GRANT 语句使系统管理员能够授予权限和角色，这些权限和角色可以授予用户帐户和角色。这些语法限制适用

有关角色的更多信息，请参见 第 8.2.10 节“使用角色”。

要使用 GRANT 授予权限，您必须拥有 GRANT OPTION 权限，并且您必须拥有要授予的权限。（或者，如果您对 mysql 系统架构中的授权表具有 UPDATE 权限，则可以授予任何帐户任何权限。）当 read_only 系统变量启用时，GRANT 还需要 CONNECTION_ADMIN 权限（或已弃用的 SUPER 权限）。

GRANT 对于所有命名的用户和角色都成功，或者回滚且无任何效果（如果出现任何错误）。如果语句对所有命名的用户和角色都成功，则该语句将写入二进制日志。

REVOKE 语句与 GRANT 相关，使管理员能够删除帐户权限。请参见 第 15.7.1.8 节“REVOKE 语句”。

每个帐户名都使用 第 8.2.4 节“指定帐户名” 中描述的格式。每个角色名都使用 第 8.2.5 节“指定角色名” 中描述的格式。例如

GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';
GRANT SELECT ON world.* TO 'role3';

如果省略帐户名或角色名的主机名部分，则默认为 '%'。

通常，数据库管理员首先使用 CREATE USER 创建帐户并定义其非权限特征（如密码、是否使用安全连接以及对服务器资源访问的限制），然后使用 GRANT 定义其权限。ALTER USER 可用于更改现有帐户的非权限特征。例如

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'password';
GRANT ALL ON db1.* TO 'jeffrey'@'localhost';
GRANT SELECT ON db2.invoice TO 'jeffrey'@'localhost';
ALTER USER 'jeffrey'@'localhost' WITH MAX_QUERIES_PER_HOUR 90;

在 mysql 程序中，GRANT 在成功执行时将以 Query OK, 0 rows affected 响应。若要确定操作产生的权限，请使用 SHOW GRANTS。请参见 第 15.7.7.22 节“SHOW GRANTS 语句”。

GRANT 支持长达 255 个字符的主机名。用户名可以最多 32 个字符。数据库、表、列和例程名称可以最多 64 个字符。

GRANT 语句中的几个对象需要引用，尽管在许多情况下引用是可选的：帐户、角色、数据库、表、列和例程名称。例如，如果帐户名中的 user_name 或 host_name 值在语法上是合法的非引用标识符，则无需引用它。但是，需要使用引号来指定包含特殊字符（如 -）的 user_name 字符串，或包含特殊字符或通配符（如 %，例如 'test-user'@'%.com'）的 host_name 字符串。分别引用用户名和主机名。

若要指定引用的值

有关字符串引用和标识符引用指南，请参见 第 11.1.1 节“字符串文字” 和 第 11.2 节“架构对象名称”。

在 GRANT 语句中指定数据库名称时，允许使用 _ 和 % 通配符，这些语句在数据库级别授予权限 (GRANT ... ON db_name.*)。这意味着，例如，若要将 _ 字符用作数据库名称的一部分，请在 GRANT 语句中使用 \ 转义字符将其指定为 \_，以防止用户访问与通配符模式匹配的其他数据库（例如，GRANT ... ON `foo\_bar`.* TO ...）。

发出包含通配符的多个 GRANT 语句可能不会对 DML 语句产生预期效果；在解析涉及通配符的授权时，MySQL 只会考虑第一个匹配的授权。换句话说，如果用户有两个使用通配符匹配同一个数据库的数据库级授权，则会应用第一个创建的授权。考虑使用以下语句创建的数据库 db 和表 t

mysql> CREATE DATABASE db;
Query OK, 1 row affected (0.01 sec)

mysql> CREATE TABLE db.t (c INT);
Query OK, 0 rows affected (0.01 sec)

mysql> INSERT INTO db.t VALUES ROW(1);
Query OK, 1 row affected (0.00 sec)

接下来（假设当前帐户是 MySQL root 帐户或具有必要权限的另一个帐户），我们创建用户 u，然后发出两个包含通配符的 GRANT 语句，如下所示

mysql> CREATE USER u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT SELECT ON `d_`.* TO u;
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT INSERT ON `d%`.* TO u;
Query OK, 0 rows affected (0.00 sec)

mysql> EXIT

Bye

如果我们结束会话，然后使用 mysql 客户端以 u 的身份再次登录，我们会发现此帐户只有第一个匹配的授权提供的权限，而没有第二个授权提供的权限

$> mysql -uu -hlocalhost

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10
Server version: 8.4.0-tr Source distribution

