用户权限 on Liangweidong's blog

MongoDB 实战：Windows 安装、用户与权限配置

Wed, 15 Sep 2021 00:00:00 +0800

为什么写这篇：MongoDB 的用户体系跟 MySQL 完全不同——user@host 不存在，取而代之的是 用户对库的 role（dbOwner、readWrite、read）。本文整理 MongoDB 6.0 在 Windows 上的安装 + 启用 auth + 给特定库建账号的完整流程。

适用读者：第一次部署 MongoDB、需要做用户管理的运维 / 后端。

前置知识：会用 mongosh 客户端、了解文档型数据库概念。

1. MongoDB 6.0 Windows 安装

1.1 下载

官方地址：https://www.mongodb.com/try/download/community
直链示例：https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-6.0.5-signed.msi

1.2 安装

安装向导里两个关键点：

数据目录：建议改成非系统盘（如 <MONGO_INSTALL_DIR>\data）
日志目录：建议单独放（如 <MONGO_INSTALL_DIR>\log）

默认安装路径：C:\Program Files\MongoDB\Server\6.0\bin

1.3 验证

1
2
3


# PowerShell
& "C:\Program Files\MongoDB\Server\6.0\bin\mongod.exe" --version
# db version v6.0.5

2. auth 启用前：建 root 账号

关键约束：MongoDB 启用 auth 之前必须先建超级管理员账号，否则启用后无人能登录——这跟 MySQL 8.0 改密码插件时的注意事项类似。

2.1 进入 admin 库

1
2


mongosh
# 或老版本：mongo

1

use admin

2.2 创建超级管理员

1
2
3
4
5


db.createUser({
 user: "admin",
 pwd: "{{REDACTED}}",
 roles: ["root"]
})

root role 是 MongoDB 内置的最高权限角色，可以做任何操作。

2.3 验证（仍在 admin 库）

1
2


db.auth("admin", "{{REDACTED}}")
// 返回 1 = 成功

3. 给特定库建独立账号

生产最佳实践：每个应用库都有独立的 dbOwner 账号——这样即使某个库账号泄露，攻击者也只能动一个库。

3.1 进入目标库

1
2
3


use kuaibao
// 注意 use kuaibao 不需要 kuaibao 库已存在
// 但创建账号前要先 use 进来

3.2 创建库级账号

1
2
3
4
5
6
7


db.createUser({
 user: "kb",
 pwd: "{{REDACTED}}",
 roles: [
 { role: "dbOwner", db: "kuaibao" }
 ]
})

dbOwner 包含的权限：

操作	能否做
read / write 数据	✓
create / drop collection	✓
create / drop index	✓
建账号、改密码	✓（限本库）
跨库读写	✗

4. 启用 auth 验证模式

4.1 编辑配置文件

1
2
3
4


# C:\Program Files\MongoDB\Server\6.0\bin\mongod.cfg

security:
 authorization: enabled

4.2 重启 MongoDB 服务

1
2
3
4


# 服务方式
Restart-Service MongoDB

# 或任务管理器 → 服务 → MongoDB → 重启

4.3 验证 auth 已生效

1

mongosh

1
2
3


use kuaibao
show collections
// 应该报错：not authorized on kuaibao to execute command

1
2
3
4


db.auth("kb", "{{REDACTED}}")
// 返回 1 = 验证成功
show collections
// 现在能正常显示了

重要：用 db.auth() 之前必须先 use <库名>——auth 是对当前库生效的。

5. Navicat 连接报错的排错

5.1 启用 auth 后 Navicat 连不上

现象：输入正确账号密码后报错 “auth failed” 或 “command listDatabases not allowed”。

原因：用 kb 账号登录但想 list 所有库——而 kb 只有 kuaibao 库的 dbOwner 权限。

修法：

方法 1：在 Navicat 里只勾选 kuaibao 库（连接属性 → Databases → 只勾需要的）
方法 2：用 admin（root）账号登录——能看所有库

5.2 老版本 MongoDB 客户端连接

MongoDB 5.0+ 启用了 SCRAM-SHA-256 认证，老客户端（MongoDB 4.2 之前的）连不上。修法：

升级客户端到 4.2+
或临时改成 SCRAM-SHA-1（不推荐，安全性下降）

5.3 Navicat 的 authSource

Navicat 连接 MongoDB 时，authSource 默认是 admin——意思是"用 admin 库验证身份"。如果你的用户是建在 kuaibao 库里，必须改：

