零基础OceanBase数据库入门：MySQL模式用户创建与权限管理

从零上手OceanBase：用户创建与权限管理实战指南

在上一篇，我们完成了MySQL模式租户下的数据库创建，相当于为业务数据准备好了“容器”。但直接使用root账号操作业务库，在生产环境中是大忌。合理的用户管理和精细化的权限分配，才是构筑数据库安全防线的基石。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

今天，我们就结合OceanBase的最新demo和单机版文档，手把手带你走一遍用户管理的全流程：从创建用户、授予不同层级的权限，到查看权限和基础运维操作。整个过程完全贴合MySQL的使用习惯，即便是新手也能快速掌握。

一、 2个核心前提

1. 谁有资格创建用户

不是谁都能创建用户的。在OceanBase里，只有拥有CREATE USER系统权限的用户才具备这个资格。默认情况下，这个权限只属于两类角色：

集群管理员和租户管理员（比如租户内的root用户）。普通用户如果想创建新用户，必须先被授予CREATE USER权限才行。

2. 用户名命名规则（最新强制要求）

给用户起名也不是随心所欲的，有几条硬性规则需要遵守：

唯一性：用户名在同一个租户内必须唯一，但不同租户之间允许重名。全局的唯一标识实际上是“用户名@租户名”。

长度限制：通过OBClient或ODC创建时，用户名不能超过64字节；通过OCP创建时，则要求在2到64个字符之间。

命名规范：用户名必须以字母开头，可以包含大小写字母、数字和下划线。强烈建议遵循“见名知意”的原则，比如用“app_read”、“dba_manager”这样的名字，一看就知道用途。

二、前置准备：登录目标业务租户

我们延续之前的环境，登录已经创建好的mysql_tenant租户。使用管理员账号执行以下命令：

# 登录mysql_tenant 租户（密码替换为你设置的密码）obclient -h127.0.0.1 -P2881 -uroot@mysql_tenant -p‘123456’ -A

登录成功之后，接下来所有的用户创建和授权操作，就都可以在这个会话里进行了。

三、创建用户

创建用户使用的是CREATE USER语句。这里有个核心原则必须牢记：坚持最小权限。先创建用户，再根据实际需要授权，不要默认赋予任何高权限。

1. 基础创建用户（最常用）

-- 创建用户app_user，密码设置为App@123456（生产用复杂密码）CREATE USER IF NOT EXISTS ‘app_user’ IDENTIFIED BY ‘App@123456’;

这里有两个关键点：IF NOT EXISTS子句可以避免因用户已存在而报错，强烈建议加上；IDENTIFIED BY用于指定明文密码，服务端会自动将其加密存储，无需担心明文泄露。

2. 带SSL安全策略创建

对于安全性要求更高的场景，可以在创建用户时强制要求使用SSL加密连接：

-- 创建用户并要求必须使用SSL连接CREATE USER ‘sec_user’ IDENTIFIED BY ‘Sec@123456’ REQUIRE SSL;

四、授予权限（4 种常用层级）

用户创建好了，接下来就是分配权限。OceanBase的MySQL模式将权限分为全局、数据库级、表级和列级四个层级，使用GRANT语句授权，语法上完全兼容MySQL，对开发者非常友好。

1. 数据库级权限（最常用，最小权限）

这是生产环境中最推荐的方式，只授予用户操作特定数据库的权限，完美契合最小权限原则：

-- 授予app_user对ob_business库的 查/增/改 权限GRANT SELECT,INSERT,UPDATE ON ob_business.* TO ‘app_user’;-- 刷新权限，立即生效FLUSH PRIVILEGES;

2. 全局权限（高权限，谨慎使用）

这类权限级别最高，务必谨慎授予，通常只留给DBA使用：

-- 授予dba_user所有库的所有权限（仅DBA使用，生产慎用）GRANT ALL ON *.* TO ‘dba_user’;

3. 表级权限

权限可以控制到具体的表，实现更精细的管理：

-- 仅授予app_user对ob_business库下user表的查询权限GRANT SELECT ON ob_business.user TO ‘app_user’;

4. 列级权限（精细化控制）

控制粒度可以细到表的列，适用于对数据安全有极端要求的场景：

-- 仅授予查询id、name列，插入id、name列的权限(可以指定到库表）GRANT SELECT(id,name), INSERT(id,name) ON *.* TO ‘app_user’;

5. 允许权限转授（可选）

GRANT SELECT ON ob_business.* TO ‘app_user’ WITH GRANT OPTION;

添加WITH GRANT OPTION子句后，该用户就可以将自己拥有的这部分权限，再授予其他用户了。

五、查看用户与权限

权限授予后，如何查看和确认？OceanBase提供了多种方式，覆盖了日常运维的各个场景。

1. 快速查看权限（SHOW GRANTS）

这是最快捷的方式：

-- 查看当前用户权限SHOW GRANTS;-- 查看指定用户app_user的权限SHOW GRANTS FOR ‘app_user’;

2. 查看用户全局权限（mysql.user视图）

想查看更详细的全局权限信息，可以查询系统视图：

-- 查看test的全局权限详情SELECT * FROM mysql.user WHERE user=‘test’\G

3 查看数据库级权限（mysql.db视图）

要了解用户在各个数据库的具体权限，可以查询另一个视图：

-- 查看test在各库的权限SELECT * FROM mysql.db WHERE user=‘test’\G

六、实用运维：用户常用操作

1. 修改用户密码

定期修改密码是安全运维的基本要求：

-- 修改app_user密码ALTER USER ‘app_user’ IDENTIFIED BY ‘NewApp@123456’;

2. 回收权限

当用户职责变更或权限过剩时，需要及时回收权限：

-- 回收app_user对ob_business库的修改权限REVOKE UPDATE ON ob_business.* FROM ‘app_user’;FLUSH PRIVILEGES;

3. 删除用户（谨慎操作）

删除用户是不可逆操作，务必确认无误后再执行：

-- 删除用户app_userDROP USER IF EXISTS ‘app_user’;

七、生产安全必看（最新建议）

理论学完了，但在真实的生产环境中，有几条安全红线必须时刻谨记：

最小权限原则：这是铁律。只授予用户完成工作所必需的最低权限，严禁随意授予ALL或*.*这样的全局权限。

密码规范：密码必须使用“大小写字母+数字+特殊字符”的组合，并定期更换，坚决杜绝弱密码。

连接限制：生产环境不要用“%”放开所有IP连接，务必限定为具体的业务服务器IP地址。

禁止共享账号：坚持“一人一户”，这样既便于权限审计，也方便在出问题时快速定位责任人。

定期巡检：建立例行检查机制，定期查看并清理冗余用户和过期的权限。

八、小结

到这里，OceanBase MySQL模式下用户全生命周期的管理，我们就完整走了一遍。其实核心就三点：

创建：用CREATE USER配合强密码，确保租户内用户名唯一。

授权：优先考虑数据库级权限，严格遵守最小权限原则，使用GRANT语句精准分配。

查看：日常用SHOW GRANTS快速查看，需要详情时则查询mysql.user或mysql.db系统视图。

用户和权限配置妥当之后，你的OceanBase数据库就已经做好了迎接业务的准备。下一步，我们就可以进入创建数据表、插入业务数据的环节，真正开始“存数据、用数据”了。