安全组件和插件

本机可插入身份验证
MySQL包含一个mysql_native_password实现本机身份验证的插件；就是说，从引入可插入身份验证开始，就基于使用的密码哈希方法进行身份验证。下表显示了服务器端和客户端上的插件名称。表6.12用于本机密码身份验证的插件和库名称插件或文件插件或文件名服务器端插件mysql_native_

缓存SHA-2可插入身份验证
MySQL提供了两个身份验证插件，用于对用户帐户密码实施SHA-256哈希：sha256_password：实现基本的SHA-256身份验证。caching_sha2_password：实现SHA-256身份验证（如sha256_password），但是在服务器端使用缓存以获得更好的性能，并具有其他

SHA-256可插拔身份验证
MySQL提供了两个身份验证插件，用于对用户帐户密码实施SHA-256哈希：sha256_password：实现基本的SHA-256身份验证。caching_sha2_password：实现SHA-256身份验证（如sha256_password），但是在服务器端使用缓存以获得更好的性能，并具有其他

客户端明文可插入身份验证
提供了客户端身份验证插件，使客户端可以将密码以明文形式发送到服务器，而无需哈希或加密。该插件内置在MySQL客户端库中。下表显示了插件名称。表6.15用于明文身份验证的插件和库名称插件或文件插件或文件名服务器端插件无，请参见讨论客户端插件mysql_clear_password库文件无（内置插件）许

PAM可插入身份验证
注意PAM可插入身份验证是商业产品MySQL Enterprise Edition中包含的扩展。要了解有关商业产品的更多信息，请参见https://www.mysql.com/products/。MySQL Enterprise Edition支持一种身份验证方法，该方法使MySQL Server可

Windows可插拔身份验证
注意Windows可插入身份验证是商业产品MySQL Enterprise Edition中包含的扩展。要了解有关商业产品的更多信息，请参见https://www.mysql.com/products/。适用于Windows的MySQL企业版支持一种在Windows上执行外部身份验证的身份验证方法，

LDAP可插拔身份验证
注意LDAP可插拔身份验证是商业产品MySQL Enterprise Edition中包含的扩展。要了解有关商业产品的更多信息，请参见https://www.mysql.com/products/。MySQL Enterprise Edition支持一种身份验证方法，该方法使MySQL Server

无登录可插入身份验证
在mysql_no_login服务器端认证插件阻止所有客户端连接到任何帐户使用它。该插件的用例包括：必须能够以提升的特权执行存储的程序和视图的帐户，而这些特权不会暴露给普通用户。不能允许直接登录但只能通过代理帐户访问的代理帐户。下表显示了插件和库文件名。文件名后缀在您的系统上可能有所不同。该文件必须

套接字对等证书可插入身份验证
服务器端 uth_socket身份验证插件对通过Unix套接字文件从本地主机连接的客户端进行身份验证。该插件使用SO_PEERCRED套接字选项来获取有关运行客户端程序的用户的信息。因此，该插件只能在支持该SO_PEERCRED选项的系统上使用，例如Linux。可以将此插件的源代码作为一个相对简单的

测试可插入身份验证
MySQL包含一个测试插件，该插件检查帐户凭据并将成功或失败记录到服务器错误日志中。这是一个可加载的插件（未内置），必须在使用前安装。与内置的本机插件不同，测试插件的源代码与服务器源代码是分开的，因此可以将其作为一个相对简单的示例进行检查，以演示如何编写可加载的身份验证插件。注意该插件用于测试和开发

可插拔身份验证系统变量
除非安装了适当的服务器端插件，否则这些变量不可用： uthentication_ldap_sasl用于具有以下形式的名称的系统变量 uthentication_ldap_sasl_xxx uthentication_ldap_simple用于具有以下形式的名称的系统变量 uthentication_

连接控制插件
pMySQL Server包括一个插件库，使管理员可以在一定数量的连续失败的连接尝试之后，增加服务器对客户端的响应延迟。此功能提供了一种威慑力，可以减慢尝试访问MySQL用户帐户的暴力攻击。插件库包含两个插件：CONNECTION_CONTROL检查传入的连接，并根据需要在服务器响应中添加延迟。该插

密码验证组件
该validate_password组件通过要求提供帐户密码并启用潜在密码的强度测试来提高安全性。该组件提供了使您能够配置密码策略的系统变量以及用于组件监视的状态变量。注意在MySQL 8.0中，该validate_password插件已重新实现为validate_password组件。（有关服务器

MySQL包含几个实现安全功能的组件和插件：

用于验证客户端尝试连接到MySQL Server的插件。插件可用于多种身份验证协议。有关身份验证过程的一般讨论，请参见“可插入身份验证”。有关特定身份验证插件的特性，请参见“身份验证插件”。
密码验证组件，用于实施密码强度策略并评估潜在密码的强度。请参见“密码验证组件”。
密钥环插件可为敏感信息提供安全存储。请参见“ MySQL密钥环”。
（仅限MySQL Enterprise Edition）使用服务器插件实现的MySQL Enterprise Audit，使用开放的MySQL Audit API启用对特定MySQL服务器上执行的连接和查询活动的标准，基于策略的监视和日志记录。MySQL Enterprise Audit专为满足Oracle审核规范而设计，它为受内部和外部法规准则约束的应用程序提供了开箱即用，易于使用的审核和合规性解决方案。请参见“ MySQL企业审核”。
用户定义的功能使应用程序可以将其自己的消息事件添加到审核日志。请参见“审核消息组件”。
（仅适用于MySQL企业版）MySQL企业防火墙，一种应用程序级防火墙，使数据库管理员可以根据与接受的语句模式的白名单匹配来允许或拒绝SQL语句执行。这有助于使MySQL Server免受SQL注入之类的攻击，或通过在合法查询工作负载特征之外使用应用程序来尝试利用应用程序。请参见“ MySQL企业防火墙”。
（仅限MySQL Enterprise Edition）MySQL Enterprise Data Masking and De-Identification，它作为包含一个插件和一组用户定义函数的插件库实现。数据屏蔽通过用替代品替换实际值来隐藏敏感信息。MySQL Enterprise Data Masking和De-Identification功能可使用多种方法来掩蔽现有数据，例如混淆（删除识别特征），格式化随机数据的生成以及数据替换或替换。请参见“ MySQL企业数据屏蔽和取消标识”。

以下各节描述了MySQL中可用的可插入身份验证方法以及实现这些方法的插件。有关身份验证过程的一般讨论，请参见“可插入身份验证”。

默认插件由default_authentication_plugin系统变量的值指示。