1

连接属性 → Advanced → Authentication source: kuaibao

否则用 kb/{{REDACTED}} 登录会被当成"在 admin 库找 kb 用户"——找不到。

5.4 连接超时

mongodb://10.0.0.10:27017 连不上，先看三件事：

防火墙：27017 端口是否开放
bindIp：默认 127.0.0.1——只允许本机连，远程需要改 0.0.0.0
服务启动：Windows 服务 MongoDB Server 是否在 Running

1
2
3
4


# mongod.cfg
net:
 port: 27017
 bindIp: 0.0.0.0 # 监听所有网卡

6. MongoDB 用户体系速查

6.1 内置角色

角色	权限范围	适用
`root`	所有库 + 所有操作	超级管理员
`dbAdmin`	库 schema、索引、统计	DBA
`dbOwner`	dbAdmin + readWrite + 建账号	应用库账号
`readWrite`	读写数据	普通应用
`read`	只读	BI 报表
`userAdmin`	只能建/改账号	权限管理员
`clusterAdmin`	整个集群	集群 DBA

6.2 角色继承

MongoDB 的 role 是叠加的——可以一次给多个 role：

1
2
3
4
5
6
7
8
9


db.createUser({
 user: "report",
 pwd: "{{REDACTED}}",
 roles: [
 { role: "read", db: "kuaibao" },
 { role: "read", db: "log_center" },
 { role: "readWrite", db: "report_tmp" }
 ]
})

6.3 跨库只读

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


// 跨 5 个库都只读
db.createUser({
 user: "bi_user",
 pwd: "{{REDACTED}}",
 roles: [
 { role: "read", db: "kuaibao" },
 { role: "read", db: "log_center" },
 { role: "read", db: "user_center" },
 { role: "read", db: "order_center" },
 { role: "read", db: "goods_center" }
 ]
})

6.4 修改用户密码

1
2
3
4
5
6


// 改当前库用户
db.changeUserPassword("kb", "{{NEW_REDACTED}}")

// 改其他库用户（需要先 use 过去）
use admin
db.changeUserPassword("admin", "{{NEW_REDACTED}}")

6.5 删除用户

1
2


use kuaibao
db.dropUser("kb")

6.6 查看所有用户

1
2


use admin
db.system.users.find().pretty()

常见坑

坑 1：use 库与 createUser 的关系

1
2
3
4


use some_db
db.createUser({...}) // 创建的是 some_db 里的用户
// 用户名是 some_db 里的，但 username 还是 'kb'
// 登录时需要 authSource=some_db

坑 2：root 账号登录后想看所有库

1
2
3
4
5


// 必须用 admin 库验证
use admin
db.auth("admin", "{{REDACTED}}")
show dbs
// 这次能列出所有

坑 3：enable auth 后忘了 admin 密码

修法：临时关闭 auth → 重建账号 → 再开 auth。

1
2
3


# mongod.cfg
security:
 # authorization: enabled # 注释掉

1

Restart-Service MongoDB

1
2
3
4


mongosh
use admin
db.createUser({ user: "admin", pwd: "{{NEW_REDACTED}}", roles: ["root"] })
// 退出

1
2


security:
 authorization: enabled  # 重新开启

1

Restart-Service MongoDB

坑 4：MongoDB 6.0 默认不再绑定 localhost

6.0 起默认 bindIp: localhost——只能本机连。远程连接必须改 0.0.0.0。

MongoDB vs MySQL 用户体系对比

维度	MySQL	MongoDB
账号格式	`user@host`	`user` + `authSource`
权限粒度	全局 / 库 / 表 / 列	库 / collection
跨库权限	一次 GRANT 给多个库	role 数组里列多个库
角色继承	自定义	内置 role + 自定义 role
改密码	`ALTER USER`	`db.changeUserPassword`
忘记 root	`skip-grant-tables`	临时关 auth
客户端默认 auth	库是 `mysql`	库是 `admin`

