迁移 MySQL 用户和权限需导出 GRANT 语句而非直接复制 mysql.user 表,推荐用 mysqlpump 导出或 SQL 生成兼容性更强的授权语句,还原时注意认证插件匹配、sql_mode 设置及系统用户保护。
迁移 MySQL 用户和权限,核心是导出旧库的用户账号、密码哈希及授权语句,再在新库中安全还原。不能直接复制 mysql.user 表,因为版本差异、加密方式(如 caching_sha2_password vs mysql_native_password)或插件依赖可能导致登录失败。
导出用户与权限(推荐使用 mysqlpump 或 mysqldump)
MySQL 8.0+ 推荐用 mysqlpump(比 mysqldump 更适合权限导出),它能按需导出用户定义和 GRANT 语句:
- 导出所有用户及权限:
mysqlpump --user=root --password --all-databases --skip-definer --include-databases=mysql --users > users_and_grants.sql - 若仅导出权限(不含数据):
mysqlpump --user=root --password --exclude-databases=% --users > grants_only.sql - 注意:执行前确保当前用户有
SELECT权限访问mysql.user、mysql.db、mysql.tables_priv等系统表,且具备RELOAD和PROCESS权限(用于获取完整授权信息)
手动提取 GRANT 语句(兼容性更强,适合跨版本迁移)
运行以下 SQL 查询生成标准 GRANT 语句,可规避密码哈希格式不兼容问题:
SELECT CONCAT('SHOW GRANTS FOR''', user, '''@''', host, ''';') FROM mysql.user WHERE user != ''; 将结果逐条执行,或用脚本批量收集输出(例如用 MySQL 客户端加 -N -s 参数配合 shell 处理)。得到的 GRANT …… IDENTIFIED BY PASSWORD 'xxx' 语句可直接导入新实例 —— MySQL 会自动适配目标版本的认证插件。
还原时的关键注意事项
- 先关闭新实例的
sql_mode中的NO_AUTO_CREATE_USER(MySQL 5.7+ 默认已移除,但旧配置可能残留),否则GRANT语句创建用户会报错 - 导入前确认新库未启用
skip-grant-tables,否则权限表不会生效 - 如果旧库用的是
caching_sha2_password插件,而新库 MySQL 版本较低(如 5.7),需提前在旧库中把用户切换为mysql_native_password:ALTER USER 'u1'@'%' IDENTIFIED WITH mysql_native_password BY 'pwd'; - 导入后执行
FLUSH PRIVILEGES;(仅当非通过 GRANT 导入而是直接修改系统表时才必须;用 GRANT 语句导入则自动生效)
验证与清理
导入完成后,快速验证几类关键用户:
- 连接测试:
mysql -u testuser -p -h new_host - 查权限:
SHOW GRANTS FOR 'testuser'@'%'; - 检查是否存在冗余或测试账号(如 root@localhost 被重复创建),必要时用
DROP USER清理 - 确认
mysql.session、mysql.sys等系统用户未被意外覆盖(它们由 MySQL 自动管理,不应手动导入)
