技术分享 | MySQL:caching_sha2_password 快速问答

最新推荐文章于 2023-05-30 09:59:35 发布
原创 最新推荐文章于 2023-05-30 09:59:35 发布 · 522 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#MySQL

本文深入解析了MySQL8.0中caching_sha2_password认证插件的工作原理,包括其对安全连接的要求、RSA密钥对的使用以及密码缓存机制。通过问答形式阐述了非SSL连接如何使用RSA密钥对进行加密,并介绍了相关配置选项和注意事项,如FLUSH PRIVILEGES、RENAME USER等操作对缓存的影响。

作者:胡呈清

爱可生 DBA 团队成员,擅长故障分析、性能优化,个人博客:https://www.jianshu.com/u/a95ec11f67a8,欢迎讨论。

本文来源:原创投稿

*爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。

一个报错

在使用客户端登录MySQL8.0时,我们经常会遇到下面这个报错:

ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.

网络上很多帖子教我们将用户认证插件修改成 mysql_native_password 来解决,那么事实上这是怎么一回事呢?本文就来探讨一二。

caching_sha2_password 简介

caching_sha2_password 是 MySQL 8.0.4 引入的一个新的身份验证插件,它的特点从其命名就可以窥探出一二:

  • sha2_password:其实就是 sha256_password,这是 MySQL5.6 就引入的身份验证插件,其优点是对加盐密码进行多轮 SHA256 哈希,以确保哈希转换更安全。其缺点为它要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接,因此其身份验证的效率较低。

  • caching:在 sha256_password 的基础上增加缓存,有缓存的情况下不需要加密连接或 RSA 密钥对,已达到安全和效率并存。

其实上面这个介绍不太容易懂,下面我们以问答方式来揭开 caching_sha2_password 的面纱。

Q:要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接是什么意思?

caching_sha2_password 对密码安全性要求更高,要求用户认证过程中在网络传输的密码是加密的:

  • 如果是 SSL 加密连接,则使用 SSL 证书和密钥对来完成 “对称加密密钥对(在TSL握手中生成)” 的交换,后续使用“对称加密密钥对” 加密密码和数据。具体见:MySQL:SSL 连接浅析;

  • 如果是非 SSL 加密连接,则在连接建立时客户端使用 MySQL Server 端的 RSA 公钥加密用户密码,Server 端使用 RSA 私钥解密验证密码的正确性,可以防止密码在网络传输时被窥探。

tips:SSL 加密连接会不止会加密用户密码,还会加密数据(SQL 请求、返回的结果);非加密连接只使用 RSA 密钥对进行用户密码的加密。

Q:未加密连接是怎么使用 RSA 密钥对进行密码交换的?

当用户验证成功后,会把用户密码哈希缓存起来。新连接客户端发起登录请求时,MySQL Server 端会判断是否命中缓存,如果没有缓存,对于未加密的连接,caching_sha2_password 插件要求连接建立时使用 RSA 进行加密密码交换,否则报错,其过程为:

  • 客户端如果拥有服务端的 RSA 公钥,则使用 --server-public-key-path 选项指定 RSA 公钥文件;
  • 客户端使用 RSA 公钥对用户密码进行加密,请求连接;
  • 服务端使用 RSA 私钥进行解密,验证密码的正确性。

如果客户端没有保存服务端的 RSA 公钥文件,也可以使用 --get-server-public-key 选项从服务器请求公钥,则在建立连接时,服务端会先将 RSA 公钥发送给客户端。

如果 --server-public-key-path、–get-server-public-key 都没有指定,则会报下面这个经典的错误:

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.

指定 --get-server-public-key 则能成功登录:

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable --get-server-public-key -e "select 1"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---+
| 1 |
+---+
| 1 |
+---+

如果 test 用户登陆成功,有了缓存,则下次认证时未加密连接不再要求使用 RSA 密钥对:

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable -e "select 1"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---+
| 1 |
+---+
| 1 |
+---+

注意:上述客户端是指 mysql 默认命令行客户端,–server-public-key-path、–get-server-public-key 参数也只适用于 mysql 客户端

RSA 密钥对保存在哪里?

RSA 钥对默认保存 MySQL datadir 下,用于非 SSL 连接时的密码加密交换:使用 RSA 公钥加密密码,使用 RSA 私钥解密:

private_key.pem      RSA公钥
public_key.pem       RSA私钥

Q:密码哈希缓存何时失效?

当用户验证成功后,密码哈希会缓存起来,缓存会在以下情况被清理:

  • 当用户的密码被更改时;
  • 当使用 RENAME USER 重命名用户时;
  • 执行 FLUSH PRIVILEGES 时;
  • MySQL 重启。

Q:复制用户使用 caching_sha2_password 插件需要注意什么?

