MySQL连接被拒绝时，先确认user@host组合是否精确匹配，如'app'@'localhost'与'app'@'127.0.0.1'视为不同账号；执行SELECT User, Host FROM mysql.user验证存在性，并用SHOW GRANTS FOR 'user'@'host'核实实际权限。

MySQL连接被拒绝时，先查host和user是否匹配

MySQL权限是按user@host组合精确匹配的，不是只看用户名。比如'app'@'localhost'和'app'@'127.0.0.1'在MySQL眼里是两个完全不同的账号，因为localhost走socket连接，127.0.0.1走TCP，底层host解析结果不同。

• 执行SELECT User, Host FROM mysql.user;确认实际存在的账号组合
• 用mysql -u app -h 127.0.0.1 -p测试时，必须存在'app'@'127.0.0.1'或'app'@'%'
• 'app'@'%'能匹配所有IP，但不匹配localhost（这是MySQL的特殊规则）
• 若需统一，可删掉'app'@'localhost'，只留'app'@'127.0.0.1'和'app'@'%'

GRANT后仍无权限？别忘了FLUSH PRIVILEGES不是万能的

执行GRANT语句本身就会实时更新权限缓存，不需要手动FLUSH PRIVILEGES；反而是直接改mysql.user表后才需要它。误用FLUSH不仅多余，还可能掩盖真正问题——比如你改的是错的行，或者没提交事务（InnoDB引擎下直接UPDATE权限表需显式COMMIT）。

• 正确做法：用GRANT SELECT ON db1.* TO 'reader'@'%';，然后用SHOW GRANTS FOR 'reader'@'%';验证
• 如果用UPDATE mysql.user SET Select_priv='Y' WHERE User='reader';，必须跟FLUSH PRIVILEGES;且确保已COMMIT
• SHOW GRANTS看到的权限，才是MySQL当前实际生效的，比查表更可靠

ERROR 1045 (28000): Access denied怎么快速定位

这个错误只说明认证失败，但没说清是密码错、用户不存在，还是host不匹配。不能只盯着密码改。

• 先用mysql -u root -p -h 127.0.0.1连本地，确认服务正常、root密码可用
• 再查SELECT host,user,authentication_string,account_locked FROM mysql.user WHERE user='xxx';，看account_locked是否为Y
• 检查authentication_string是否为空（老版本MySQL可能用Password字段，新版本统一为authentication_string）
• 如果用的是sha256_password插件，客户端必须支持（如MySQL 8.0+默认），旧版客户端连不上会直接报1045，而非提示插件不兼容

最小权限原则落地时，USAGE权限容易被忽略

新建账号后什么权限都不给，它其实自动拥有USAGE权限——这意味着能连上，但执行任何操作都会报错。这看似“安全”，实则埋雷：应用日志里全是权限错误，运维第一反应却是查密码或网络，浪费大量时间。

• 建号后立刻GRANT明确权限，不要依赖默认USAGE
• 对只读账号，用GRANT SELECT ON db1.table1 TO 'ro'@'%';，而不是GRANT SELECT ON *.*
• 删除权限用REVOKE，不用DROP USER——后者会连账号一起删，而REVOKE可精准回收，适合权限迭代场景

权限配置里最麻烦的从来不是语法，而是host匹配逻辑和权限继承关系。哪怕GRANT写对了，只要user@host组合和客户端实际发起连接的地址不一致，就必然失败。调试时优先用SHOW GRANTS和SELECT ... FROM mysql.user交叉验证