这些mysql数据库表包含授权信息：

有关静态和动态全局权限之间差异的信息，请参阅 静态与动态权限。）

在 MySQL 8.0 中，授权表使用 InnoDB存储引擎并且是事务性的。在 MySQL 8.0 之前，授权表使用 MyISAM存储引擎并且是非事务性的。授权表存储引擎的这种变化可以伴随改变账户管理语句的行为，例如 CREATE USER或 GRANT。以前，命名多个用户的帐户管理语句可能对某些用户成功而对其他用户失败。现在，每个语句都是事务性的，并且要么对所有指定用户成功，要么回滚，如果发生任何错误则无效。

每个授权表都包含范围列和权限列：

此外，授权表可能包含用于范围或权限评估以外目的的列。

服务器以下列方式使用授权表：

服务器在启动时将授权表的内容读入内存。您可以通过发出FLUSH PRIVILEGES语句或执行mysqladmin flush-privileges或 mysqladmin reload命令告诉它重新加载表。授权表的更改生效，如 第 6.2.13 节“特权更改何时生效”中所述。

修改帐户时，最好验证您的更改是否具有预期效果。要检查给定帐户的权限，请使用该SHOW GRANTS语句。例如，要确定授予用户名和主机名值为bob和 的帐户的权限pc84.example.com，请使用以下语句：

SHOW GRANTS FOR 'bob'@'pc84.example.com';

要显示帐户的非特权属性，请使用 SHOW CREATE USER：

SHOW CREATE USER 'bob'@'pc84.example.com';

服务器 在访问控制的第一阶段和第二阶段都使用数据库中的user和 db表（请参阅第 6.2 节，“访问控制和帐户管理”）。和表中的列 显示在此处。 mysqluserdb

表和 user列存储身份验证插件和凭证信息。 pluginauthentication_string

服务器使用在帐户行的列中命名的插件 plugin来验证帐户的连接尝试。

该plugin列必须是非空的。在启动时和运行时FLUSH PRIVILEGES执行时，服务器会检查 user表行。对于任何包含空 plugin列的行，服务器都会将警告写入此表单的错误日志：

[Warning] User entry 'user_name'@'host_name' has an empty plugin
value. The user will be ignored and no one can login with this user
anymore.

要将插件分配给缺少插件的帐户，请使用该 ALTER USER语句。

该password_expired列允许 DBA 使帐户密码过期并要求用户重置其密码。默认password_expired值为'N'，但可以 'Y'使用ALTER USER语句设置为。帐户密码过期后，该帐户在后续与服务器的连接中执行的所有操作都会导致错误，直到用户发出ALTER USER建立新帐户密码的语句。

password_last_changed是一 TIMESTAMP列，指示上次更改密码的时间。该值NULL不仅适用于使用 MySQL 内置身份验证插件的帐户（mysql_native_password、 sha256_password或 caching_sha2_password）。该值适用 NULL于其他帐户，例如使用外部身份验证系统进行身份验证的帐户。

password_last_changed由 CREATE USER、 ALTER USER和 SET PASSWORD语句以及 GRANT创建帐户或更改帐户密码的语句更新。

password_lifetime表示帐号密码的有效期，以天为单位。如果密码已过有效期（使用该password_last_changed 列进行评估），则当客户端使用该帐户连接时，服务器会认为密码已过期。大于零的值 N意味着必须每天更改密码N 。值为 0 将禁用自动密码过期。如果值为NULL（默认值），则应用全局过期策略，如 default_password_lifetime 系统变量所定义。

account_locked指示帐户是否被锁定（请参阅第 6.2.20 节，“帐户锁定”）。

Password_reuse_history是 PASSWORD HISTORY账户或 NULL默认历史的选项值。

Password_reuse_time是 PASSWORD REUSE INTERVAL帐户选项的值，或NULL默认间隔。

Password_require_current(MySQL 8.0.13新增)对应PASSWORD REQUIRE账户选项的值，如下表所示。

User_attributes（在 MySQL 8.0.14 中添加）是一个 JSON 格式的列，用于存储其他列中未存储的帐户属性。从 MySQL 8.0.21 开始， INFORMATION_SCHEMA通过表公开这些属性USER_ATTRIBUTES。

该User_attributes列可能包含以下属性：

如果没有应用属性，User_attributes则为 NULL.