对于 MGR ,如果设置 group_replication_ssl_mode=DISABLED ,则也必须使用下面的变量来指定 RSA 公钥,否则报错:

  • group_replication_recovery_get_public_key :向服务端请求 RSA 公钥;
  • group_replication_recovery_public_key_path :指定本地 RSA 公钥文件。

设置一个就行,考虑拷贝 RSA 公钥到各节点麻烦,建议设置 group_replication_recovery_get_public_key=ON 。

对于异步/半同步复制,需要在 change master 命令中指定:MASTER_PUBLIC_KEY_PATH = 'key_file_path'GET_MASTER_PUBLIC_KEY = {0|1}

含义同上,建议:GET_MASTER_PUBLIC_KEY = 1

参考资料

https://dev.mysql.com/blog-archive/mysql-8-0-4-new-default-authentication-plugin-caching_sha2_password/

https://dev.mysql.com/doc/refman/8.0/en/caching-sha2-pluggable-authentication.html

MySQL新的身份验证插件caching_sha2_password数据库
.
09-11 1144
MySQL 8.0版本中引入了caching_sha2_password插件作为默认的身份验证插件,取代了旧版本中的mysql_native_password插件。随着技术的发展和安全性的要求不断提高,MySQL引入了一种新的身份验证插件caching_sha2_password来增强数据库的安全性。总结而言,MySQLcaching_sha2_password身份验证插件通过使用SHA-256算法和SSL/TLS加密传输,提供了更强的安全性保护。在上面的示例中,我们使用。
MySQL运维实战(6)用户认证插件caching_sha2_password
02-05 2225
作者:俊达。
【得物技术MySQL 8.0:新的身份验证插件(caching_sha2_password
SmartCodeTech的博客
09-25 5125
MySQL 8.0.4 开始,默认身份验证插件从 mysql_native_password 更改为 caching_sha2_password。相应地,现在的 libmysqlclient 将使用 caching_sha2_password 作为默认的验证机制。 为什么这样做呢? MySQL 5.6/5.7 的默认密码插件一直以来都是 mysql_native_password。其优点是它支持 challenge-response 机制,这是非常快的验证机制,无需在网络中发送实际密码,并且
鲲鹏系统 (arm64架构)docker安装mysql(8.0.11)遇到的问题
qq_42511550的博客
07-29 1371
中标鲲鹏系统通过docker安装的mysql(系统架构为arm64),按照安装脚本安装之后,用navicat连接遇到的问题及解决如下 问题 CHost ‘172.17.0.1’ is not allowed to connect to this MySQL server 解决: 进入容器内部 docker exec -it mysql bash 登录到mysql mysql -u root -p 查询root用户信息 use mysql; select host from user wh
Mysql 连接错误之-caching_sha2_password
weixin_33712987的博客
06-27 203
  个人记录解决方案以便下次遇到同样问题解决,在 Workbench 中连接mysql 、 1、Query 2、依次输入 ALTER USER 'root'@'localhost' IDENTIFIED BY 'password' PASSWORD EXPIRE NEVER; #修改加密规则 ALTER USER 'root'@'localhost' IDENTIFIED WIT...
MySQL新身份验证插件caching_sha2_password
song854601134的博客
05-30 5838
MySQL 8.0.4 开始,MySQL 默认身份验证插件从改为。相应地,也使用作为默认的身份验证机制。
mysql8.0以后连接插件caching_sha2_password
07-02
mysql8.0以后连接插件caching_sha2_password
caching_sha2_password
11-18
解决navicat连接mysql8报sha2证书错误,直接把文件放到navicat安装根目录即可连接mysql8
navicat16链接mysql8驱动caching-sha2-password-x86-64
12-10
具体来说,MySQL 8版本在认证插件上采用了新的机制,其中之一便是"caching_sha2_password"。这是MySQL 8默认的认证插件,要求客户端提供支持SHA-256密码哈希机制的驱动程序。 当Navicat用户尝试连接MySQL 8数据库时...
MySQL caching_sha2_password认证异常问题分析
GreatDB的博客
06-08 1447
0. 导读 相同的账号、密码,手动客户端连接可以成功,通过MySQL Connectors却失败了,为什么? 1. 现象描述 通过MySQL C API编写的一个程序,在进行用户登录操作的时候,程序报错,登录失败。 但是如果通过mysql客户端,手动登录成功后,再启动客户端程序,不再报错,程序运行成功。 2. 抓包分析问题 学会抓包,就超越了90%的程序员。 sudo tcpdump -i any tcp and port xxx -s 1500 -w filename -v C程序登录失败时的包
解决MySql登录 提示caching_sha2_password
热门推荐
wo4641771的博客
08-11 1万+
背景 用docker构建mysql容器后连接遇到以下问题 登录提示caching_sha2_password问题解决方法 解决方案: 1.进入容器:docker exec -it 62349aa31687 /bin/bash mysql -u root -p 查看身份验证类型 mysql> use mysql; Database changed mysql> SELECT Host, User, plugin from user; ±----------±-----------------±
浅谈 MySQL 新的身份验证插件 caching_sha2_password
老叶茶馆
12-08 4080
介绍从 MySQL 8.0.4 开始,MySQL 默认身份验证插件从 mysql_native_password 改为 caching_sha2_password 。相应地,libmysqlclient 也使用 caching_sha2_password 作为默认的身份验证机制。起因在这之前 MySQL 5.6/5.7 使用的默认密码插件是 mysql_native_passwordmysql...
Navicat连接本地mysql报错-caching_sha2_password
03-30 6279
报以下错误: 该报错是由于目前已有的Navicat客户端连接软件还不支持Mysql8新增加的加密方式caching_sha2_password,所以我们需要修改用户的加密方式,将其改为老的加密验证方式,如mysql_native_password。 解决办法: 以管理员身份打开dos窗口,连接mysql数据库 查看当前用户加密方式: select user,plugin from user where user='root'; 将用户的加密方式改为mysql_native_password
连接docker mysql 出现caching_sha2_password问题
sinat_31089473的博客
05-06 887
1.问题描述及分析 使用docker 建立mysql03 连接测试出错caching_sha2_password 分析及查找相关资料后,发现MySQL8.0采用了新的更安全的验证方式 2.查询自己的数据库和加密方式 #进入容器 docker exec -it mysql bash #登录mysql mysql -u root -p 3.对于新的MySQL 8.0...
关于caching-sha2-password问题
午觉的博客
08-10 1万+
问题:caching-sha2-password 遇到这个问题了。是由于在mysql8之前的版本使用的密码加密规则是mysql_native_password,但是在mysql8则是caching_sha2_password。 处理:     ALTER USER 'root'@'localhost' IDENTIFIED BY 'password' PASSWORD EXPIRE NE...
MySQL8.0登录 提示 caching_sha2_password
星宇的博客
06-15 2902
1.情况如下: 如果忘记密码,可以在mysql的.my.ini 里面配置该参数,可以跳过密码验证: [mysql] skip-grant-tables 2.通过cmd登录mysql mysql -u root -p use mysql; SELECT Host, User, plugin from user; 可以看到 root用户的验证器插件为caching_sha2_password 3.修改身份验证类型(修改密码) :xxxxx为自己的密码 ALTER...
mysql:caching-sha2-password
等一个人的博客
05-03 615
新安装mysql8发现navicate无法连接,但用mysql workBench和ideal工具 可以链接。查看my.ini文件发现default_authentication_plugin=caching_sha2_password 该处修改;依次运行以下语句:   ALTER USER 'root'@'localhost' IDENTIFIED BY 'password' PASSWORD ...
MySQL8.0.4用root用户登录时提示caching_sha2_password的原因和解决方法
weixin_46389749的博客
11-13 1337
错误提示:The server requested authentication method unknown to the client [caching_sha2_password] 一原因 从MySQL 8.0.4开始,MySQL服务器的默认身份验证插件从mysql_native_password更改为caching_sha2_password。相应地,libmysqlclient现在也将caching_sha2_password用作默认身份验证机制。具体可看官方解释:Mysql管方说明文档 解决办法
Variable_name | Value | +----------------------------------------------+-----------------+ | caching_sha2_password_auto_generate_rsa_keys | ON | | caching_sha2_password_digest_rounds | 5000 | | caching_sha2_password_private_key_path | private_key.pem | | caching_sha2_password_public_key_path | public_key.pem | | default_password_lifetime | 0 | | disconnect_on_expired_password | ON | | generated_random_password_length | 20 | | mysql_native_password_proxy_users | OFF | | password_history | 0 | | password_require_current | OFF | | password_reuse_interval | 0 | | report_password | | | sha256_password_auto_generate_rsa_keys | ON | | sha256_password_private_key_path | private_key.pem | | sha256_password_proxy_users | OFF | | sha256_password_public_key_path | public_key.pem |是什么意思
最新发布
06-12
