MySQL管理——激活角色

MySQL8.0提供了角色功能，用户需要在激活角色后才能够使用角色赋予的权限。角色可以在服务器、用户和会话三个级别进行激活。用户仅能激活已被授予的角色

服务器级别激活角色

通过设置系统变量“activate_all_roles_on_login”的值进行激活，“ON”表示服务器在每个账户登录时激活授予的全部角色。“OFF”表示服务器在登录时，仅激活“SET DEFAULT ROLE”指定的角色。

用户级别激活角色

当用户连接到服务器时，通过“SET DEFAULT ROLE”定义的角色或被激活。例如，

SET DEFAULT ROLE r_viewer, r_updater to user1@localhost;
SET DEFAULT ROLE ALL TO user2@localhost,user3@localhost:

语句可以指定角色的列表或者全部（ALL）,用户可以是一个也可以是多个。

此外，也可以在“CREATE USER ”或“ALTER USER”语句中激活角色。例如，

ALTER USER user1@localhost DEFAULT ROLE r_viewer, r_updater;
ALTER USER user1@localhost DEFAULT ROLE ALL;

用户级别的默认角色存储在“mysql.default_roles”表中。

会话级别激活角色

在当前会话中，使用“SET ROLE”语句可以修改激活角色的列表。“DEFAULT”表示激活账户的默认角色。“NONE”表示禁用全部角色。“ALL”表示激活该账户授予的全部角色。“ALL EXCEPT” 表示激活除指定角色外的全部角色。例如，

SET ROLE ALL;
SET ROLE r_viewer, r_updater;

使用“CURRENT_ROLE()”可以查看当前会话中哪些角色被激活。

强制角色

强制角色会自动赋予每个用户，通过“mandatory-roles”系统变量进行配置，在权限受到影响前必须激活。注意，不能通过更改授权表进行修改，也不能使用“REVOKE”,“DROP ROLE”或“DROP USER”语句进行删除。

配置“mandatory-roles”系统变量的示例如下：

SET PERSIST mandatory_roles = '`role1`@`%`,role2,role3@localhost';