下一步

MySQL 实时同步 Canal / Debezium：见《MySQL 实时同步实战》
PostgreSQL + TimescaleDB：见《PostgreSQL 实战》
国产数据库人大金仓：见《人大金仓实战》

2024+ 视角：MongoDB 7.0 / 8.0 与 AI 时代

MongoDB 7.0 关键变化

可恢复的删除：误删的 collection 可在"可恢复删除窗口"内 db.coll.restoreCollection() 救回
加密查询（Queryable Encryption）：字段级加密 + 支持 $eq / $range 等范围查询——以前只能完全密文，2024+ 平衡了"安全 + 可查"
分片集群自动负载均衡：Balancer 引入"区域感知"，跨地域部署延迟降 20%

MongoDB 8.0（2024-08 GA）核心新特性

复合通配符索引（Compound Wildcard Indexes）：一个索引覆盖整个文档结构——以前需要为每种字段组合建索引
时序集合（Time Series Collections）增强：内置降采样、压缩，替代 InfluxDB 不少场景
MongoDB Vector Search GA：与 Atlas 集成，支持 $vectorSearch 聚合阶段——直接对标 pgvector

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


// 8.0 向量检索示例
db.embeddings.aggregate([
 {
 $vectorSearch: {
 index: "vector_index",
 path: "embedding",
 queryVector: [0.1, 0.2, ...],
 numCandidates: 100,
 limit: 5
 }
 }
])

角色体系的 2024+ 演进

MongoDB 7.0+ 引入 Built-in Roles for Time Series / Atlas Stream Processing——按需细粒度授权：

角色	适用
`readAnyDatabase`	跨库只读
`readWriteAnyDatabase`	跨库读写
`dbAdmin` 扩展	时序集合管理
`backup` / `restore`	备份恢复专用

mongosh 替代 mongo 客户端

2022 年起 mongo 官方标记为 deprecated，生产环境必须用 mongosh：

1
2
3
4
5
6
7
8


# 装 mongosh
brew install mongosh # macOS
# 或下载解压
wget https://downloads.mongodb.com/compass/mongosh-2.3.0-linux-x64.tgz

# 旧习惯 → 新习惯
mongo --host 10.0.0.10 # ❌ 已废弃
mongosh "mongodb://10.0.0.10:27017/admin" # ✅

安全 2024+ 新基线

强制 TLS：所有连接必须 tls=true，明文连接官方弃用
SCRAM-SHA-256 默认：SCRAM-SHA-1 已废弃，2025 后将移除
审计日志结构化：auditLog 写 JSON，可直接对接 ELK

替代品对比（2024+ 视角）

场景	MongoDB	替代品
通用文档库	MongoDB 8.0	Couchbase / Amazon DocumentDB
时序数据	MongoDB 8.0 TS Collections	InfluxDB 3.x / TimescaleDB
向量检索	MongoDB VS	pgvector / Milvus / Qdrant
端边端轻量	不用	SQLite + sqlite-vec
图数据	不擅长	Neo4j / Memgraph

实战建议（2024+）

云上选 Atlas / DocumentDB——自建运维成本高，云原生是企业首选
关键业务加 Vector Search——RAG / 推荐系统用 MongoDB 一站式搞定
schema validation 必开——MongoDB 灵活但要"灵活得有纪律"
审计 + 加密 2024+ 是合规硬要求

MySQL 用户权限与安全实战：账号、密码、远程连接与排错

Fri, 15 Jun 2018 00:00:00 +0800

为什么写这篇：MySQL 日常 80% 的运维问题都跟"用户/密码/远程连接"有关——ERROR 1130 远程拒绝、root 密码忘了、caching_sha2_password 客户端不兼容、InnoDB 起不来。本文把所有这些场景整理成可复用的 SOP。

适用读者：需要做 MySQL 账号管理、权限分配、生产排错的 DBA / 运维 / 后端。

前置知识：会用 mysql 客户端、了解 user/host 二元组的概念。

1. 账号体系：`user@host` 二元组

MySQL 的账号由 用户名 + 主机 共同决定——root@localhost 和 root@% 是两个独立的账号，密码可以不同。

host 值	含义
`localhost`	仅本地 socket 连接（不走 TCP）
`127.0.0.1`	本地 TCP（不推荐，与 localhost 不同）
`10.0.0.1`	单 IP
`10.0.0.%`	10.0.0 网段
`10.0.0.0/255.255.255.0`	等价于 `10.0.0.%`（MySQL 不支持 CIDR）
`%`	任意 IP（最不安全）
`host1, host2`	多 IP 用逗号分隔

最佳实践：永远不要用 root@%。生产库至少分 3 个账号：

app_readonly@10.0.0.%：业务读账号，只 SELECT

app_rw@10.0.0.%：业务读写账号，限定特定库

dba@10.0.0.%：DBA 管理账号，运维专用

2. 创建用户与授权：GRANT / REVOKE

2.1 创建用户

1
2
3
4
5


-- 标准语法
CREATE USER 'username'@'host' IDENTIFIED BY 'password';

-- 示例
CREATE USER 'app_user'@'%' IDENTIFIED BY '{{REDACTED}}';

MySQL 5.7+ 默认密码策略是 MEDIUM：8 位以上、大小写 + 数字 + 符号。

2.2 授权（GRANT）

1
2


-- 语法：grant 权限 on 库.表 to 'user'@'host'
GRANT ALL PRIVILEGES ON *.* TO 'app_user'@'%' WITH GRANT OPTION;

权限粒度从大到小：

粒度	语法	适用
全局	`.`	DBA / 超级账号
库级	`industry_iot.*`	业务库应用
表级	`industry_iot.risk_task`	极小权限
列级	`(col1, col2)`	极少用（要 INSERT/SELECT 配合）

完整权限列表（按常用度排序）：

1
2
3
4
5


ALL SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD,
SHUTDOWN, PROCESS, FILE, REFERENCES, INDEX, ALTER, SHOW DATABASES,
SUPER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE,
REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE,
CREATE USER, EVENT, TRIGGER, CREATE TABLESPACE, CREATE ROLE, DROP ROLE

MySQL 8.0 还多了 动态权限（dynamic privileges）：

1
2
3
4
5
6
7
8


APPLICATION_PASSWORD_ADMIN, AUDIT_ADMIN, BACKUP_ADMIN, BINLOG_ADMIN,
BINLOG_ENCRYPTION_ADMIN, CLONE_ADMIN, CONNECTION_ADMIN, ENCRYPTION_KEY_ADMIN,
FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES,
GROUP_REPLICATION_ADMIN, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE,
PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, REPLICATION_SLAVE_ADMIN,
RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN,
SESSION_VARIABLES_ADMIN, SET_USER_ID, SHOW_ROUTINE, SYSTEM_USER,
SYSTEM_VARIABLES_ADMIN, TABLE_ENCRYPTION_ADMIN, XA_RECOVER_ADMIN

2.3 只授 CRUD（推荐生产）

1
2
3
4


-- 业务账号：只允许 CRUD 业务库
GRANT SELECT, INSERT, UPDATE, DELETE
ON industry_iot_dev.*
TO 'app_user'@'10.0.0.%';

2.4 撤销权限

1
2
3
4
5


-- 撤销所有权限 + 授权选项
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'app_user'@'%';

-- 撤销特定权限
REVOKE INSERT, UPDATE ON industry_iot_dev.* FROM 'app_user'@'10.0.0.%';

2.5 完整流程：创建 + 授权 + 刷新

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


-- 1. 创建用户
CREATE USER 'app_user'@'%' IDENTIFIED BY '{{REDACTED}}';

-- 2. 授权
GRANT SELECT, INSERT, UPDATE, DELETE
ON industry_iot_dev.*
TO 'app_user'@'%';

-- 3. 刷新（必须有）
FLUSH PRIVILEGES;

-- 4. 验证：用新账号登录
-- mysql -h db_host -u app_user -p'{{REDACTED}}' industry_iot_dev

2.6 一次性创建 + 授权（with grant option）

1

GRANT ALL PRIVILEGES ON industry_iot_dev.* TO 'dev'@'%' IDENTIFIED BY '{{REDACTED}}' WITH GRANT OPTION;

MySQL 8.0 已经不支持 GRANT ... IDENTIFIED BY 这种语法——必须先 CREATE USER 再 GRANT。这种"老语法"在 5.7 升级 8.0 时要全部改一遍。