<think>嗯,用户想要了解MySQL的密码验证插件caching_sha2_passwordsha256_password的区别和配置细节。参考之前提供的站内引用材料,需要从安全性、工作机制和应用场景三个维度展开解释。用户应该是一位DBA或者开发人员,正在处理MySQL8.0版本后的密码认证问题。从引用[3]和[5]可以看出,ta可能遇到了客户端连接失败的情况,现在想深入理解底层机制。这说明用户不仅需要参数定义,更需要知道如何选择适配业务场景的解决方案。首先得厘清两个插件的本质差异。引用[1]和[2]指出caching_sha2_passwordsha256_password的升级版,核心区别在于前者有缓存机制。这个点要重点展开,可以类比CPU缓存原理来解释:当用户首次认证后,服务端会暂存验证结果,下次连接时就像CPU命中缓存一样快速完成校验。关于配置参数部分需要结构化呈现。引用[2]展示了创建用户语句的两种写法,但还要补充实际使用场景示例。比如当企业需要SSL加密时,用sha256_password更安全;而高并发业务场景用caching_sha2_password性能更好。这些补充信息在引用[1]和[4]的报错提示里也有佐证。对于用户可能存在的认知盲区,要强调两个关键点:一是客户端兼容性问题(如引用[3]所述旧版本工具连接失败),二是SSL强制规则(引用[4]的错误提示)。这些在实践中容易踩坑,需要特别说明解决方法。最后考虑用户可能的延伸需求:ta或许还想知道如何批量修改现有用户的验证插件。这个在原问题里没提,但引用[2]的ALTERUSER语句给了线索,应该作为衍生问题加入回答。</think> 以下是针对`caching_sha2_password`和`sha256_password`的详细解析,结合MySQL的安全机制和配置逻辑: --- ### **1. 核心密码验证插件** #### (1) **`sha256_password`** - **工作机制**: - 使用`SHA-256`算法对密码进行哈希加密 - 每次认证均需完整计算哈希值,**无缓存机制** - 强制要求**SSL/TLS加密通道**(可通过参数`allow_invalid_dates`部分放宽限制) - **适用场景**: ```sql CREATE USER 'user1'@'%' IDENTIFIED WITH sha256_password BY 'password'; ``` - **高安全需求环境**(如金融系统) - 可配合`RSA密钥对`(启动参数`--sha256-private-key-path`)实现无SSL的加密认证 #### (2) **`caching_sha2_password`**(**MySQL 8.0+默认**) - **优化设计**: - 首次认证后缓存验证结果,后续连接直接使用缓存(`caching_sha2_password_cache_ttl`控制缓存有效期) - 支持两种连接模式: - 要求SSL/TLS(默认) - 通过RSA密钥进行非SSL加密(需配置`--caching-sha2-private-key-path`) - **性能优势**: ```sql ALTER USER 'user1'@'%' IDENTIFIED WITH caching_sha2_password BY 'new_password'; ``` - 并发连接场景性能提升**300%+**(减少重复哈希计算) --- ### **2. 核心配置参数详解** | **参数** | **类型** | **默认值** | **说明** | |-----------------------------------|----------|------------|-------------------------------------------------------------------------| | `default_authentication_plugin` | 全局 | `caching_sha2_password` | 新用户的默认认证插件 | | `caching_sha2_password_digest_rounds` | 全局 | 4096 | SHA-256哈希轮数(值越高越安全,CPU消耗越大) | | `caching_sha2_password_auto_generate_rsa_keys` | 全局 | ON | 自动生成RSA密钥对(保存在`数据目录/*.pem`) | | `caching_sha2_password_private_key_path` | 全局 | `private_key.pem` | 手动指定RSA私钥路径 | | `caching_sha2_password_cache_ttl` | 全局 | 86400秒(1天) | 认证缓存的有效时间 | --- ### **3. 常见问题与解决方案** #### (1) **客户端兼容性问题** - **现象**:Navicat/旧驱动连接报错`Authentication plugin caching_sha2_password cannot be loaded`[^3] - **解决方案**: ```sql -- 方法1:回退到mysql_native_password(临时方案) ALTER USER 'user'@'%' IDENTIFIED WITH mysql_native_password BY 'password'; -- 方法2:启用RSA加密(需客户端支持) INSTALL COMPONENT 'file://component_openssl'; ALTER USER 'user'@'%' REQUIRE RSA; ``` #### (2) **SSL强制要求错误** - **现象**:报错`Authentication requires secure connection`[^4] - **解决步骤**: 1. 启用SSL连接(客户端添加`--ssl-mode=REQUIRED`) 2. 或放宽安全限制(生产环境不推荐): ```sql ALTER USER 'user'@'%' REQUIRE NONE; ``` --- ### **4. 典型场景配置示例** #### **场景:高安全+高性能的混合部署** ```sql -- 创建支持SSL和缓存验证的用户 CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED WITH caching_sha2_password BY 'Str0ngP@ss!' REQUIRE SSL WITH MAX_QUERIES_PER_HOUR 5000; -- 调整缓存策略 SET GLOBAL caching_sha2_password_cache_ttl = 7200; -- 缓存2小时 ``` --- ### **
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值