mysql权限如何迁移到新服务器_mysql配置迁移方法

2026年2月14日 星耀云

应使用 mysqlpump –users 或手动拼接 grant 语句导出权限;8.0+ 需处理 caching_sha2_password 兼容性、skip_name_resolve 配置、role 和 proxy user 补充导出,并验证 current_user() 与 user() 差异。

mysql权限如何迁移到新服务器_mysql配置迁移方法

直接导出用户权限 SQL 而不是 mysqldump 全库

MySQL 的 mysqldump --all-databases 不会导出 mysql.user 表的权限数据(尤其在 8.0+ 默认启用 caching_sha2_password 认证插件后,直接拷贝表可能失效),也不能还原 GRANT 语句中的动态主机名或角色依赖。真正可靠的方式是用 mysqlpump 或手动从 information_schemamysql 系统库生成可执行的 GRANT 语句。

  • mysqlpump --exclude-databases=% --users 可导出所有用户及权限(5.7.8+ 支持,8.0 推荐)
  • 若不可用,用如下查询生成授权语句: 
    SELECT CONCAT('CREATE USER '', user, ''@'', host, '' IDENTIFIED WITH ', plugin, ' AS '', authentication_string, '';') FROM mysql.user WHERE user != 'mysql.session' AND user != 'mysql.sys'; SELECT CONCAT('GRANT ', privilege, ' ON ', REPLACE(replace_with_db, '_DB', ''), '.', table_name, ' TO '', user, ''@'', host, '';') FROM mysql.tables_priv;
  • 注意:authentication_string 是加密后的密码哈希值,不能直接解密;迁移后若需重置密码,应改用 ALTER USER ... IDENTIFIED BY

8.0+ 必须处理 caching_sha2_password 插件兼容性

MySQL 8.0 默认使用 caching_sha2_password,而旧客户端(如某些 PHP 7.2、Python MySQLdb)不支持该插件,连接会报错 Authentication plugin 'caching_sha2_password' cannot be loaded。迁移到新服务器后,若应用无法升级,必须显式降级用户认证方式。

  • 导出前检查原库用户插件:SELECT user, host, plugin FROM mysql.user;
  • 对需兼容的用户,在新服务器上执行: 
    ALTER USER 'username'@'host' IDENTIFIED WITH mysql_native_password BY 'password';
  • 或者初始化 mysqld 时加参数 --default-authentication-plugin=mysql_native_password(仅影响新建用户)
  • 不建议全局修改 default_authentication_plugin 配置,否则新创建的管理账号也会被限制

权限迁移后要验证 host 匹配和 DNS 解析行为

MySQL 权限中 'user'@'192.168.1.%''user'@'%.example.com' 依赖实际连接时解析出的 host 名。新服务器若关闭了 skip_name_resolve(默认开启),会尝试反向 DNS 查询,导致权限匹配失败或连接变慢。

  • 确认新服务器 my.cnf 中是否含 skip_name_resolve = ON;若未设置,建议加上并重启,避免因 DNS 故障导致权限误判
  • SELECT USER(), CURRENT_USER(); 对比结果:前者是客户端声明的用户/主机,后者是服务端实际匹配的权限主体,二者不一致常说明 host 匹配出问题
  • 生产环境强烈建议统一用 IP 段(如 'app'@'10.0.2.%')而非域名,规避 DNS 波动风险

role 权限和 proxy user 在 5.7→8.0 迁移时容易丢失

MySQL 5.7 不支持 role,但 8.0 引入 CREATE ROLESET DEFAULT ROLE。如果原库通过脚本模拟 role(如批量 GRANT 到多个用户),直接导出 GRANT 语句不会还原这种逻辑关系;而 8.0 原生 role 若未显式导出,也会遗漏。

  • 检查是否有 role:SELECT * FROM mysql.role_edges;,若有,需额外导出 CREATE ROLEGRANT ... TO role_name 语句
  • proxy user(代理用户)权限存于 mysql.proxies_priv 表,mysqlpump --users 不包含它,需单独导出: 
    SELECT CONCAT('GRANT PROXY ON '', user, ''@'', host, '' TO '', proxied_user, ''@'', proxied_host, '';') FROM mysql.proxies_priv;
  • 8.0 中 SHOW GRANTS FOR 'u'@'h' 不显示 role 继承的权限,必须用 SHOW GRANTS FOR 'u'@'h' USING role_name; 验证

实际迁移中最容易被跳过的,是 CURRENT_USER()USER() 的差异验证,以及 skip_name_resolve 开关状态 —— 这两个点一旦出问题,现象是“权限明明给了却连不上”,排查起来极耗时间。