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input
statement.

mysql> TABLE db.t;
+------+
| c    |
+------+
|    1 |
+------+
1 row in set (0.00 sec)

mysql> INSERT INTO db.t VALUES ROW(2);
ERROR 1142 (42000): INSERT command denied to user 'u'@'localhost' for table 't'

在权限分配中，MySQL 在以下情况下将数据库名称中的未转义 _ 和 % SQL 通配符解释为文字字符

GRANT 语句中的 user 值指示语句适用的 MySQL 帐户。为了适应授予来自任意主机的用户的权限，MySQL 支持以 'user_name'@'host_name' 的形式指定 user 值。

您可以在主机名中指定通配符。例如，'user_name'@'%.example.com' 适用于 example.com 域中任何主机的 user_name，而 'user_name'@'198.51.100.%' 适用于 198.51.100 C 类子网中任何主机的 user_name。

简单形式 'user_name' 等同于 'user_name'@'%'。

MySQL 不支持用户名中的通配符。若要引用匿名用户，请使用 GRANT 语句指定具有空用户名的帐户

GRANT ALL ON test.* TO ''@'localhost' ...;

在这种情况下，任何从本地主机以匿名用户的正确密码连接的用户都将获得访问权限，并具有与匿名用户帐户关联的权限。

有关帐户名中用户名和主机名值的更多信息，请参见 第 8.2.4 节“指定帐户名”。

SELECT Host, User FROM mysql.user WHERE User='';

DROP USER ''@'localhost';

下表总结了可以在 GRANT 和 REVOKE 语句中指定的允许的静态和动态 priv_type 权限类型，以及可以授予每个权限的级别。有关每个权限的更多信息，请参见 第 8.2.2 节“MySQL 提供的权限”。有关静态权限和动态权限之间差异的信息，请参见 静态权限与动态权限。

触发器与表相关联。要创建或删除触发器，您必须对表拥有 TRIGGER 权限，而不是对触发器。

在 GRANT 语句中，ALL [PRIVILEGES] 或 PROXY 权限必须单独命名，不能与其他权限一起指定。 ALL [PRIVILEGES] 代表要授予权限级别的所有可用权限，除了 GRANT OPTION 和 PROXY 权限。

MySQL 帐户信息存储在 mysql 系统模式的表中。有关更多详细信息，请参阅 第 8.2 节，“访问控制和帐户管理”，其中详细讨论了 mysql 系统模式和访问控制系统。

如果授予表包含包含大小写混合的数据库或表名称的权限行，并且 lower_case_table_names 系统变量设置为非零值，则 REVOKE 无法用于撤销这些权限。在这种情况下，必须直接操作授予表。（当 lower_case_table_names 设置时，GRANT 不会创建此类行，但此类行可能在设置该变量之前创建。 lower_case_table_names 设置只能在服务器启动时配置。）

权限可以在多个级别授予，具体取决于 ON 子句使用的语法。对于 REVOKE，相同的 ON 语法指定要删除哪些权限。

对于全局、数据库、表和例程级别，GRANT ALL 仅分配存在于您授予权限级别的权限。例如，GRANT ALL ON db_name.* 是一个数据库级语句，因此它不会授予任何全局专用权限，例如 FILE。授予 ALL 不会分配 GRANT OPTION 或 PROXY 权限。

如果存在，object_type 子句应指定为 TABLE、FUNCTION 或 PROCEDURE，当以下对象是表、存储函数或存储过程时。

用户对数据库、表、列或例程拥有的权限是作为每个权限级别（包括全局级别）的帐户权限的逻辑 OR 累加形成的。不可能通过缺少更低级别的权限来拒绝在更高级别授予的权限。例如，此语句在全局范围内授予 SELECT 和 INSERT 权限

GRANT SELECT, INSERT ON *.* TO u1;

全局授予的权限适用于所有数据库、表和列，即使没有在任何这些较低级别授予。

如果partial_revokes系统变量已启用，则可以通过撤销特定数据库的全局权限来显式拒绝该权限。

GRANT SELECT, INSERT, UPDATE ON *.* TO u1;
REVOKE INSERT, UPDATE ON db1.* FROM u1;

