REVOKE命令用于收回用户权限,基本结构为“收回权限、在对象上、从用户”,顺序不可颠倒;需注意权限不立即生效、ALL PRIVILEGES不含GRANT OPTION、角色应优先用REVOKE role_name FROM user,且操作不可逆。
REVOKE 命令的基本语法结构
MySQL 中 REVOKE 用于收回已授予用户的权限,必须由具备相应权限(如 GRANT OPTION)的用户执行。它的核心结构是「收回什么权限、在哪个对象上、从哪个用户」,顺序不能颠倒。
基本形式为:
REVOKE privilege_type [(column_list)] ON object_type object_name FROM user_specification [, user_specification] ...;
其中:privilege_type 如 SELECT、INSERT、ALL PRIVILEGES;object_type 通常是 TABLE 或省略(默认表);object_name 支持 db.tbl、db.*、*.*;user_specification 必须带引号,格式为 'user'@'host'。
撤销特定表的 SELECT 权限(最常用场景)
这是日常运维中最常遇到的操作:某个用户不再需要查某张表,但其他权限仍保留。
- 如果之前用
GRANT SELECT ON mydb.orders TO 'appuser'@'10.20.%';授予过权限,对应收回命令就是:REVOKE SELECT ON mydb.orders FROM 'appuser'@'10.20.%';
- 执行后不会报错,但需注意:权限变更**不会立即生效**,客户端连接需重新登录,或执行
FLUSH PRIVILEGES;(仅当直接修改系统表时才需要,正常REVOKE不需要)。 - 若误写成
REVOKE SELECT ON mydb.* FROM ...,会收回整个库下所有表的SELECT,范围远超预期。
撤销 ALL PRIVILEGES 并同时收回 GRANT OPTION
ALL PRIVILEGES 是聚合权限,但它**不包含** GRANT OPTION —— 后者必须显式单独撤销,否则用户仍可转授权限。
- 正确做法是两条命令都执行:
REVOKE ALL PRIVILEGES ON mydb.* FROM 'devuser'@'%'; REVOKE GRANT OPTION ON mydb.* FROM 'devuser'@'%';
- 只执行第一条,
'devuser'@'%'依然能对别人执行GRANT,这是高危疏漏。 - MySQL 8.0+ 支持角色(ROLE),此时应优先考虑用
DROP ROLE或REVOKE role_name FROM user,而非逐条回收权限。
常见错误与不可逆行为
REVOKE 本身不校验目标用户是否存在,也不检查该用户是否真有对应权限 —— 它只是“尽力撤回”,成功返回 Query OK,失败也通常静默忽略(除非权限系统损坏)。
- 执行
REVOKE INSERT ON *.* FROM 'missing_user'@'localhost';不报错,但毫无作用。 - 撤销
USAGE权限没有意义,因为它是“空权限”,所有用户默认都有;试图撤销它会被 MySQL 忽略。 - 撤销权限后无法自动恢复,MySQL 不记录
GRANT历史,也没有类似UNDO的机制 —— 生产环境操作前务必确认账号权限现状(查information_schema.role_table_grants或用SHOW GRANTS FOR 'u'@'h';)。
