关于 TiDB
快速上手
应用开发
- 概览
- 快速开始
  - 使用 TiDB Cloud (DevTier) 构建 TiDB 集群
  - 使用 TiDB 的增删改查 SQL
  - TiDB 的简单 CRUD 应用程序
    - Java
- 示例程序
  - 使用 Spring Boot 构建 TiDB 应用程序
- 连接到 TiDB
- 数据库模式设计
- 数据写入
- 数据读取
  - 单表读取
  - 多表连接查询
  - 子查询
  - 查询结果分页
  - 视图
  - 临时表
  - 公共表表达式
  - 读取副本数据
    - Follower Read
    - Stale Read
  - HTAP 查询
- 事务
- 优化 SQL 性能
- 故障诊断
  - 概览
  - 其他故障或限制
    - 结果集不稳定
    - 超时
- 引用文档
  - SQL
    - Bookshop 示例应用
  - 规范
    - 命名规范
    - SQL 开发规范
- 云原生开发环境
  - Gitpod
部署标准集群
- 软硬件环境需求
- 环境与系统配置检查
- 规划集群拓扑
- 安装与启动
  - 使用 TiUP 部署（推荐）
  - 在 Kubernetes 上部署
- 验证集群状态
- 测试集群性能
  - 用 Sysbench 测试 TiDB
  - 对 TiDB 进行 TPC-C 测试
数据迁移
运维操作
- 升级 TiDB 版本
  - 使用 TiUP 升级（推荐）
  - 使用 TiDB Operator
- 扩缩容
  - 使用 TiUP（推荐）
  - 使用 TiDB Operator
- 备份与恢复
- 修改时区
- 日常巡检
- TiFlash 常用运维操作
- 使用 TiUP 运维集群
- 在线修改集群配置
- 在线有损恢复
- 搭建双集群主从复制
监控与告警
故障诊断
性能调优
- 优化手册
- 配置优化
  - 系统调优
    - 操作系统性能参数调优
  - 软件调优
    - 配置
    - 下推计算结果缓存
- SQL 性能调优
教程
- 同城多中心部署
- 两地三中心部署
- 同城两中心部署
- 读取历史数据
  - 使用 Stale Read 功能读取历史数据（推荐）
  - 使用系统变量 tidb_snapshot 读取历史数据
- 最佳实践
- Placement Rules 使用文档
- Load Base Split 使用文档
- Store Limit 使用文档
TiDB 工具
- 功能概览
- 适用场景
- 工具下载
- TiUP
- PingCAP Clinic 诊断服务 (Technical Preview)
- TiDB Operator
- Dumpling
- TiDB Lightning
  - 概述
  - 前置需求
  - 主要功能
  - 快速上手教程
  - 部署执行
  - 参数说明
  - 监控告警
  - FAQ
  - 术语表
- TiDB Data Migration
  - 关于 Data Migration
  - 快速开始
  - 部署 DM 集群
  - 入门指南
  - 进阶教程
    - 分库分表合并迁移
    - 迁移使用 GH-ost/PT-osc 的数据源
    - 上下游列数量不一致的迁移
  - 运维管理
    - 集群版本升级
      - 使用 TiUP 运维集群（推荐）
      - 1.0.x 到 2.0+ 手动升级
    - 集群运维工具
      - 使用 WebUI 管理迁移任务
      - 使用 dmctl 管理迁移任务
    - 性能调优
    - 数据源管理
      - 变更同步的数据源地址
    - 任务管理
      - 处理出错的 DDL 语句
      - 管理迁移表的表结构
    - 导出和导入集群的数据源和任务配置
    - 处理告警
    - 日常巡检
  - 参考手册
    - 架构组件
    - 命令行
      - DM-master & DM-worker
    - 配置文件
    - OpenAPI
    - 兼容性目录
    - 安全
      - 为 DM 的连接开启加密传输
      - 生成自签名证书
    - 监控告警
      - 监控指标
      - 告警信息
    - 错误码
    - 术语表
  - 使用示例
  - 异常解决
    - 常见问题
    - 错误处理及恢复
  - 版本发布历史
- Backup & Restore (BR)
- TiDB Binlog
  - 概述
  - 快速上手
  - 部署使用
  - 运维管理
  - 配置说明
    - Pump
    - Drainer
  - 版本升级
  - 监控告警
  - 增量恢复
  - binlogctl 工具
  - Kafka 自定义开发
  - TiDB Binlog Relay Log
  - 集群间双向同步
  - 术语表
  - 故障诊断
    - 故障诊断
    - 常见错误修复
  - FAQ
- TiCDC
- sync-diff-inspector
- TiSpark
  - TiSpark 用户指南
参考指南
常见问题解答 (FAQ)
版本发布历史
- 发布版本汇总
- 版本发布时间线
- TiDB 版本规则
- v6.0
  - 6.0.0-DMR
- v5.4
  - 5.4.1
  - 5.4.0
- v5.3
  - 5.3.1
  - 5.3.0
- v5.2
- v5.1
- v5.0
- v4.0
- v3.1
- v3.0
- v2.1
- v2.0
- v1.0
  - 1.0
  - Pre-GA
  - RC4
  - RC3
  - RC2
  - RC1
术语表

