在mysql的实际使用场景中,临时查询需求非常普遍,比如临时给开发人员开放某张表的查询权限用于问题排查,或者给第三方人员开放只读权限提取特定数据,这类需求的特点是权限使用时间短、权限范围有限,因此设置临时有效权限账号既能满足业务需求,也能降低数据库的安全风险。

临时权限账号的核心需求
临时查询需求的权限账号需要满足两个核心要求,一是权限范围可控,只能访问指定的数据库或表,不能操作其他数据;二是有效期可控,超过指定时间后权限自动失效,不需要手动回收。mysql从5.7版本开始支持账号的有效期设置,结合权限授予语句可以很好地满足这两个需求。
通过有效期设置临时账号
mysql的CREATE USER和ALTER USER语句支持设置账号的过期时间,可以通过PASSWORD EXPIRE子句来指定账号的有效期,具体操作步骤如下。
1. 创建带有效期的临时查询账号
如果需要创建一个临时有效的查询账号,可以在创建时直接指定过期时间,比如创建一个只能查询test_db数据库下所有表的账号temp_query,有效期到2024年10月1日,操作语句如下:
-- 创建临时查询账号,设置密码为Temp@123,指定过期时间为2024-10-01 CREATE USER 'temp_query'@'%' IDENTIFIED BY 'Temp@123' PASSWORD EXPIRE '2024-10-01'; -- 授予该账号test_db数据库下所有表的查询权限 GRANT SELECT ON test_db.* TO 'temp_query'@'%'; -- 刷新权限使配置生效 FLUSH PRIVILEGES;
这里需要注意,PASSWORD EXPIRE后面可以跟具体的时间字符串,格式为YYYY-MM-DD,也可以跟INTERVAL表达式,比如PASSWORD EXPIRE INTERVAL 7 DAY表示账号7天后过期。
2. 修改已有账号的有效期
如果已经存在需要临时使用的账号,也可以通过ALTER USER语句修改其有效期,比如将已有账号temp_query的有效期延长3天,操作如下:
-- 修改账号有效期为3天后过期 ALTER USER 'temp_query'@'%' PASSWORD EXPIRE INTERVAL 3 DAY; -- 刷新权限 FLUSH PRIVILEGES;
3. 验证账号有效期
可以通过查询mysql.user表来查看账号的过期时间,确认配置是否生效:
-- 查询temp_query账号的过期时间 SELECT user, host, password_expired, password_lifetime, expiration_time FROM mysql.user WHERE user = 'temp_query';
执行后可以看到expiration_time字段的值就是账号的过期时间,当时间超过该值后,账号登录时会被提示密码过期,无法执行任何查询操作。
通过权限回收实现临时授权
如果使用的mysql版本较低,不支持账号有效期设置,也可以通过手动授予权限、到期回收权限的方式实现临时授权,步骤如下。
1. 授予临时权限
先创建普通账号,然后授予对应的查询权限:
-- 创建临时账号 CREATE USER 'temp_query_old'@'%' IDENTIFIED BY 'Temp@123'; -- 授予test_db数据库的查询权限 GRANT SELECT ON test_db.* TO 'temp_query_old'@'%'; FLUSH PRIVILEGES;
2. 到期回收权限
当临时需求结束后,通过REVOKE语句回收权限,或者直接删除账号:
-- 回收查询权限 REVOKE SELECT ON test_db.* FROM 'temp_query_old'@'%'; -- 如果需要直接删除账号 DROP USER 'temp_query_old'@'%'; FLUSH PRIVILEGES;
临时权限设置的注意事项
- 权限范围尽量最小化,只授予必要的库表权限,不要授予
ALL PRIVILEGES这类全局权限,避免误操作或数据泄露。 - 如果设置账号有效期,需要确认mysql的系统变量
default_password_lifetime没有设置全局的密码过期策略,否则可能会覆盖单个账号的过期设置。 - 临时账号的密码尽量设置复杂度较高的字符串,避免被暴力破解,使用完成后及时回收权限或删除账号。
- 可以通过定时任务(比如linux的crontab)定期执行权限回收脚本,避免忘记回收临时权限带来的安全风险。
临时权限使用场景示例
假设现在需要给开发人员开放order_db数据库中order_info表的查询权限,用于排查订单异常问题,有效期为2天,完整操作流程如下:
-- 1. 创建临时账号,设置2天有效期 CREATE USER 'dev_temp'@'192.168.0.%' IDENTIFIED BY 'Dev@Temp2024' PASSWORD EXPIRE INTERVAL 2 DAY; -- 2. 授予order_info表的查询权限 GRANT SELECT ON order_db.order_info TO 'dev_temp'@'192.168.0.%'; -- 3. 刷新权限 FLUSH PRIVILEGES; -- 4. 2天后账号自动过期,无需手动操作,也可以提前回收权限 -- REVOKE SELECT ON order_db.order_info FROM 'dev_temp'@'192.168.0.%'; -- DROP USER 'dev_temp'@'192.168.0.%';
这种方式既满足了开发人员的临时查询需求,也保证了数据库的安全,不会因为临时账号长期留存带来风险。