零基础OceanBase数据库入门:MySQL模式用户创建与权限管理
从零上手OceanBase:用户创建与权限管理实战指南
在上一篇,我们完成了MySQL模式租户下的数据库创建,相当于为业务数据准备好了“容器”。但直接使用root账号操作业务库,在生产环境中是大忌。合理的用户管理和精细化的权限分配,才是构筑数据库安全防线的基石。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
今天,我们就结合OceanBase的最新demo和单机版文档,手把手带你走一遍用户管理的全流程:从创建用户、授予不同层级的权限,到查看权限和基础运维操作。整个过程完全贴合MySQL的使用习惯,即便是新手也能快速掌握。
一、 2个核心前提
1. 谁有资格创建用户
不是谁都能创建用户的。在OceanBase里,只有拥有CREATE USER系统权限的用户才具备这个资格。默认情况下,这个权限只属于两类角色:
集群管理员和租户管理员(比如租户内的root用户)。普通用户如果想创建新用户,必须先被授予CREATE USER权限才行。
2. 用户名命名规则(最新强制要求)
给用户起名也不是随心所欲的,有几条硬性规则需要遵守:
唯一性:用户名在同一个租户内必须唯一,但不同租户之间允许重名。全局的唯一标识实际上是“用户名@租户名”。
长度限制:通过OBClient或ODC创建时,用户名不能超过64字节;通过OCP创建时,则要求在2到64个字符之间。
命名规范:用户名必须以字母开头,可以包含大小写字母、数字和下划线。强烈建议遵循“见名知意”的原则,比如用“app_read”、“dba_manager”这样的名字,一看就知道用途。
二、前置准备:登录目标业务租户
我们延续之前的环境,登录已经创建好的mysql_tenant租户。使用管理员账号执行以下命令:
# 登录mysql_tenant 租户(密码替换为你设置的密码)obclient -h127.0.0.1 -P2881 -uroot@mysql_tenant -p‘123456’ -A
登录成功之后,接下来所有的用户创建和授权操作,就都可以在这个会话里进行了。
三、创建用户
创建用户使用的是CREATE USER语句。这里有个核心原则必须牢记:坚持最小权限。先创建用户,再根据实际需要授权,不要默认赋予任何高权限。
1. 基础创建用户(最常用)
-- 创建用户app_user,密码设置为App@123456(生产用复杂密码)CREATE USER IF NOT EXISTS ‘app_user’ IDENTIFIED BY ‘App@123456’;
这里有两个关键点:IF NOT EXISTS子句可以避免因用户已存在而报错,强烈建议加上;IDENTIFIED BY用于指定明文密码,服务端会自动将其加密存储,无需担心明文泄露。
2. 带SSL安全策略创建
对于安全性要求更高的场景,可以在创建用户时强制要求使用SSL加密连接:
-- 创建用户并要求必须使用SSL连接CREATE USER ‘sec_user’ IDENTIFIED BY ‘Sec@123456’ REQUIRE SSL;
四、授予权限(4 种常用层级)
用户创建好了,接下来就是分配权限。OceanBase的MySQL模式将权限分为全局、数据库级、表级和列级四个层级,使用GRANT语句授权,语法上完全兼容MySQL,对开发者非常友好。
1. 数据库级权限(最常用,最小权限)
这是生产环境中最推荐的方式,只授予用户操作特定数据库的权限,完美契合最小权限原则:
-- 授予app_user对ob_business库的 查/增/改 权限GRANT SELECT,INSERT,UPDATE ON ob_business.* TO ‘app_user’;-- 刷新权限,立即生效FLUSH PRIVILEGES;
2. 全局权限(高权限,谨慎使用)
这类权限级别最高,务必谨慎授予,通常只留给DBA使用:
-- 授予dba_user所有库的所有权限(仅DBA使用,生产慎用)GRANT ALL ON *.* TO ‘dba_user’;
3. 表级权限
权限可以控制到具体的表,实现更精细的管理:
-- 仅授予app_user对ob_business库下user表的查询权限GRANT SELECT ON ob_business.user TO ‘app_user’;
4. 列级权限(精细化控制)
控制粒度可以细到表的列,适用于对数据安全有极端要求的场景:
-- 仅授予查询id、name列,插入id、name列的权限(可以指定到库表)GRANT SELECT(id,name), INSERT(id,name) ON *.* TO ‘app_user’;
5. 允许权限转授(可选)
GRANT SELECT ON ob_business.* TO ‘app_user’ WITH GRANT OPTION;
添加WITH GRANT OPTION子句后,该用户就可以将自己拥有的这部分权限,再授予其他用户了。
五、查看用户与权限
权限授予后,如何查看和确认?OceanBase提供了多种方式,覆盖了日常运维的各个场景。
1. 快速查看权限(SHOW GRANTS)
这是最快捷的方式:
-- 查看当前用户权限SHOW GRANTS;-- 查看指定用户app_user的权限SHOW GRANTS FOR ‘app_user’;
2. 查看用户全局权限(mysql.user视图)
想查看更详细的全局权限信息,可以查询系统视图:
-- 查看test的全局权限详情SELECT * FROM mysql.user WHERE user=‘test’\G
3 查看数据库级权限(mysql.db视图)
要了解用户在各个数据库的具体权限,可以查询另一个视图:
-- 查看test在各库的权限SELECT * FROM mysql.db WHERE user=‘test’\G
六、实用运维:用户常用操作
1. 修改用户密码
定期修改密码是安全运维的基本要求:
-- 修改app_user密码ALTER USER ‘app_user’ IDENTIFIED BY ‘NewApp@123456’;
2. 回收权限
当用户职责变更或权限过剩时,需要及时回收权限:
-- 回收app_user对ob_business库的修改权限REVOKE UPDATE ON ob_business.* FROM ‘app_user’;FLUSH PRIVILEGES;
3. 删除用户(谨慎操作)
删除用户是不可逆操作,务必确认无误后再执行:
-- 删除用户app_userDROP USER IF EXISTS ‘app_user’;
七、生产安全必看(最新建议)
理论学完了,但在真实的生产环境中,有几条安全红线必须时刻谨记:
最小权限原则:这是铁律。只授予用户完成工作所必需的最低权限,严禁随意授予ALL或*.*这样的全局权限。
密码规范:密码必须使用“大小写字母+数字+特殊字符”的组合,并定期更换,坚决杜绝弱密码。
连接限制:生产环境不要用“%”放开所有IP连接,务必限定为具体的业务服务器IP地址。
禁止共享账号:坚持“一人一户”,这样既便于权限审计,也方便在出问题时快速定位责任人。
定期巡检:建立例行检查机制,定期查看并清理冗余用户和过期的权限。
八、小结
到这里,OceanBase MySQL模式下用户全生命周期的管理,我们就完整走了一遍。其实核心就三点:
创建:用CREATE USER配合强密码,确保租户内用户名唯一。
授权:优先考虑数据库级权限,严格遵守最小权限原则,使用GRANT语句精准分配。
查看:日常用SHOW GRANTS快速查看,需要详情时则查询mysql.user或mysql.db系统视图。
用户和权限配置妥当之后,你的OceanBase数据库就已经做好了迎接业务的准备。下一步,我们就可以进入创建数据表、插入业务数据的环节,真正开始“存数据、用数据”了。
相关攻略
从零上手OceanBase:用户创建与权限管理实战指南 在上一篇,我们完成了MySQL模式租户下的数据库创建,相当于为业务数据准备好了“容器”。但直接使用root账号操作业务库,在生产环境中是大忌。合理的用户管理和精细化的权限分配,才是构筑数据库安全防线的基石。 今天,我们就结合OceanBase的
作者:金旺就在上周,阿里发布了千问任务助理,打造消费级智能体成了阿里这一年第一项重要战略,AI超级入口之争也在这一年正式拉开序幕。值得注意的是,同样是在这场发布会上,当谈及任务助理背后的能力时,阿里
1月18日下午,2025年全国大学生计算机系统能力大赛暨第五届OceanBase数据库大赛在北京科技大学落幕。本届赛事吸引全国高校的1223支队伍、2620名学生参赛。经过两个多月比拼,北邮「编程高
1月18日下午,2025年全国大学生计算机系统能力大赛暨第五届OceanBase数据库大赛在北京科技大学落幕。本届赛事吸引全国高校的1223支队伍、2620名学生参赛。经过两个多月比拼,北邮「编程高
来源:科技日报科技日报记者 崔爽1月18日,2025年全国大学生计算机系统能力大赛暨第五届OceanBase数据库大赛在北京科技大学落幕。本届赛事吸引来自全国高校的1223支队伍、2620名学生参赛
热门专题
热门推荐
司美格鲁肽:从“网红减肥针”到健康警示,真相究竟是什么? 最近几年,司美格鲁肽这个名字,在社交媒体上几乎成了“减肥神药”的代名词。但热度之下,争议和疑问也从未停歇。 就在近日,一条关于“94斤女生打司美格鲁肽减肥被送急诊”的话题冲上热搜,再次将这款药物推到了风口浪尖。这不禁让人追问:它到底是捷径,还
联发科下一代旗舰芯片的核心信息近日浮出水面 最近,关于联发科下一代旗舰芯片的消息在业内传得沸沸扬扬。据可靠博主爆料,这款芯片预计归属天玑9600系列,内部代号“Canyon”。光是这个代号,就让人浮想联翩,感觉大有乾坤。 采用台积电N2p工艺,首配双超大核 那么,这次天玑9600系列到底带来了哪些硬
异环奈布拉怎么获取? 在《异环》游戏的开荒阶段,一辆性能卓越的载具是探索广阔世界的关键助力。其中,奈布拉以其卓越的防御力与出色的全地形适应能力,成为众多玩家优先追求的目标。它不仅是一台高效的代步工具,更是能够穿越险恶环境、抵御异象侵袭的可靠移动堡垒。那么,这辆硬核载具究竟该如何获取并有效培养?本文将
一、形态幅度止盈法 这个方法的核心,是利用那些经典技术形态自带的“量尺”。当形态构筑完成、价格突破关键位置后,它会有一个理论上的目标区域。我们要做的,就是识别这个信号,然后在这个目标区域内分批“下车”。 具体怎么操作呢?首先,得确认股价已经有效突破了,比如双顶的颈线,或者头肩顶形态里右肩高点的连线。
无人叉车诡异启动撞向停放救护车 涉事公司员工:或是线路短路 近日,四川南充一处停车场内上演了颇为离奇的一幕:一辆无人操作的叉车,竟自己“活”了过来,启动后径直撞向了停在一旁的救护车。整个过程被监控清晰记录,视频流传网络后,甚至引来不少网友对“灵异事件”的调侃。 从监控画面看,事发时这辆叉车周围空无一