MySQL只读账号创建失败的根本原因是GRANT不自动创建用户,需先CREATE USER再GRANT权限;系统库受硬编码限制无法授权,严格隔离需代理层过滤或禁用show databases;8.0+推荐用角色统一管理权限。
MySQL只读账号创建失败:GRANT后仍无法查询
常见现象是执行了 GRANT SELECT ON *.* TO 'ro_user'@'%',但新账号连 SELECT 1 都报 Access denied。根本原因不是权限没给,而是账号本身不存在——MySQL的 GRANT 在用户不存在时默认不自动创建(5.7+ 默认行为),只会静默失败。
- 先确认用户是否存在:
SELECT User, Host FROM mysql.user WHERE User = 'ro_user'; - 若不存在,必须显式创建:
CREATE USER 'ro_user'@'%' IDENTIFIED BY 'strong_password'; - 再授只读权限:
GRANT SELECT ON `mydb`.* TO 'ro_user'@'%';(注意反引号包裹库名,避免关键字冲突) - 权限生效需刷新:
FLUSH PRIVILEGES;(仅在直接改表或跨实例同步后才必须;正常GRANT后可省略)
只读范围控制不住:SELECT权限能查系统表?
默认 GRANT SELECT ON *.* 看似“所有库”,实际不包含 mysql、information_schema 等系统库——这是MySQL硬编码限制,不是权限配置问题。但用户仍可能通过 SELECT ... FROM information_schema.TABLES 探测库表结构,属于设计使然,无法用权限关掉。
- 若需更严格隔离,禁止访问元数据:启动时加参数
--skip-show-databases(影响所有用户),或用代理层过滤 - 生产环境建议限定到具体库:
GRANT SELECT ON `app_prod`.* TO 'ro_user'@'%';,避免*.*引发误操作风险 - 注意
SELECT权限不隐含SHOW VIEW,视图查询会失败,需额外授权
REVOKE回收权限后账号还能登录?
能登录,但执行任何 SELECT 都会报 ERROR 1142 (42000): SELECT command denied。因为 REVOKE 只删权限,不删账号,也不影响认证能力。这是正确行为,不是bug。
- 回收权限命令:
REVOKE SELECT ON `mydb`.* FROM 'ro_user'@'%'; - 检查当前权限:
SHOW GRANTS FOR 'ro_user'@'%'; - 如果想彻底禁用账号,用
DROP USER 'ro_user'@'%';(MySQL 5.7+ 支持,且自动清理权限) - 注意:
REVOKE不需要FLUSH PRIVILEGES;,权限立即失效
MySQL 8.0+ 的角色机制更适合管理只读账号
直接 GRANT 多个账号易出错,8.0起推荐用角色(ROLE)抽象权限集,再把角色赋给用户。好处是权限变更只需改角色,不用遍历每个账号。
- 创建只读角色:
CREATE ROLE 'readonly_role'; - 授予权限到角色:
GRANT SELECT ON `mydb`.* TO 'readonly_role'; - 把角色赋予用户:
GRANT 'readonly_role' TO 'ro_user'@'%'; - 启用角色(用户登录后需手动激活):
SET DEFAULT ROLE 'readonly_role' TO 'ro_user'@'%';
角色机制下,回收权限只需 REVOKE SELECT ON `mydb`.* FROM 'readonly_role';,所有绑定该角色的账号同步失效。但注意:角色功能在低版本不可用,且部分旧客户端不识别角色上下文。
