MySQL 8.4 发行说明
mysql_no_login 服务器端身份验证插件阻止所有客户端连接到使用它的任何帐户。此插件的用例包括:
必须能够执行具有提升权限的存储程序和视图的帐户,而不会将这些权限暴露给普通用户。
代理帐户,这些帐户永远不允许直接登录,但只能通过代理帐户访问。
下表显示了插件和库文件名。文件名后缀在您的系统上可能有所不同。该文件必须位于 plugin_dir 系统变量命名的目录中。
以下部分提供了特定于无登录可插拔身份验证的安装和使用信息:
有关 MySQL 中可插拔身份验证的一般信息,请参阅 第 8.2.17 节,“可插拔身份验证”。有关代理用户信息,请参阅 第 8.2.19 节,“代理用户”。
本节介绍如何安装无登录身份验证插件。有关安装插件的一般信息,请参阅 第 7.6.1 节,“安装和卸载插件”。
为了使服务器可以使用该插件,插件库文件必须位于 MySQL 插件目录(plugin_dir 系统变量命名的目录)中。如有必要,请在服务器启动时设置 plugin_dir 的值来配置插件目录位置。
插件库文件的基本名称是 mysql_no_login。文件名后缀因平台而异(例如,Unix 和类 Unix 系统为 .so,Windows 为 .dll)。
要在服务器启动时加载插件,请使用 --plugin-load-add 选项来命名包含它的库文件。使用此插件加载方法,每次服务器启动时都必须提供该选项。例如,将以下行放入服务器的 my.cnf 文件中,并根据您的平台调整 .so 后缀:
[mysqld]
plugin-load-add=mysql_no_login.so修改 my.cnf 后,请重新启动服务器以使新设置生效。
或者,要在运行时加载插件,请使用以下语句,并根据您的平台调整 .so 后缀:
INSTALL PLUGIN mysql_no_login SONAME 'mysql_no_login.so';
INSTALL PLUGIN 会立即加载插件,并在 mysql.plugins 系统表中注册它,以使服务器在每次后续正常启动时都能加载它,而无需使用 --plugin-load-add。
要验证插件安装,请检查信息模式 PLUGINS 表或使用 SHOW PLUGINS 语句(请参阅 第 7.6.2 节,“获取服务器插件信息”)。例如:
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINS
WHERE PLUGIN_NAME LIKE '%login%';
+----------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+----------------+---------------+
| mysql_no_login | ACTIVE |
+----------------+---------------+如果插件初始化失败,请检查服务器错误日志以获取诊断消息。
要将 MySQL 帐户与 no-login 插件相关联,请参见 使用 No-Login 可插拔身份验证。
卸载 no-login 身份验证插件的方法取决于您安装它的方式。
如果您在服务器启动时使用
--plugin-load-add选项安装了插件,请在不使用该选项的情况下重新启动服务器。如果您在运行时使用
INSTALL PLUGIN语句安装了插件,则在服务器重新启动后它仍会保持安装状态。要卸载它,请使用UNINSTALL PLUGINUNINSTALL PLUGIN mysql_no_login;
本节介绍如何使用 no-login 身份验证插件来防止帐户被用于从 MySQL 客户端程序连接到服务器。假设服务器正在运行启用了 no-login 插件,如 安装 No-Login 可插拔身份验证 中所述。
要在 CREATE USER 语句的 IDENTIFIED WITH 子句中引用 no-login 身份验证插件,请使用名称 mysql_no_login。
使用 mysql_no_login 进行身份验证的帐户可以用作存储程序和视图对象的 DEFINER。如果此类对象定义还包括 SQL SECURITY DEFINER,则它将使用该帐户的权限执行。数据库管理员可以使用此行为来提供对机密或敏感数据的访问,这些数据仅通过控制良好的接口公开。
以下示例说明了这些原则。它定义了一个不允许客户端连接的帐户,并将一个视图与其关联,该视图仅公开 mysql.user 系统表的某些列。
CREATE DATABASE nologindb;
CREATE USER 'nologin'@'localhost'
IDENTIFIED WITH mysql_no_login;
GRANT ALL ON nologindb.*
TO 'nologin'@'localhost';
GRANT SELECT ON mysql.user
TO 'nologin'@'localhost';
CREATE DEFINER = 'nologin'@'localhost'
SQL SECURITY DEFINER
VIEW nologindb.myview
AS SELECT User, Host FROM mysql.user;要为普通用户提供对视图的受保护访问,请执行以下操作:
GRANT SELECT ON nologindb.myview
TO 'ordinaryuser'@'localhost';现在,普通用户可以使用该视图来访问它提供的有限信息。
SELECT * FROM nologindb.myview;用户尝试访问视图未公开的列会导致错误,未被授予视图访问权限的用户尝试从视图中选择数据也会导致错误。
注意
由于 nologin 帐户不能直接使用,因此设置其使用的对象所需的操作必须由 root 或具有创建对象和设置 DEFINER 值所需权限的类似帐户执行。
mysql_no_login 插件在代理场景中也很有用。(有关代理涉及的概念的讨论,请参见 第 8.2.19 节“代理用户”。)使用 mysql_no_login 进行身份验证的帐户可以用作代理帐户的代理用户。
-- create proxied account
CREATE USER 'proxied_user'@'localhost'
IDENTIFIED WITH mysql_no_login;
-- grant privileges to proxied account
GRANT ...
ON ...
TO 'proxied_user'@'localhost';
-- permit proxy_user to be a proxy account for proxied account
GRANT PROXY
ON 'proxied_user'@'localhost'
TO 'proxy_user'@'localhost';这使客户端能够通过代理帐户 (proxy_user) 访问 MySQL,但不能通过直接以代理用户 (proxied_user) 身份连接来绕过代理机制。使用 proxy_user 帐户连接的客户端具有 proxied_user 帐户的权限,但 proxied_user 本身不能用于连接。
有关防止代理帐户被直接使用的替代方法,请参见 防止直接登录到代理帐户。