要想对一个给定的认证插件进行代理，必须满足以下条件:

代理机制只允许将外部客户端用户名映射到代理用户名。没有映射主机名的规定:

考虑以下帐户定义:

create USER 'employee_ext'@'localhost' IDENTIFIED WITH my_auth_plugin AS 'my_auth_string”;—创建代理帐户并授予其特权;CREATE USER 'employee'@'localhost' IDENTIFIED WITH mysql_no_login;授权所有员工。*“员工”@“localhost”;grant proxy ON 'employee'@'localhost' to 'employee_ext'@'localhost';

当客户端以employee_ext从本地主机，MySQL使用名为my_auth_plugin执行身份验证。假设my_auth_plugin返回的用户名员工对服务器，基于内容＇my_auth_string＇也许可以咨询一些外部认证系统。这个名字员工不同于employee_ext,所以返回员工作为请求服务器处理employee_ext用于权限检查的外部用户员工本地用户。

在这种情况下,employee_ext代理用户是和员工代理用户。

服务器验证代理身份验证员工是可能的employee_ext通过检查用户是否employee_ext(代理用户)具有代理特权的员工(代理用户)。如果未授予此特权，则会发生错误。否则,employee_ext拥有…的特权员工．服务器检查在客户端会话期间执行的语句employee_ext反对被授予的特权员工．在这种情况下,employee_ext是否可以访问员工数据库。

代理账户,员工,采用mysql_no_login认证插件，防止客户端使用该帐户直接登录。(这里假设已经安装了插件。说明,请参阅第6.4.1.9节“不可登录可插入认证”)。有关保护代理帐户不被直接使用的其他方法，请参见防止直接登录代理帐户．

发生代理时，用户()而且CURRENT_USER ()可以使用函数来查看连接用户(代理用户)和在当前会话期间应用特权的帐户(代理用户)之间的区别。对于刚刚描述的示例，这些函数返回以下值:

SELECT USER()， CURRENT_USER();+------------------------+--------------------+ | 用户()| CURRENT_USER () | +------------------------+--------------------+ | employee_ext@localhost | employee@localhost  | +------------------------+--------------------+

在创建用户语句，该语句创建代理用户帐户认同子句命名支持代理的身份验证插件，后面可选地跟着为“auth_string＇子句，指定用户连接时服务器传递给插件的字符串。如果存在，该字符串提供了帮助插件确定如何将代理(外部)客户端用户名映射到代理用户名的信息。这取决于每个插件是否需要作为条款。如果是，认证字符串的格式取决于插件打算如何使用它。有关插件接受的身份验证字10bet官方网站符串值的信息，请参阅给定插件的文档。

代理帐户通常只打算通过代理帐户的方式使用。也就是说，客户端使用代理帐户连接，然后映射到适当的代理用户并获得其特权。

有多种方法可以确保代理帐户不能直接使用:

的代理需要特权才能使外部用户以另一个用户的身份连接并拥有另一个用户的特权。要授予此特权，请使用格兰特声明。例如:

授予代理'proxied_user”到“proxy_user”;

类中创建一行mysql.proxies_priv授权表。

在连接时,proxy_user必须代表一个有效的外部认证MySQL用户，和proxied_user必须表示有效的本地身份验证用户。否则，连接失败。

相应的撤销语法是:

撤销'上的代理proxied_user“从”proxy_user”;

MySQL格兰特而且撤销语法扩展照常工作。例子:

授权代理'a'到'b'， 'c'， 'd';从'b'， 'c'， 'd'中撤销代理—授予代理给一个帐户，并使该帐户授予—代理给代理帐户授予代理上的'a'到'd'与授予选项;授代理到默认代理帐户“@”;

的代理在以下情况下可以授予特权:

最初的根MySQL安装过程中创建的帐户具有代理…使用GRANT选项特权的“@”，即针对所有用户和所有主机。这使根设置代理用户，以及将设置代理用户的权限委派给其他帐户。例如,根可以这样做:

创建用户“admin”@“localhost”admin_password”;授权代理“@”上的“admin”@“localhost”与授权选项

这些语句创建了一个管理可以管理所有的用户授权代理映射。例如,管理可以这样做:

格兰特代理莎莉给乔;

要指定一些或所有用户应该使用给定的身份验证插件连接，请创建一个”空白”MySQL帐户，用户名和主机名为空(“@”)，将其与该插件关联，并让插件返回真实的经过身份验证的用户名(如果与空白用户名不同)。假设存在一个名为a ldap_auth它实现LDAP身份验证，并将用户连接到开发人员或管理人员帐户。要设置用户代理到这些帐户，请使用以下语句:

create USER " @ " IDENTIFIED WITH ldap_auth AS 'O=Oracle, OU=MySQL';——创建代理账户;使用——mysql_no_login插件阻止直接登录CREATE USER 'manager'@'localhost' IDENTIFIED WITH mysql_no_login;授给代理帐户的代理权限将“developer”@“localhost”上的代理授权给“@”

现在假设客户端按如下方式连接:

$> mysql——user=myuser——password输入密码:myuser_password

服务器找不到myuser定义为MySQL用户，但因为有一个空白的用户帐户(“@”)匹配客户端用户名和主机名，服务器就根据该帐户对客户端进行身份验证。服务器调用a ldap_auth身份验证插件和通行证myuser而且myuser_password作为用户名和密码。

如果a ldap_auth插件在LDAP目录中找到myuser_password不正确的密码myuser，验证失败，服务器拒绝连接。

如果密码正确且a ldap_auth发现,myuser是开发者，它返回用户名吗开发人员到MySQL服务器，而不是myuser．返回与的客户端用户名不同的用户名myuser向服务器发送它应该处理的信号myuser作为一个代理。服务器进行验证“@”可以验证开发人员(因为“@”有代理特权这样做)并接受连接。会议继续myuser有…特权的开发人员代理用户。(这些特权应该由DBA使用格兰特语句,没有显示)。的用户()而且CURRENT_USER ()函数返回以下值:

SELECT USER()， CURRENT_USER();+------------------+---------------------+ | 用户()| CURRENT_USER () | +------------------+---------------------+ | myuser@localhost | developer@localhost  | +------------------+---------------------+

如果插件在LDAP目录中找到myuser是经理，它还会回报吗经理作为用户名和会话继续进行myuser有…特权的经理代理用户。

SELECT USER()， CURRENT_USER();+------------------+-------------------+ | 用户()| CURRENT_USER () | +------------------+-------------------+ | myuser@localhost | manager@localhost  | +------------------+-------------------+

为简单起见，外部身份验证不能是多级的开发人员也不是的经理在前面的例子中都考虑到了。但是，如果客户端试图直接连接和身份验证开发人员或经理帐户，这就是为什么应该保护那些代理帐户不被直接登录(参见防止直接登录代理帐户）.

如果您打算创建一个默认代理用户，请检查是否已有其他代理用户”匹配任何用户”优先于默认代理用户的帐户，因为它们可以阻止该用户按预期工作。

在前面的讨论中，默认代理用户帐户有”在主机部分中，它匹配任何主机。如果设置了默认代理用户，也要注意检查是否存在具有相同用户部分和的非代理帐户“%”在宿主部分，因为“%”也匹配任何主机，但具有优先级”根据服务器用于在内部对帐户行进行排序的规则(参见第6.2.6节，“访问控制，第一阶段:连接验证”）.

假设MySQL安装包含以下两个帐户:

——创建默认代理帐户create USER @ @ WITH some_plugin AS 'some_auth_string”;——创建匿名帐户创建用户“@ %”anon_user_password”;

第一个帐户(“@”)被用作默认代理用户，用于验证那些在其他方面不匹配更特定帐户的用户的连接。第二个帐户(“@‘%’)是一个匿名用户帐户，例如，创建该帐户可能是为了使没有自己帐户的用户能够匿名连接。

两个帐户具有相同的用户部分(”)，匹配任何用户。每个帐户都有一个与任何主机相匹配的主机部分。然而，在连接尝试的帐户匹配中有一个优先级，因为匹配规则对主机进行排序“%”之前,”．对于不匹配任何更特定的帐户的帐户，服务器将尝试对其进行身份验证“@‘%’(匿名用户)而不是“@”(默认代理用户)。因此，永远不会使用默认的代理帐户。

为了避免这个问题，可以使用以下策略之一:

一些身份验证插件为自己实现代理用户映射(例如，PAM和Windows身份验证插件)。其他认证插件默认情况下不支持代理用户。其中，一些可以请求MySQL服务器自己映射代理用户根据授予的代理权限:mysql_native_password，sha256_password．如果check_proxy_users系统变量被启用，服务器会对任何发出这样请求的认证插件执行代理用户映射:

例如，要启用上述所有功能，请使用my.cnf文件:

[mysqld] check_proxy_users=ON mysql_native_password_proxy_users=ON sha256_password_proxy_users=ON

假设已经启用了相关的系统变量，请像往常一样使用创建代理用户创建用户，然后授予它代理权限到要作为代理用户处理的单个其他帐户。当服务器收到代理用户的成功连接请求时，它发现该用户具有代理特权，并使用它来确定适当的代理用户。

create USER 'proxy_user'@'localhost' IDENTIFIED WITH ' mysql_native_password '密码”;—创建代理帐户并授予其特权;CREATE USER 'proxied_user'@'localhost' IDENTIFIED WITH mysql_no_login;授予代理帐户权限grant…在…“proxied_user”@“localhost”;grant proxy ON ' proxyed_user '@'localhost' to 'proxy_user'@'localhost';

要使用代理帐户，请使用代理帐户的名称和密码连接服务器:

$> -u proxy_user -p输入密码:(此处输入proxy_user密码)

认证成功，服务器发现proxy_user有代理特权的proxied_user，然后会话继续proxy_user享有…的特权proxied_user．

服务器执行的代理用户映射受以下限制:

两个系统变量有助于跟踪代理登录过程: