以下是对MySQL权限控制的系统化总结，结合权限分类、管理操作及最佳实践：

---

一、权限分类与层级 MySQL的权限控制分为五级，实现精细化管理：

1. 全局权限
   影响整个MySQL实例，如用户管理、服务器配置。
   核心权限：CREATE USER（创建用户）、SHUTDOWN（关闭服务器）、RELOAD（刷新权限）
   授权语法：GRANT ALL PRIVILEGES ON *.* TO 'user'@'host'

2. 数据库级权限
   控制用户对特定库的操作，如创建表、修改结构。
   常用权限：CREATE（建表）、ALTER（改表）、DROP（删库）
   授权示例：GRANT SELECT ON mydb.* TO 'user'@'%'

3. 表级权限
   限制对具体表的操作，如增删改查。
   关键权限：SELECT（查询）、INSERT（插入）、DELETE（删除）
   精确控制：GRANT UPDATE ON mydb.mytable TO 'user'@'localhost'

4. 列级权限
   通过视图间接实现，例如仅允许访问某列：

   CREATE VIEW v_secure AS SELECT col1 FROM mytable;
   GRANT SELECT ON v_secure TO 'user'@'%';  -- 仅开放col1列
   

5. 存储程序权限
   管理存储过程/函数的执行：
   GRANT EXECUTE ON PROCEDURE myproc TO 'user'@'%'

---

二、权限管理操作

1. 用户生命周期管理 • 创建用户

CREATE USER 'user'@'host' IDENTIFIED BY 'password';  -- 允许从host连接

• 修改用户

RENAME USER 'old'@'%' TO 'new'@'%';  -- 重命名
ALTER USER 'user'@'%' IDENTIFIED BY 'new_password';  -- 改密码

• 删除用户

DROP USER 'user'@'%';  -- 彻底删除（推荐）
DELETE FROM mysql.user WHERE User='user' AND Host='%';  -- 需手动刷新权限

2. 权限分配与回收 • 授权

GRANT SELECT, INSERT ON mydb.* TO 'user'@'localhost';  -- 分配库级权限
GRANT UPDATE (col1) ON mydb.mytable TO 'user'@'%';      -- 列级权限（需视图辅助）

• 撤销权限

REVOKE DELETE ON mydb.* FROM 'user'@'%';  -- 回收删除权限

• 查看权限

SHOW GRANTS FOR 'user'@'%';  -- 显示所有已授权限

3. 权限生效 • 刷新权限表：修改权限后需执行 FLUSH PRIVILEGES;

---

三、高级权限控制

1. 密码策略
   • 过期时间：ALTER USER 'user'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;

   • 全局策略：在配置文件中设置 default_password_lifetime=180（每180天过期）

2. 角色管理（MySQL 8.0+）
   通过角色批量分配权限，简化多用户管理：

CREATE ROLE 'read_only';
GRANT SELECT ON *.* TO 'read_only';
 GRANT 'read_only' TO 'user1'@'%', 'user2'@'%';

---

四、最佳实践

1. 最小权限原则：仅授予必要权限（如只读账户仅分配SELECT）
2. 定期审计：使用 SHOW GRANTS 审查权限，移除冗余授权
3. IP限制：通过'user'@'192.168.1.%'限制访问来源
4. 避免使用%主机：生产环境推荐限制为特定IP或域名

---

五、常见问题处理 • 权限不生效：检查是否执行 FLUSH PRIVILEGES; 或重启服务

• 权限冲突：精确的权限层级（如全局SELECT会覆盖表级限制）

• 安全漏洞：禁用默认匿名账户，删除测试数据库

通过上述分级控制和策略，可构建安全的MySQL权限体系。具体操作时需结合实际业务需求调整权限粒度。