grant 给用户赋权。grant 后要执行 flush privileges 命令，赋权语句生效。

创建用户：create user  'ua'@'%' identified by 'pa';  //用户’ua’@’%’，密码 pa

用户名 (user)+ 地址 (host) 才表示一个用户，ua@ip1 和 ua@ip2 两个不同的用户。两个动作：

1.  磁盘上， mysql.user 表插入一行，没有指定权限，权限字段值都是 N；

2.  内存里，数组 acl_users 插入acl_user 对象，对象 access 字段值 0。

图 1 就是这个时刻用户 ua 在 user 表中的状态:

图 1 mysql.user 数据行

用户权限大到小顺序:

一、全局权限

作用整个 MySQL 实例，权限信息保存在 mysql 库的 user 表。ua 赋最高权限：

grant all  privileges on *.* to 'ua'@'%' with grant option;

1.  磁盘上，mysql.user 表里，用户’ua’@’%'这行所有权限字段修改‘Y’；

2. 内存里，数组 acl_users 找到用户对应对象，将 access 值 1”。

新客户端用ua 登录成功，MySQL 会新连接维护线程对象，从 acl_users 里查权限，权限值拷贝线程对象中。之后全局权限判断，直接用线程对象内部保存权限位。

1.  grant 对全局权限，同时更新磁盘和内存。即时生效，新连接用新权限。

2.  已经存连接，全局权限不受影响。

生产环境合理控制权限。上面是典型错误示范。不该设置为所有 IP 都可访问。

回收上面权限：revoke all  privileges on *.* from 'ua'@'%';

1. 磁盘上， mysql.user 表里，用户’ua’@’%'权限值都为“N”；

2. 内存里，数组 acl_users 找用户对应对象，access 值为 0。

二、db 权限

库级别。 ua 库 db1 权限：grant all  privileges on db1.* to 'ua'@'%' with grant option;

1. 磁盘，mysql.db 插入记录，权限位设置“Y”；

2. 内存，数组 acl_dbs对象权限位为“1”。

图 2 mysql.db 数据行

判断用户读写权限，遍历acl_dbs 数组， user、host 和 db 找匹配对象，权限位判断。

同时对磁盘和内存生效。grant 操作对已存连接，在全局权限和基于 db 的权限效果是不同。

图 3 权限操作效果

set global sync_binlog 需要 super 权限。

T4 通过。super 全局权限，权限信息在线程对象中， revoke 操作影响不到

T6 B报错“权限不足”。 acl_dbs 全局数组，所有线程判断 db 权限用，revoke马上影响。

C 在 T2 的 use db1拿库权限（保存在会话变量中），切换db前，一直有权限。

三、表权限和列权限

表权限：mysql.tables_priv 

列权限：mysql.columns_priv  组合起存在内存 hash 结构column_priv_hash 

create table  db1.t1(id int, a int);

grant all  privileges on db1.t1 to 'ua'@'%' with grant option;

GRANT SELECT(id),  INSERT (id,a) ON mydb.mytbl TO 'ua'@'%' with grant option;

每次 grant 修改数据表，同步修改内存中hash 结构。影响已经存在连接。即时生效，不需 flush privileges （清空 acl_users 数组，mysql.user 数据重新加载，构造acl_users 数组。）

正常情况下，grant 之后，没有必要flush privileges 命令。

3.2 flush privileges 使用场景

不一致的时候（不规范的操作导致，直接用 DML操作系统权限表），重建内存数据，达一致

图 4 使用 flush privileges

T4 系统判断正常存在。

T5 flush 后，内存更新，报错“无法访问”了。

图 5 不规范权限操作导致的异常

 T3 删除数据表记录，内存数据还在。导致：

1.  T4 赋权限失败，找不到记录；

2.  重新创建不行，内存判断还存在。

小结

grant 和 revoke 

grant 同时修改数据表和内存（判断权限），规范用 grant 和 revoke 语句，是不需加上 flush privileges。

flush privileges：重建内存权限数据，不一致用。DML 导致

grant super on  *.* to 'ua'@'%' identified by 'pa'; 不存在创建密码是 pa；存在，就将密码修改成 pa。（不建议，不慎把密码给改了）

思考：“grant 之后随手加 flush privileges”，不需要这样做，契机发现“原来我错了这么久”？

grant 支持通配符："_"任意字符，“%”任意字符串。分库分表方案，同一个分库有多个 db 时方便。个人认为，权限赋值时，控制精确性要优先考虑。