从零上手OceanBase:用户创建与权限管理实战指南
在上一篇,我们完成了MySQL模式租户下的数据库创建,相当于为业务数据准备好了“容器”。但直接使用root账号操作业务库,在生产环境中是大忌。合理的用户管理和精细化的权限分配,才是构筑数据库安全防线的基石。
今天,我们就结合OceanBase的最新demo和单机版文档,手把手带你走一遍用户管理的全流程:从创建用户、授予不同层级的权限,到查看权限和基础运维操作。整个过程完全贴合MySQL的使用习惯,即便是新手也能快速掌握。
一、 2个核心前提
1. 谁有资格创建用户
不是谁都能创建用户的。在OceanBase里,只有拥有CREATE USER系统权限的用户才具备这个资格。默认情况下,这个权限只属于两类角色:
集群管理员和租户管理员(比如租户内的root用户)。普通用户如果想创建新用户,必须先被授予CREATE USER权限才行。
2. 用户名命名规则(最新强制要求)
给用户起名也不是随心所欲的,有几条硬性规则需要遵守:
唯一性:用户名在同一个租户内必须唯一,但不同租户之间允许重名。全局的唯一标识实际上是“用户名@租户名”。
长度限制:通过OBClient或ODC创建时,用户名不能超过64字节;通过OCP创建时,则要求在2到64个字符之间。
命名规范:用户名必须以字母开头,可以包含大小写字母、数字和下划线。强烈建议遵循“见名知意”的原则,比如用“app_read”、“dba_manager”这样的名字,一看就知道用途。
二、前置准备:登录目标业务租户
我们延续之前的环境,登录已经创建好的mysql_tenant租户。使用管理员账号执行以下命令:
# 登录mysql_tenant 租户(密码替换为你设置的密码)obclient -h127.0.0.1 -P2881 -uroot@mysql_tenant -p‘123456’ -A
登录成功之后,接下来所有的用户创建和授权操作,就都可以在这个会话里进行了。
三、创建用户
创建用户使用的是CREATE USER语句。这里有个核心原则必须牢记:坚持最小权限。先创建用户,再根据实际需要授权,不要默认赋予任何高权限。
1. 基础创建用户(最常用)
-- 创建用户app_user,密码设置为App@123456(生产用复杂密码)CREATE USER IF NOT EXISTS ‘app_user’ IDENTIFIED BY ‘App@123456’;
这里有两个关键点:IF NOT EXISTS子句可以避免因用户已存在而报错,强烈建议加上;IDENTIFIED BY用于指定明文密码,服务端会自动将其加密存储,无需担心明文泄露。
2. 带SSL安全策略创建
对于安全性要求更高的场景,可以在创建用户时强制要求使用SSL加密连接:
-- 创建用户并要求必须使用SSL连接CREATE USER ‘sec_user’ IDENTIFIED BY ‘Sec@123456’ REQUIRE SSL;
四、授予权限(4 种常用层级)
用户创建好了,接下来就是分配权限。OceanBase的MySQL模式将权限分为全局、数据库级、表级和列级四个层级,使用GRANT语句授权,语法上完全兼容MySQL,对开发者非常友好。
1. 数据库级权限(最常用,最小权限)
这是生产环境中最推荐的方式,只授予用户操作特定数据库的权限,完美契合最小权限原则:
-- 授予app_user对ob_business库的 查/增/改 权限GRANT SELECT,INSERT,UPDATE ON ob_business.* TO ‘app_user’;-- 刷新权限,立即生效FLUSH PRIVILEGES;
2. 全局权限(高权限,谨慎使用)
这类权限级别最高,务必谨慎授予,通常只留给DBA使用:
-- 授予dba_user所有库的所有权限(仅DBA使用,生产慎用)GRANT ALL ON *.* TO ‘dba_user’;
3. 表级权限
权限可以控制到具体的表,实现更精细的管理:
-- 仅授予app_user对ob_business库下user表的查询权限GRANT SELECT ON ob_business.user TO ‘app_user’;
4. 列级权限(精细化控制)
控制粒度可以细到表的列,适用于对数据安全有极端要求的场景:
-- 仅授予查询id、name列,插入id、name列的权限(可以指定到库表)GRANT SELECT(id,name), INSERT(id,name) ON *.* TO ‘app_user’;
5. 允许权限转授(可选)
GRANT SELECT ON ob_business.* TO ‘app_user’ WITH GRANT OPTION;
添加WITH GRANT OPTION子句后,该用户就可以将自己拥有的这部分权限,再授予其他用户了。
五、查看用户与权限
权限授予后,如何查看和确认?OceanBase提供了多种方式,覆盖了日常运维的各个场景。
1. 快速查看权限(SHOW GRANTS)
这是最快捷的方式:
-- 查看当前用户权限SHOW GRANTS;-- 查看指定用户app_user的权限SHOW GRANTS FOR ‘app_user’;
2. 查看用户全局权限(mysql.user视图)
想查看更详细的全局权限信息,可以查询系统视图:
-- 查看test的全局权限详情SELECT * FROM mysql.user WHERE user=‘test’\G
3 查看数据库级权限(mysql.db视图)
要了解用户在各个数据库的具体权限,可以查询另一个视图:
-- 查看test在各库的权限SELECT * FROM mysql.db WHERE user=‘test’\G
六、实用运维:用户常用操作
1. 修改用户密码
定期修改密码是安全运维的基本要求:
-- 修改app_user密码ALTER USER ‘app_user’ IDENTIFIED BY ‘NewApp@123456’;
2. 回收权限
当用户职责变更或权限过剩时,需要及时回收权限:
-- 回收app_user对ob_business库的修改权限REVOKE UPDATE ON ob_business.* FROM ‘app_user’;FLUSH PRIVILEGES;
3. 删除用户(谨慎操作)
删除用户是不可逆操作,务必确认无误后再执行:
-- 删除用户app_userDROP USER IF EXISTS ‘app_user’;
七、生产安全必看(最新建议)
理论学完了,但在真实的生产环境中,有几条安全红线必须时刻谨记:
最小权限原则:这是铁律。只授予用户完成工作所必需的最低权限,严禁随意授予ALL或*.*这样的全局权限。
密码规范:密码必须使用“大小写字母+数字+特殊字符”的组合,并定期更换,坚决杜绝弱密码。
连接限制:生产环境不要用“%”放开所有IP连接,务必限定为具体的业务服务器IP地址。
禁止共享账号:坚持“一人一户”,这样既便于权限审计,也方便在出问题时快速定位责任人。
定期巡检:建立例行检查机制,定期查看并清理冗余用户和过期的权限。
八、小结
到这里,OceanBase MySQL模式下用户全生命周期的管理,我们就完整走了一遍。其实核心就三点:
创建:用CREATE USER配合强密码,确保租户内用户名唯一。
授权:优先考虑数据库级权限,严格遵守最小权限原则,使用GRANT语句精准分配。
查看:日常用SHOW GRANTS快速查看,需要详情时则查询mysql.user或mysql.db系统视图。
用户和权限配置妥当之后,你的OceanBase数据库就已经做好了迎接业务的准备。下一步,我们就可以进入创建数据表、插入业务数据的环节,真正开始“存数据、用数据”了。
