在mysql多租户场景中,通过不同用户权限实现逻辑隔离是一种轻量且高效的方案,核心思路是为每个租户创建独立的数据库用户,仅授予其访问自身对应数据资源的权限,从访问层限制租户间的数据交叉访问。

方案核心原理
mysql的权限系统支持细粒度的权限控制,可精确到数据库、表、列甚至行级别。多租户逻辑隔离的核心就是利用这一特性,为每个租户分配专属的数据库用户,仅开放该租户对应的业务库、业务表的访问权限,其他租户的数据资源对该用户不可见也不可操作,从而实现逻辑层面的隔离。
具体操作步骤
1. 创建租户专属数据库用户
首先为每个租户创建独立的登录用户,建议用户名包含租户标识,方便后续管理。创建用户时需要指定该用户只能从指定的业务服务器IP登录,避免使用通配符IP提升安全性。
-- 创建租户A的用户,仅允许从192.168.0.100的服务器登录 CREATE USER 'tenant_a_user'@'192.168.0.100' IDENTIFIED BY 'TenantA@123456'; -- 创建租户B的用户,仅允许从192.168.0.101的服务器登录 CREATE USER 'tenant_b_user'@'192.168.0.101' IDENTIFIED BY 'TenantB@123456';
2. 为租户分配对应数据权限
假设我们采用单库多表的隔离模式,所有租户的业务表都存放在business_db数据库中,表名前缀包含租户标识,比如租户A的订单表为tenant_a_order,租户B的订单表为tenant_b_order。此时只需要给每个用户授予对应前缀表的权限即可。
-- 授予租户A用户访问business_db库中tenant_a开头的所有表的增删改查权限 GRANT SELECT, INSERT, UPDATE, DELETE ON business_db.tenant_a_% TO 'tenant_a_user'@'192.168.0.100'; -- 授予租户B用户访问business_db库中tenant_b开头的所有表的增删改查权限 GRANT SELECT, INSERT, UPDATE, DELETE ON business_db.tenant_b_% TO 'tenant_b_user'@'192.168.0.101'; -- 刷新权限使配置生效 FLUSH PRIVILEGES;
3. 验证隔离效果
分别使用两个租户的用户登录mysql,验证权限是否生效。租户A的用户尝试访问租户B的表时,应该返回权限不足的错误。
-- 使用租户A用户登录后执行,预期返回错误 SELECT * FROM business_db.tenant_b_order; -- 错误信息类似:ERROR 1142 (42000): SELECT command denied to user 'tenant_a_user'@'192.168.0.100' for table 'tenant_b_order'
方案优化建议
- 如果租户数量较多,可以编写脚本批量创建用户和分配权限,避免手动操作出错。
- 定期审计用户权限,及时回收离职人员或废弃租户的用户权限,避免权限冗余。
- 对于敏感数据列,可以进一步限制列的访问权限,比如仅授予普通业务用户查询非敏感列的权限,敏感列仅开放给管理员用户。
方案适用场景
这种基于用户权限的逻辑隔离方案适合租户数量中等、数据隔离要求不是极高、希望降低数据库部署和运维成本的场景。如果租户对数据隔离要求极高,需要物理级别的隔离,那么该方案可能不满足需求,需要考虑独立数据库实例的隔离方式。
注意事项
需要注意mysql的用户权限是全局生效的,如果后续调整了权限规则,一定要执行FLUSH PRIVILEGES命令刷新权限,否则配置不会立即生效。同时不要给租户用户授予GRANT OPTION权限,避免租户用户自行给其他用户分配权限,破坏隔离规则。
如果业务需要更细粒度的行级隔离,还可以结合mysql的视图功能,为每个租户创建仅包含自身数据的视图,将用户的权限限制在视图层面,进一步提升隔离的安全性。