基于角色的访问控制

TiDB 的基于角色的访问控制 (RBAC) 系统的实现类似于 MySQL 8.0 的 RBAC 系统。TiDB 兼容大部分 MySQL RBAC 系统的语法。

本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。

角色访问控制相关操作

角色是一系列权限的集合。用户可以创建角色、删除角色、将权限赋予角色；也可以将角色授予给其他用户，被授予的用户在启用角色后，可以得到角色所包含的权限。

创建角色

创建角色 app_developer，app_read 和 app_write：

CREATE ROLE 'app_developer', 'app_read', 'app_write';

角色名的格式和规范可以参考 TiDB 用户账户管理。

角色会被保存在 mysql.user 表中，角色名称的主机名部分（如果省略）默认为 '%'。如果表中有同名角色或用户，角色会创建失败并报错。创建角色的用户需要拥有 CREATE ROLE 或 CREATE USER 权限。

授予角色权限

为角色授予权限和为用户授予权限操作相同，可参考 TiDB 权限管理。

为 app_read 角色授予数据库 app_db 的读权限：

GRANT SELECT ON app_db.* TO 'app_read'@'%';

为 app_write 角色授予数据库 app_db 的写权限：

GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write'@'%';

为 app_developer 角色授予 app_db 数据库的全部权限：

GRANT ALL ON app_db.* TO 'app_developer';

将角色授予给用户

假设有一个用户拥有开发者角色，可以对 app_db 的所有操作权限；另外有两个用户拥有 app_db 的只读权限；还有一个用户拥有 app_db 的读写权限。

首先用 CREATE USER 来创建用户。

CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';

然后使用 GRANT 授予用户对应的角色。

GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

用户执行将角色授予给其他用户或者收回角色的命令，需要用户拥有 SUPER 权限。将角色授予给用户时并不会启用该角色，启用角色需要额外的操作。

以下操作可能会形成一个“关系环”：

CREATE USER 'u1', 'u2';
CREATE ROLE 'r1', 'r2';

GRANT 'u1' TO 'u1';
GRANT 'r1' TO 'r1';

GRANT 'r2' TO 'u2';
GRANT 'u2' TO 'r2';

TiDB 允许这种多层授权关系存在，可以使用多层授权关系实现权限继承。

查看角色拥有的权限

可以通过 SHOW GRANTS 语句查看用户被授予了哪些角色。当用户查看其他用户权限相关信息时，需要对 mysql 数据库拥有 SELECT 权限。

SHOW GRANTS FOR 'dev1'@'localhost';

+-------------------------------------------------+
| Grants for dev1@localhost                       |
+-------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`        |
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |
+-------------------------------------------------+

可以通过使用 SHOW GRANTS 的 USING 选项来查看角色对应的权限。

SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';

+----------------------------------------------------------+
| Grants for dev1@localhost                                |
+----------------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`                 |
| GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |
| GRANT `app_developer`@`%` TO `dev1`@`localhost`          |
+----------------------------------------------------------+

SHOW GRANTS FOR 'rw_user1'@'localhost' USING 'app_read', 'app_write';

+------------------------------------------------------------------------------+
| Grants for rw_user1@localhost                                                |
+------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `rw_user1`@`localhost`                                 |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `app_db`.* TO `rw_user1`@`localhost` |
| GRANT `app_read`@`%`,`app_write`@`%` TO `rw_user1`@`localhost`               |
+------------------------------------------------------------------------------+

SHOW GRANTS FOR 'read_user1'@'localhost' USING 'app_read';

+--------------------------------------------------------+
| Grants for read_user1@localhost                        |
+--------------------------------------------------------+
| GRANT USAGE ON *.* TO `read_user1`@`localhost`         |
| GRANT SELECT ON `app_db`.* TO `read_user1`@`localhost` |
| GRANT `app_read`@`%` TO `read_user1`@`localhost`       |
+--------------------------------------------------------+

可以使用 SHOW GRANTS 或 SHOW GRANTS FOR CURRENT_USER() 查看当前用户的权限。这两个语句有细微的差异，SHOW GRANTS 会显示当前用户的启用角色的权限，而 SHOW GRANTS FOR CURRENT_USER() 则不会显示启用角色的权限。

设置默认启用角色

角色在授予给用户之后，并不会生效；只有在用户启用了某些角色之后，才可以使用角色拥有的权限。

可以对用户设置默认启用的角色；用户在登录时，默认启用的角色会被自动启用。

SET DEFAULT ROLE
    {NONE | ALL | role [, role ] ...}
    TO user [, user ]

