mysql不同版本mysql权限管理有区别吗_mysql版本差异解析

MySQL 8.0权限系统全面重构：user表移除password字段、默认认证插件改为caching_sha2_password；严格区分CREATE USER与GRANT；原生支持角色；performance_schema需显式授权；升级需人工核验权限配置。

MySQL 5.7 和 8.0 的权限表结构完全不同

MySQL 8.0 彻底重构了权限系统，mysql.user 表字段大幅变动，比如 password 字段被移除，改用 authentication_string；plugin 字段默认值从 mysql_native_password 变为 caching_sha2_password。这意味着直接拷贝 5.7 的 mysql.user 行到 8.0 会失败，甚至导致用户无法登录。

• 5.7 中创建用户常用 CREATE USER 'u'@'%' IDENTIFIED BY 'p'; GRANT SELECT ON db.* TO 'u'@'%';
• 8.0 中如果未显式指定认证插件，新用户默认用 caching_sha2_password，而老客户端（如 MySQL 5.7 客户端、某些 Python MySQLdb 驱动）不支持该插件，连接时抛错 Authentication plugin 'caching_sha2_password' cannot be loaded
• 兼容做法：建用户时加 IDENTIFIED WITH mysql_native_password BY 'p'，或全局设 default_authentication_plugin=mysql_native_password（需重启）

CREATE USER 和 GRANT 在 8.0 中行为更严格

MySQL 8.0 默认启用 sql_mode=STRICT_TRANS_TABLES,NO_ENGINE_SUBSTITUTION，且对权限语句的语法校验更严。最典型的是：在 5.7 中 GRANT SELECT ON *.* TO 'u'@'%'; 能执行成功，但在 8.0 中会报错 ERROR 1410 (42000): You are not allowed to create a user with GRANT —— 因为 8.0 要求必须先 CREATE USER，再 GRANT，不允许在 GRANT 语句中隐式创建用户。

• 5.7 兼容写法：GRANT SELECT ON db.t TO 'u'@'%' IDENTIFIED BY 'p';（隐式建用户）
• 8.0 必须拆成两步：CREATE USER 'u'@'%' IDENTIFIED BY 'p'; + GRANT SELECT ON db.t TO 'u'@'%';
• 若升级后发现应用连不上，先查 SELECT user,host,plugin FROM mysql.user;，确认用户插件类型和是否存在

角色（ROLE）功能只在 8.0+ 原生支持

MySQL 5.7 没有角色概念，权限只能绑给具体用户；8.0 引入 CREATE ROLE、GRANT ... TO role_name、SET DEFAULT ROLE 等完整角色机制。这不是简单“多了一个功能”，而是改变了权限管理范式——比如你不能再对一个角色执行 SHOW GRANTS FOR 'role_name'@'%'（角色没有 host 段），而要用 SHOW GRANTS FOR 'role_name';（无 @ 符号）。

CG Faces

免费的 AI 人物图像素材网站

下载

• 角色不能直接登录，必须通过 GRANT role_name TO 'u'@'%'; 并执行 SET ROLE role_name; 或设为默认角色
• REVOKE 角色时，若该角色已被赋予其他用户，那些用户的权限会立即失效
• 备份还原时注意：mysqldump --all-databases 不导出角色定义，需单独用 SELECT * FROM mysql.role_edges; 和 mysql.default_roles; 补全

performance_schema 和 sys schema 的权限访问逻辑变了

在 5.7 中，只要用户有 SELECT 权限就能查 performance_schema 表；但 8.0 默认关闭所有用户对 performance_schema 的访问，即使有 SELECT 权限也不行，必须显式授权：GRANT SELECT ON performance_schema.* TO 'u'@'%';。同理，sys schema 是视图集合，底层依赖 performance_schema 和 information_schema，没开对应权限就查 sys.schema_table_statistics 会返回空结果或报错。

• 常见现象：监控脚本在 5.7 能跑，在 8.0 查不到慢查询数据，大概率是缺 performance_schema 权限
• information_schema 大部分表仍可读，但像 INNODB_TRX 这类涉及事务详情的表，8.0 要求用户有 PROCESS 权限才能看到非自己发起的事务
• 最小化授权建议：按需给 SELECT + PROCESS + REPLICATION CLIENT，别直接 GRANT ALL

实际升级前务必在测试环境用 mysql_upgrade（5.7→8.0 不再需要）或 mysqld --upgrade=FORCE 执行权限表转换，并人工核对关键账号的 plugin、authentication_string 和 role_edges 关系。很多线上故障不是语法报错，而是权限“静默失效”——查询不报错，但结果为空。