上述语句的结果是，SELECT在全局范围内适用于所有表，而INSERT和UPDATE在全局范围内适用，但db1中的表除外。帐户对db1的访问权限为只读。

权限检查过程的详细信息见第 8.2.7 节“访问控制，阶段 2：请求验证”。

如果即使对一个用户使用表、列或例程权限，服务器也会检查所有用户的表、列和例程权限，这会稍微降低 MySQL 的速度。类似地，如果限制任何用户的查询、更新或连接数量，服务器必须监控这些值。

MySQL 允许您在不存在的数据库或表上授予权限。对于表，要授予的权限必须包括CREATE权限。这种行为是设计使然，其目的是使数据库管理员能够为以后要创建的数据库或表准备用户帐户和权限。

全局权限是管理权限，或适用于给定服务器上的所有数据库。要分配全局权限，请使用ON *.*语法。

GRANT ALL ON *.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON *.* TO 'someuser'@'somehost';

CREATE TABLESPACE、CREATE USER、FILE、PROCESS、RELOAD、REPLICATION CLIENT、REPLICATION SLAVE、SHOW DATABASES、SHUTDOWN和SUPER静态权限是管理权限，只能在全局范围内授予。

动态权限都是全局的，只能在全局范围内授予。

其他权限可以在全局范围内或在更具体的级别授予。

在全局级别授予GRANT OPTION对静态权限和动态权限的影响不同。

在全局级别授予GRANT ALL会授予所有静态全局权限和所有当前注册的动态权限。在执行GRANT语句后注册的动态权限不会追溯授予任何帐户。

MySQL 将全局权限存储在mysql.user系统表中。

数据库权限适用于给定数据库中的所有对象。要分配数据库级权限，请使用ON db_name.*语法。

GRANT ALL ON mydb.* TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'somehost';

如果您使用ON *语法（而不是ON *.*），则会为默认数据库分配数据库级权限。如果不存在默认数据库，则会发生错误。

可以在数据库级别指定CREATE、DROP、EVENT、GRANT OPTION、LOCK TABLES和REFERENCES权限。表或例程权限也可以在数据库级别指定，在这种情况下，它们适用于数据库中的所有表或例程。

MySQL 将数据库权限存储在mysql.db系统表中。

表权限适用于给定表中的所有列。要分配表级权限，请使用ON db_name.tbl_name语法。

GRANT ALL ON mydb.mytbl TO 'someuser'@'somehost';
GRANT SELECT, INSERT ON mydb.mytbl TO 'someuser'@'somehost';

如果您指定tbl_name而不是db_name.tbl_name，则该语句适用于默认数据库中的tbl_name。如果不存在默认数据库，则会发生错误。

在表级别允许的priv_type值为ALTER、CREATE VIEW、CREATE、DELETE、DROP、GRANT OPTION、INDEX、INSERT、REFERENCES、SELECT、SHOW VIEW、TRIGGER和UPDATE。

表级权限适用于基本表和视图。它们不适用于使用CREATE TEMPORARY TABLE创建的表，即使表名匹配。有关TEMPORARY表权限的信息，请参见第 15.1.20.2 节“CREATE TEMPORARY TABLE 语句”。

MySQL 将表权限存储在mysql.tables_priv系统表中。

列权限适用于给定表中的单个列。在列级别要授予的每个权限后面都必须加上用括号括起来的列名。

GRANT SELECT (col1), INSERT (col1, col2) ON mydb.mytbl TO 'someuser'@'somehost';

在列级别（即当您使用column_list子句时）允许的priv_type值为INSERT、REFERENCES、SELECT和UPDATE。

MySQL 将列权限存储在mysql.columns_priv系统表中。

ALTER ROUTINE、CREATE ROUTINE、EXECUTE和GRANT OPTION权限适用于存储例程（过程和函数）。它们可以在全局级别和数据库级别授予。除了CREATE ROUTINE之外，这些权限可以在例程级别为单个例程授予。

GRANT CREATE ROUTINE ON mydb.* TO 'someuser'@'somehost';
GRANT EXECUTE ON PROCEDURE mydb.myproc TO 'someuser'@'somehost';

在例程级别允许的priv_type值为ALTER ROUTINE、EXECUTE和GRANT OPTION。CREATE ROUTINE不是例程级权限，因为您必须具有全局或数据库级别的权限才能首先在其中创建例程。

MySQL 将例程级权限存储在mysql.procs_priv系统表中。

PROXY权限使一个用户可以充当另一个用户的代理。代理用户模拟或假冒被代理用户的身份；也就是说，它假设被代理用户的权限。

GRANT PROXY ON 'localuser'@'localhost' TO 'externaluser'@'somehost';

