安全性设置，确保不会影响正常业务。
• 权限审查：确保所有相关对象的定义者和安全性设置符合当前用户的权限需求。

参考文献

• MySQL视图定义者和安全性
• MySQL如何修改所有的definer
• MySQL错误1449：定义的用户不存在