比如将 app_read 和 app_wirte 设置为 rw_user1@localhost 的默认启用角色：

SET DEFAULT ROLE app_read, app_write TO 'rw_user1'@'localhost';

将 dev1@localhost 的所有角色，设为其默认启用角色：

SET DEFAULT ROLE ALL TO 'dev1'@'localhost';

关闭 dev1@localhost 的所有默认启用角色：

SET DEFAULT ROLE NONE TO 'dev1'@'localhost';

需要注意的是，设置为默认启用角色的角色必须已经授予给那个用户。

在当前 session 启用角色

除了使用 SET DEFAULT ROLE 启用角色外，TiDB 还提供让用户在当前 session 启用某些角色的功能。

SET ROLE {
    DEFAULT
  | NONE
  | ALL
  | ALL EXCEPT role [, role ] ...
  | role [, role ] ...
}

例如，登录 rw_user1 后，为当前用户启用角色 app_read 和 app_write ，仅在当前 session 有效：

SET ROLE 'app_read', 'app_write';

启用当前用户的默认角色：

SET ROLE DEFAULT

启用授予给当前用户的所有角色：

SET ROLE ALL

不启用任何角色：

SET ROLE NONE

启用除 app_read 外的角色：

SET ROLE ALL EXCEPT 'app_read'

注意

使用 SET ROLE 启用的角色只有在当前 session 才会有效。

查看当前启用角色

当前用户可以通过 CURRENT_ROLE() 函数查看当前用户启用了哪些角色。

例如，先对 rw_user1'@'localhost 设置默认角色：

SET DEFAULT ROLE ALL TO 'rw_user1'@'localhost';

用 rw_user1@localhost 登录后：

SELECT CURRENT_ROLE();

+--------------------------------+
| CURRENT_ROLE()                 |
+--------------------------------+
| `app_read`@`%`,`app_write`@`%` |
+--------------------------------+

SET ROLE 'app_read'; SELECT CURRENT_ROLE();

+----------------+
| CURRENT_ROLE() |
+----------------+
| `app_read`@`%` |
+----------------+

收回角色

解除角色 app_read 与用户 read_user1@localhost、read_user2@localhost 的授权关系。

REVOKE 'app_read' FROM 'read_user1'@'localhost', 'read_user2'@'localhost';

解除角色 app_read、app_write 与用户 rw_user1@localhost 的授权关系。

REVOKE 'app_read', 'app_write' FROM 'rw_user1'@'localhost';

解除角色授权具有原子性，如果在撤销授权操作中失败会回滚。

收回权限

REVOKE 语句与 GRANT 对应，可以使用 REVOKE 来撤销 app_write 的权限。

REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

具体可参考 TiDB 权限管理。

删除角色

删除角色 app_read 和 app_write：

DROP ROLE 'app_read', 'app_write';

这个操作会清除角色在 mysql.user 表里面的记录项，并且清除在授权表里面的相关记录，解除和其相关的授权关系。执行删除角色的用户需要拥有 DROP ROLE 或 DROP USER 权限。

授权表

在原有的四张系统权限表的基础上，角色访问控制引入了两张新的系统表：

mysql.role_edges：记录角色与用户的授权关系
mysql.default_roles：记录每个用户默认启用的角色

以下是 mysql.role_edges 所包含的数据。

select * from mysql.role_edges;

+-----------+-----------+---------+---------+-------------------+
| FROM_HOST | FROM_USER | TO_HOST | TO_USER | WITH_ADMIN_OPTION |
+-----------+-----------+---------+---------+-------------------+
| %         | r_1       | %       | u_1     | N                 |
+-----------+-----------+---------+---------+-------------------+
1 row in set (0.00 sec)

其中 FROM_HOST 和 FROM_USER 分别表示角色的主机名和用户名，TO_HOST 和 TO_USER 分别表示被授予角色的用户的主机名和用户名。

mysql.default_roles 中包含了每个用户默认启用了哪些角色。

select * from mysql.default_roles;

+------+------+-------------------+-------------------+
| HOST | USER | DEFAULT_ROLE_HOST | DEFAULT_ROLE_USER |
+------+------+-------------------+-------------------+
| %    | u_1  | %                 | r_1               |
| %    | u_1  | %                 | r_2               |
+------+------+-------------------+-------------------+
2 rows in set (0.00 sec)

HOST 和 USER 分别表示用户的主机名和用户名，DEFAULT_ROLE_HOST 和 DEFAULT_ROLE_USER 分别表示默认启用的角色的主机名和用户名。

其他

由于基于角色的访问控制模块和用户管理以及权限管理结合十分紧密，因此需要参考一些操作的细节：

下载 PDF 反馈文档问题修改本文社区论坛交流

本页导航

角色访问控制相关操作

文档内容是否有帮助？