前言

这里讨论 mysql 的权限相关处理 

使用如下语句创建 tz_test 用户, 并赋予他 test_02 数据库的查询权限 

create user 'tz_test'@'%' identified by 'tz_test';

grant select on test_02.* to 'tz_test'@'%';

 

查询目标数据表, 数据如下, tz_test_02

 

 

UPDATE command denied to user 'tz_test'@'192.168.220.1' for table 'tz_test_02'

执行 update 之后, 客户端这边 得到的信息如下

 

这里对于当前用户 tz_test 访问 tz_test_02 数据表 验证在这里, 由于上面 check_grant 这边验证 tz_test 用户没有 test_02.tz_test_02 的 UPDATE 权限, 这里是响应的错误信息给客户端 “UPDATE command denied to user 'tz_test'@'192.168.220.1' for table 'tz_test_02'”

 

首先看一下 各个权限的标志, 分别对应于 SELECT, INSERT, UPDATE, DELETE, CREATE, DROP 等等各个权限 

 

 

结合这里的上下文, 我们可以看到的是 tz_test 用户在 192.168.220.1 上面访问 mysql 服务器 

期望 对 test_02 库的 tz_test_02 表 执行 UPDATE 相关操作

然后这里 tz_test@192.168.220.1 对于 test_02.tz_test_02 的权限仅仅只有 SELECT 权限 

 

然后 table_hash_search 是查询 是否有 数据库表粒度的权限配置, 这部分的配置是持久化在 mysql.tables_priv 中, 然后加载到了 column_priv_hash 中, table_hash_search 中查询到的 HASH 是 column_priv_hash

如果 上面数据库粒度的 UPDATE 权限也没有, 然后 这里具体到某张表粒度的权限也没有, 那么就是 当前用户在当前主机上 没有访问 目标数据库的目标数据表 的 更新权限

然后 走了后面的 “goto err” 响应错误信息给客户端 

 

获取 tz_test@192.168.220.1 访问 test_02.tz_test_02 的权限的地方 

这里是从 thd->security_context()->db_access() 获取的数据 

 

thd->security_context()->db_access() 是来自于切换数据库的时候, 有更新 当前用户@当前主机 访问目标数据库 的权限信息

acl_get 通过 user@host -> db 去从 mysql.db 中获取 权限信息

然后 下面 mysql_change_db_impl 更新权限信息到 thd->m_security_ctx->m_db_access

 

acl_get 中遍历 acl_dbs 列表去查询 user@host -> db 的认证信息 

三层比较, user, ip, db, 对应的就是 user@host -> db

 

设置当前 session[user@host] 访问 目标数据库 的权限信息

 

以上就是整体流程

切换数据库的时候, 会从 acl_dbs[对应的是 mysql.db 的数据] 中查询 user@host -> db 的认证信息, 保存到当前 session 的上下文 

然后 业务查询过来了之后, check_access 将该认证信息 传递到 table->grant->db_access

然后 check_grant 中来做具体的权限校验

如果 数据库权限中没有该权限, 并且 数据表权限 中没有该权限, 则响应 TABLEACCESS_DENIED_ERROR

 

 

acl_dbs 的加载 

遍历的是 mysql.db 这张数据表, 然后来加载数据, 之后放到 acl_dbs

 

get_access 中获取的是当前记录行的各个标记组成的 access 数字 

主要就是 (user@host -> db) -> access 的一个映射 

 

获取 access 的方式如下 

遍历各个 权限表示的字段, 加上各自的权重, 然后组成 access 

 

 

 column_priv_hash 的加载 

这里面加载的是 mysql.tables_priv 数据表, 对应的是 (user@host -> db@tableName) -> access 的一个映射, 数据是维护熬了 column_priv_hash 中 

如下是 初始化的操作, 遍历 mysql.tables_priv 的记录信息, 封装成为 GRANT_TABLE 数据, 然后将数据插入到 column_priv_hash 中 

然后 使用是在 check_grant 中使用的 

 

根据 mysql.tables_priv 记录信息, 创建 GRANT_TABLE 的信息 

主要是 (user@host -> db@tableName) -> access

 

 

 完