示例：具有辅助密码和部分撤销数据库权限的帐户 在列值中 具有additional_password和 属性：Restrictions

mysql> SELECT User_attributes FROM mysql.User WHERE User = 'u'\G
*************************** 1. row ***************************
User_attributes: {"Restrictions":
                   [{"Database": "mysql", "Privileges": ["SELECT"]}],
                  "additional_password": "hashed_credentials"}

要确定存在哪些属性，请使用以下 JSON_KEYS()函数：

SELECT User, Host, JSON_KEYS(User_attributes)
FROM mysql.user WHERE User_attributes IS NOT NULL;

要提取特定属性，例如 Restrictions，请执行以下操作：

SELECT User, Host, User_attributes->>'$.Restrictions'
FROM mysql.user WHERE User_attributes->>'$.Restrictions' <> '';

以下是为 存储的信息类型的示例 multi_factor_authentication：

{
  "multi_factor_authentication": [
    {
      "plugin": "authentication_ldap_simple",
      "passwordless": 0,
      "authentication_string": "ldap auth string",
      "requires_registration": 0
    },
    {
      "plugin": "authentication_fido",
      "passwordless": 0,
      "authentication_string": "",
      "requires_registration": 1
    }
  ]
}

在访问控制的第二阶段，服务器执行请求验证以确保每个客户端对其发出的每个请求都有足够的权限。除了 授权表，服务器还可以查询user涉及表的请求的表 。后面的表在表和列级别提供更精细的权限控制。它们具有下表中显示的列。 dbtables_privcolumns_priv

和 列分别设置为当前时间戳和 Timestamp值，但在其他方面未使用。 GrantorCURRENT_USER

为了验证涉及存储例程的请求，服务器可以查询procs_priv表，该表具有下表中显示的列。

该Routine_type列是一 ENUM列，其值为 'FUNCTION'或'PROCEDURE' 以指示该行引用的例程类型。此列允许为具有相同名称的函数和过程分别授予权限。

和Timestamp列Grantor 未使用。

该proxies_priv表记录了有关代理帐户的信息。它有这些列：

对于能够将 PROXY权限授予其他帐户的帐户，它必须在 proxies_priv表中 有一行With_grant设置为 1， Proxied_host并且 Proxied_user设置为指示可以授予权限的一个或多个帐户。例如，'root'@'localhost'在安装 MySQL 时创建的帐户在 proxies_priv表中有一行可以授予 PROXY权限 ''@''，即所有用户和所有主机。这可以root设置代理用户，以及将设置代理用户的权限委托给其他帐户。请参阅第 6.2.19 节，“代理用户”。

该global_grants表列出了当前分配给用户帐户的动态全局权限。该表有以下列：

该default_roles表列出了默认用户角色。它有这些列：

该role_edges表列出了角色子图的边。它有这些列：

该password_history表包含有关密码更改的信息。它有这些列：

该password_history表为每个帐户积累了足够数量的非空密码，以使 MySQL 能够针对帐户密码历史长度和重用间隔执行检查。当尝试更改密码时，会自动删除超出这两个限制的条目。

如果一个帐户被重命名，它的条目被重命名以匹配。如果删除帐户或更改其身份验证插件，则会删除其条目。

授权表中的范围列包含字符串。每个的默认值为空字符串。下表显示了每列中允许的字符数。

Host和Proxied_host 值在存储在授权表之前被转换为小写。

出于访问检查目的，比较 User、Proxied_user、 authentication_string、Db和Table_name值区分大小写。Host、 Proxied_host、Column_name和值的比较Routine_name不区分大小写。

user和表 在db声明为 的单独列中列出每个权限 ENUM('N','Y') DEFAULT 'N'。换句话说，每个权限都可以禁用或启用，默认情况下是禁用的。

、tables_priv和 表将特权列声明为columns_priv列 。这些列中的值可以包含表控制的权限的任意组合。仅启用列值中列出的那些权限。 procs_privSET

只有user和 global_grants表指定管理权限，例如RELOAD、 SHUTDOWN和 SYSTEM_VARIABLES_ADMIN。管理操作是对服务器本身的操作，而不是特定于数据库的，因此没有理由在其他授权表中列出这些权限。因此，服务器只需查询user和 global_grants表即可确定用户是否可以执行管理操作。

该FILE权限也仅在user表中指定。它本身不是管理特权，但用户在服务器主机上读取或写入文件的能力与所访问的数据库无关。

从 MySQL 8.0.22 开始，为了允许对 MySQL 授权表进行并发 DML 和 DDL 操作，以前在 MySQL 授权表上获取行锁的读取操作将作为非锁定读取执行。作为对 MySQL 授权表的非锁定读取执行的操作包括：

如果在使用基于语句的复制时执行，从授权表读取数据时不再获取行锁的语句会报告警告。

使用 -binlog_format=mixed时，从授权表读取数据的 DML 操作将作为行事件写入二进制日志，以使操作对于混合模式复制是安全的。

SELECT ... FOR SHARE从授权表中读取数据的语句会报告警告。使用该FOR SHARE子句，授权表不支持读锁。

从授权表读取数据并使用SERIALIZABLE 隔离级别执行的 DML 操作会报告警告。SERIALIZABLE授权表不支持 通常在使用隔离级别时获取的读取锁 。