3. 远程连接排错：ERROR 1130

1

ERROR 1130 (HY000): Host 'xxx' is not allowed to connect to this MySQL server

原因：mysql.user 表里没有匹配 client_ip 的账号。

修法（生产推荐）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


-- 1. 用 mysql_native_password 创建远程专用账号
CREATE USER IF NOT EXISTS 'app_user'@'10.0.0.%'
IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';

-- 2. 授权（限定库，不给全局）
GRANT SELECT, INSERT, UPDATE, DELETE
ON industry_iot_dev.*
TO 'app_user'@'10.0.0.%';

-- 3. 刷新
FLUSH PRIVILEGES;

临时应急（仅测试用）：

1
2
3
4
5


-- 把 root 改成允许任意 IP
CREATE USER IF NOT EXISTS 'root'@'%'
IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;
FLUSH PRIVILEGES;

3.1 Navicat 客户端报错

Authentication plugin 'caching_sha2_password' cannot be loaded

→ 改用 mysql_native_password（见下文 §5）。

3.2 客户端连接慢（5+ 秒才连上）

useDNS=no 没设导致反向 DNS 查询慢。在 my.cnf 加：

1
2


[mysqld]
skip-name-resolve

或对 MySQL 5.7+：

1
2
3


[mysqld]
# 关闭反向 DNS 解析
skip-name-resolve

4. root 密码管理：重置 / 找回

4.1 在线改密码（MySQL 5.7+）

1
2
3
4
5
6
7
8


-- 新版本（推荐）
ALTER USER 'root'@'localhost' IDENTIFIED BY '{{REDACTED}}';

-- 远程访问账号
ALTER USER 'root'@'%' IDENTIFIED BY '{{REDACTED}}';

-- 刷新
FLUSH PRIVILEGES;

4.2 旧版本兼容

1
2
3
4
5
6
7
8
9


-- 5.6 / 5.7 老语法
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('{{REDACTED}}');

-- mysql_native_password 兼容
UPDATE user SET authentication_string = SHA1('{{REDACTED}}') WHERE user = 'root';

-- 允许任意 IP
UPDATE user SET host = '%' WHERE user = 'root';
FLUSH PRIVILEGES;

4.3 忘了密码（找回 SOP）

前提：能物理访问服务器 + 有 my.cnf 编辑权限。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


# 1. 停 MySQL
systemctl stop mysqld

# 2. 临时加 skip-grant-tables
vim /etc/my.cnf
# [mysqld]
# skip-grant-tables

# 3. 启动
systemctl start mysqld

# 4. 空密码登录
mysql -uroot

# 5. 清空 root 密码
USE mysql;
FLUSH PRIVILEGES;
UPDATE user SET authentication_string = '' WHERE user = 'root';

# 6. 退出，注释掉 skip-grant-tables
# 7. 重启
systemctl restart mysqld

# 8. 重新登录（空密码）
mysql -uroot

-- 9. 设置新密码
ALTER USER 'root'@'localhost' IDENTIFIED BY '{{REDACTED}}';
ALTER USER 'root'@'%' IDENTIFIED BY '{{REDACTED}}';
FLUSH PRIVILEGES;

4.4 mysqladmin 一行命令

1
2


# 知道旧密码时最快
mysqladmin -uroot -p'{{OLD_PASSWORD}}' password '{{NEW_PASSWORD}}'

5. mysql_native_password vs caching_sha2_password

维度	`mysql_native_password`	`caching_sha2_password`
引入版本	MySQL 5.6 之前	MySQL 8.0（默认）
算法	SHA1	SHA-256 + cache
性能	较好	更快（首次验证后缓存）
安全性	中（SHA1 已不推荐）	高（不传明文密码）
客户端兼容	全平台	8.0+ Connector、5.7.23+ xdevapi

5.1 老客户端不兼容

老版本 Navicat (11/12)、JDBC 5.x、某些 ORM 框架连接时报：

1

Authentication plugin 'caching_sha2_password' cannot be loaded

修法：

1
2
3
4
5
6


-- 单个账号降级
ALTER USER 'app_user'@'10.0.0.%' IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
FLUSH PRIVILEGES;

