MySQL8.0版本以上中Public Key Retrieval问题处理

MySQL中的Public Key Retrieval问题通常是由于MySQL8.0及以上版本默认使用caching_sha2_password插件进行身份验证，而客户端默认不允许从服务器获取公钥导致的。

问题原因

MySQL8.0及以上版本默认使用caching_sha2_password插件进行身份验证，该插件要求客户端在传输密码时使用RSA公钥加密。然而，出于安全考虑，客户端默认不允许从服务器获取公钥（即allowPublicKeyRetrieval=false），从而导致连接失败并报错“Public Key Retrieval is not allowed”。

解决方案：

1、允许公钥检索（快速解决）

string connectionString = "data source=localhost;uid=your_user;pwd=your_password;database=your_database;sslmode=none;allowPublicKeyRetrieval=true;Allow User Variables=True;";

① sslmode=none
作用: 这个参数用于控制 MySQL 连接是否使用 SSL 加密。sslmode=none 表示不使用 SSL 加密连接，这意味着数据将以明文形式在网络中传输，可能会增加数据被截获的风险。
使用场景: 当你的数据库服务器不支持 SSL 连接，或者你更关心连接的性能而不关心安全性时，可以使用这个选项。

② allowPublicKeyRetrieval=true
作用: 这个参数允许客户端从 MySQL 服务器获取公钥。当使用基于 SHA-256 的密码认证方式（如 caching_sha2_password）时，如果客户端没有本地存储的公钥，可以请求服务器发送公钥。
使用场景: 当你使用 MySQL 8.0 及以上版本，并且用户的认证插件是 caching_sha2_password 时，配置这个选项可以避免连接错误。
③ Allow User Variables=True
作用: 这个参数允许在 SQL 查询中使用用户变量。用户变量是在 MySQL 中定义的临时变量，可以在查询中使用。
使用场景: 当你需要在查询中使用用户变量时，例如在存储过程或复杂的 SQL 查询中，配置这个选项可以使 MySQL 支持用户变量的使用。

2、修改用户认证插件（推荐）

将用户认证插件从caching_sha2_password改为mysql_native_password（旧版插件），兼容性更好且无需公钥检索。执行一下SQL:

ALTER USER 'your_username'@'your_host' IDENTIFIED WITH mysql_native_password BY 'your_password';
FLUSH PRIVILEGES;

此方法适合生产环境，但安全性略低于caching_sha2_password。

3、启用SSL/TLS加密（最安全）

string connectionString = "data source=localhost;uid=your_user;pwd=your_password;database=your_database;sslmode=Required;SslCa=path/to/ca-cert.pem;SslKey=path/to/server-key.pem;SslCert=path/to/server-cert.pem;";

此方法既安全又无需修改认证插件，但需要提前配置服务器SSL证书。

其他注意事项

DBeaver连接MySQL服务器保存Public Key Retrieval is not allowed

1、在新安装的windows客户端，远程连接出现“Public Key Retrieval is not allowed”报错内容。如下所示：

2、需要更改连接设置，右键服务器连接，然后选择 “编辑连接”。

3、找到“驱动属性”-allowPublicKeyRetrieval。需要改为true。

然后不会报这个错误了。