MySQL权限信息存于mysql数据库的五张表:mysql.user(全局)、mysql.db(库级)、mysql.tables_priv(表级)、mysql.columns_priv(列级)、mysql.procs_priv(存储过程/函数级)。
MySQL 的所有权限信息都存放在 mysql 这个系统数据库的多张表中,不是配置文件,也不是内存变量——改完必须刷缓存或重启才生效(但推荐刷缓存)。关键表有五张,按权限粒度从大到小排列:
mysql.user:全局权限,决定用户能否连上、能否关服务、能否建库等。只要这里某字段是 Y,就跳过后续检查(比如 Delete_priv = 'Y',该用户就能删任意库的任意行)mysql.db:库级权限,控制对某个库的 SELECT/CREATE 等操作。注意:只对显式指定库名的语句生效(如 SELECT * FROM sales.orders),不带库名的 USE sales; SELECT * 也受它管mysql.tables_priv:表级权限,精确到某张表。字段 Table_name 和 Db 联合定位对象,Table_priv 存权限字符串(如 'Select,Insert')mysql.columns_priv:列级权限,细到某一列,比如只允许更新 users.phone,但不能碰 users.id_card
mysql.procs_priv:存储过程/函数执行权限,和 EXECUTE 权限直接对应这些表在 MySQL 8.0+ 全部用 InnoDB 引擎(事务安全),不再是 MyISAM;但服务器启动时仍会把它们加载进内存缓存,所以你直接 INSERT INTO mysql.user 不会立刻生效——必须 FLUSH PRIVILEGES 或重启。
很多人执行了 GRANT SELECT ON app.* TO 'dev'@'%',但应用还是报 Access denied。根本原因不是语法错,而是权限没“活”过来。MySQL 不是实时监听权限表变更,它靠内存快照做鉴权。
GRANT / REVOKE 语句,而不是手改 mysql.* 表(MySQL 8.0+ 甚至禁止直接写 user 表)GRANT 语句内部会自动触发权限重载,**但仅限当前连接会话**;其他已连接的客户端仍用旧快照FLUSH PRIVILEGES(这个命令强制全量重载所有权限表到内存)mysql> FLUSH PRIVILEGES; Query OK, 0 rows affected (0.01 sec)
MySQL 认证不是只看用户名,而是严格匹配 user@host 二元组。更关键的是权限检查走的是「自顶向下短路匹配」:先查 user 表,命中就停,不再往下查 db 表。
'api'@'10.0.2.%' 在 user 表里 Select_priv = 'N',但在 db 表里对 finance 库有 Select_priv = 'Y' → 他能查 finance 库'api'@'10.0.2.%' 在 user 表里 Super_priv = 'Y',那他就拥有全部权限,db 表的设置完全被忽略'api'@'localhost' 是另一个完全独立的账号,哪怕密码一样,权限也得单独配这种设计让 DBA 可以实现「同一人,本地全权、远程受限」,但也是权限混乱的源头——别漏掉 @'%' 和 @'localhost' 的重复创建。
MySQL 8.0 彻底重构了权限系统,新增表、拆分字段、强化安全,默认行为也变了:
password 字段,改用 authentication_string 存哈希值(SHA256-based)global_grants 表管理动态全局权限(如 BACKUP_ADMIN),和传统 user 表里的静态权限分离role_edges 和 default_roles 支持角色(Role)机制,可批量授权、解耦用户与权限CREATE USER,不能再用 GRANT ... IDENTIFIED BY 一步到位(该语法已弃用)validate_password 插件强制长度、复杂度,PASSWORD EXPIRE 可设周期如果你从 5.7 升级上来,用 mysqldump --all-databases 备份再恢复,权限表结构会自动适配;但直接拷贝 mysql 库文件会失败——InnoDB 表空间不兼容。