MySQL权限管理的一些自助化服务思路

　　今天在帮一位开发同学处理一个权限问题的时候，无意中想起来在2年前一位DBA同事的抱怨，问题的大概背景是：有一位开发同学发来了一些IP，让DBA帮忙看看这些IP有没有权限访问数据库，当时这位同事有些无奈，因为常理来看，要连哪个数据库应该是件很清晰确定的事情，而且就算防火墙没问题，最起码得知道是哪些用户，而这些对于业务同学来说，我们应该知道，连猜带蒙也应该知道。
　　我想了想这里折射出几个问题：
　　1）业务侧对于权限的管理很多都是粗放型的，很多密码都是明文，基于excel等方式管理，可能会有小范围的文件方式分发
　　2）服务配置或权限发生变更，这些信息在业务侧没有统一的配置平台去解决，在本地的配置管理中也难以统一更新
　　3）对于业务侧来说，权限使用也是两级化，要么是清一色共享账号的习惯，要么是个人化账户，其中个人化账户随着人员流动很多权限管理难以追溯。
　　4）业务侧对于数据库的权限体系了解较少，沟通交流中会有代沟
　　5）因为密码是加密模式而且不可逆，很多DBA也没有统一的平台维护现有环境的账号密码信息，简单来说，他们很可能也不知道明文密码是什么
　　6）权限边界不清晰，DBA认为业务侧应该管理好自己的密码，而业务侧认为DBA就需要管理好这些密码（明文密码）
　　看完这些问题，真是让人心灰意冷，看起来就是一个账号的事情，这么简单的事情竟然大家都做不好。
　　通常在MySQL中，账户管理的规则也不尽相同，我试着举一个例子来说明下其中的有趣之处。
　　比如我们对数据库用户devtestro分配了mytest数据库的只读权限。
　　createuserdevtestro192。168。100。grantselectonmytest。todevtestro192。168。100。；
　　这里会和开发规范紧密结合起来，大概有这些门路。
　　1）用户名，按照多级划分的方式，可有按照环境服务名权限标示的格式进行命名：
　　2）环境
　　环境一般分为生产环境和测试环境，生产环境的用户名以srv开头，测试环境的用户名以dev开头；
　　3）服务名
　　用以标示这个数据库用户所连接的服务；
　　4）权限标示
　　用于进行用户权限类型的标示，可以分为三种权限：只读，基本读写，高级读写，分别用ro，rwl，rwh来表示，一般来说这三种权限的分类如下：
　　只读用户ro，只有select权限；
　　基本读写用户rwl，除ro的权限外，还有insert，update，delete，exec等权限；
　　高级读写用户rwh，除rwl的权限外，还有create，drop，alter等权限。
　　如果有两个IP192。168。100。101，192。168。200。101，对于数据库用户devtestro来说，在如上的权限体系中就会创建两个数据库用户，分别是
　　devtestro192。168。100。和devtestro192。168。200。
　　我们来说下今天开发同学提的问题，他需要开通一个新的网段的权限，也就意味着需要在数据库中创建一个新的账号，在数据库操作中，我们无须知道明文密码，一般都会使用加密串的模式克隆权限，如下图所示：
　　这种情况下，账号权限和加密串都是可以完全复制统一的。
　　这里有一个问题是如果业务侧也不记得密码了，或者密码管理不善，导致明文密码无法确认，数据库侧是否有相应的机制可以支撑。
　　也就是说，业务侧可以提供用户名，明文密码，想让我们验证下数据库的权限是否正常？
　　这里的重点就是host的部分，如下：
　　我们可以通过克隆账号复制一套127。0。0。1的同名账号，而且也可以避免业务侧误连接，可以快速实现服务后端的自检测。
　　而如果再退一步，如果业务侧的密码也忘记了，而且没有相应的明文密码信息可以提供，那么我们可以通过如下的方式关联：
　　这里就是建设密码管理模块的重中之重了，密码管理模块是一个相对独立的模块，可以对于密码加解密使用独立的算法逻辑，也就加密串和数据库层面的加密串可以没有关系，但是这两个加密串却可以无缝的衔接起来，可以通过密码管理中的加解密，通过额外的秘钥实现解密，而解密后的密码可以通过127。0。0。1的账号克隆进行加密串验证和权限快速测试。
　　按照这种思路，我们就可以提供一系列的服务可以来支持业务的这几类大问题，而且可以直接对标自助化服务。