-- 全局默认改成 mysql_native_password
SET GLOBAL default_authentication_plugin = 'mysql_native_password';

新部署的项目应该用 caching_sha2_password——mysql_native_password 是历史包袱。

5.2 全局修改默认认证插件

1
2
3


# /etc/my.cnf
[mysqld]
default_authentication_plugin = caching_sha2_password

改了之后已存在的用户不受影响，要批量改可以导出现有用户再 SET GLOBAL 重设。

6. InnoDB 启动崩溃：6 级 force_recovery

现象：

1
2
3
4


[InnoDB] Unable to lock ./undo_001 error: 11
2025-01-03T02:52:18 [ERROR] [MY-012562] [InnoDB] We scanned the log up to ...
InnoDB: Assertion failure: log0log.cc:657:first_rec_group <= start_lsn - block_lsn
InnoDB: We intentionally generate a memory trap.

6.1 紧急修法

1
2
3


# 1. 把有问题的 undo 文件备份
mv undo_001 undo_001.bak
cp -a undo_001.bak undo_001

6.2 force_recovery 6 级

1
2
3


# /etc/my.cnf
[mysqld]
innodb_force_recovery = 6

值	含义	影响
1 (SRV_FORCE_IGNORE_CORRUPT)	忽略 corrupt 页	可能丢数据
2 (SRV_FORCE_NO_BACKGROUND)	阻止主线程 full purge	crash 风险
3 (SRV_FORCE_NO_TRX_UNDO)	不执行事务回滚	丢未提交事务
4 (SRV_FORCE_NO_IBUF_MERGE)	不执行插入缓冲合并	性能降
5 (SRV_FORCE_NO_UNDO_LOG_SCAN)	不看重做日志	丢未提交事务
6 (SRV_FORCE_NO_LOG_REDO)	不执行前滚	最后手段

使用原则：从 1 开始逐级试，能起来就用。6 起来后第一件事 mysqldump 全量导出——之后用正常模式重建库。

7. 字符集与排序规则最佳实践

7.1 建库时统一 utf8mb4

1
2
3


CREATE DATABASE industry_iot_dev
DEFAULT CHARACTER SET utf8mb4
COLLATE utf8mb4_unicode_ci;

7.2 建表时显式声明

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


CREATE TABLE risk_task (
 id INT PRIMARY KEY AUTO_INCREMENT,
 name VARCHAR(64)
 CHARACTER SET utf8mb4
 COLLATE utf8mb4_general_ci
 NOT NULL DEFAULT '',
 -- ...
) ENGINE = InnoDB
 DEFAULT CHARSET = utf8mb4
 COLLATE = utf8mb4_unicode_ci;

7.3 utf8 vs utf8mb4

字符集	最大字符长度	实际能存
`utf8` (MySQL 早期别名)	3 字节	不支持 emoji、部分生僻字
`utf8mb4` (MySQL 5.5.3+)	4 字节	支持 emoji、所有 Unicode

铁律：MySQL 的 utf8 不是真 utf8。新库必须用 utf8mb4。

7.4 排序规则

Collation	特点
`utf8mb4_general_ci`	速度快，不严格按 Unicode 排序
`utf8mb4_unicode_ci`	按 Unicode 标准排序，推荐
`utf8mb4_bin`	按二进制比较（区分大小写）
`utf8mb4_0900_ai_ci`	MySQL 8.0 新 UCA 9.0 算法（默认）

建议：通用场景用 utf8mb4_unicode_ci（8.0 之前）或 utf8mb4_0900_ai_ci（8.0+）。

经验总结

主题	关键 SOP
新用户	`CREATE USER` + `GRANT` + `FLUSH PRIVILEGES`
远程连接	不用 `root@%`；建 `app_user@10.0.0.%` 限定网段
密码忘了	`skip-grant-tables` + 清空密码 + 重设
caching_sha2 兼容	改用 `mysql_native_password`
InnoDB 崩了	`innodb_force_recovery=1~6` 逐级试，6 起来立刻全量导出
字符集	永远 `utf8mb4_unicode_ci`

下一步

MySQL 索引优化：见《MySQL 索引优化实战》
EXPLAIN + SQL 题解：见《MySQL 实战速查》
实时同步 Canal/Debezium：见《MySQL 实时同步实战》