当授予PROXY时，它必须是GRANT语句中命名的唯一权限，并且唯一允许的WITH选项是WITH GRANT OPTION。

代理需要代理用户通过插件进行身份验证，该插件在代理用户连接时将被代理用户的名称返回给服务器，并且代理用户必须对被代理用户具有PROXY权限。有关详细信息和示例，请参见第 8.2.19 节“代理用户”。

MySQL 将代理权限存储在mysql.proxies_priv系统表中。

没有ON子句的GRANT语法授予角色而不是单个权限。角色是权限的命名集合；请参见第 8.2.10 节“使用角色”。例如

GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';

要授予的每个角色都必须存在，以及要授予它的每个用户帐户或角色。角色不能授予匿名用户。

授予角色不会自动导致角色处于活动状态。有关角色激活和停用的信息，请参见激活角色。

需要这些权限才能授予角色

可以使用GRANT创建循环引用。例如

CREATE USER 'u1', 'u2';
CREATE ROLE 'r1', 'r2';

GRANT 'u1' TO 'u1';   -- simple loop: u1 => u1
GRANT 'r1' TO 'r1';   -- simple loop: r1 => r1

GRANT 'r2' TO 'u2';
GRANT 'u2' TO 'r2';   -- mixed user/role loop: u2 => r2 => u2

允许循环授予引用，但不会向被授予者添加任何新的权限或角色，因为用户或角色已经拥有其权限和角色。

GRANT可以使用AS user [WITH ROLE]子句来指定有关用于语句执行的权限上下文的附加信息。这种语法在 SQL 级别可见，尽管它的主要目的是通过使这些限制出现在二进制日志中，从而在所有授予者权限限制（由部分撤销强加）的所有节点上实现统一的复制。有关部分撤销的信息，请参见第 8.2.12 节“使用部分撤销限制权限”。

当指定 AS user 子句时，语句执行会考虑与指定用户关联的任何权限限制，包括 WITH ROLE 指定的所有角色（如果存在）。结果是，语句实际授予的权限可能会相对于指定权限减少。

这些条件适用于 AS user 子句

以下示例说明了 AS 子句的效果。创建一个用户 u1，该用户拥有某些全局权限以及对这些权限的限制

CREATE USER u1;
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO u1;
REVOKE INSERT, UPDATE ON schema1.* FROM u1;
REVOKE SELECT ON schema2.* FROM u1;

还创建一个角色 r1，该角色取消了某些权限限制并将该角色授予 u1

CREATE ROLE r1;
GRANT INSERT ON schema1.* TO r1;
GRANT SELECT ON schema2.* TO r1;
GRANT r1 TO u1;

现在，使用没有自身权限限制的帐户，向多个用户授予相同的全局权限集，但每个用户都通过 AS 子句施加不同的限制，并检查实际授予的权限。

如果 GRANT 语句包含 AS user 子句，则会忽略执行语句的用户对权限的限制（而不是像没有 AS 子句时那样应用）。

可选 WITH 子句用于使用户能够将权限授予其他用户。 WITH GRANT OPTION 子句赋予用户能够向其他用户授予用户在指定权限级别拥有的任何权限的能力。

要将 GRANT OPTION 权限授予帐户而不更改其其他权限，请执行以下操作

GRANT USAGE ON *.* TO 'someuser'@'somehost' WITH GRANT OPTION;

要谨慎地将 GRANT OPTION 权限授予谁，因为两个拥有不同权限的用户可能能够组合权限！

您不能授予另一个用户您自己没有的权限；GRANT OPTION 权限使您能够仅分配您自己拥有的权限。

请注意，当您在特定权限级别授予用户 GRANT OPTION 权限时，用户在该级别拥有的任何权限（或将来可能获得的任何权限）也可以由该用户授予其他用户。假设您授予用户对数据库的 INSERT 权限。如果您随后授予对数据库的 SELECT 权限并指定 WITH GRANT OPTION，则该用户不仅可以向其他用户授予 SELECT 权限，还可以授予 INSERT 权限。如果您随后授予用户对数据库的 UPDATE 权限，则该用户可以授予 INSERT、SELECT 和 UPDATE。

对于非管理员用户，您不应全局或针对 mysql 系统架构授予 ALTER 权限。如果您这样做，用户可能会尝试通过重命名表来破坏权限系统！

有关与特定权限相关的安全风险的更多信息，请参阅 第 8.2.2 节，“MySQL 提供的权限”。

MySQL 和标准 SQL 版本的 GRANT 之间最大的区别是