SHA-256可插拔身份验证
MySQL提供了两个身份验证插件,用于对用户帐户密码实施SHA-256哈希:
sha256_password
:实现基本的SHA-256身份验证。caching_sha2_password
:实现SHA-256身份验证(如sha256_password
),但是在服务器端使用缓存以获得更好的性能,并具有其他功能以提高适用性。
本节描述了原始的非缓存SHA-2身份验证插件。有关缓存插件的信息,请参见“缓存SHA-2可插拔身份验证”。
重要在MySQL 8.0中,
caching_sha2_password
是默认的身份验证插件,而不是mysql_native_password
。有关此更改对服务器操作的影响以及服务器与客户端和连接器的兼容性的信息,请参阅 caching_sha2_password作为“首选身份验证插件”。因为它
caching_sha2_password
是MySQL 8.0中的默认身份验证插件,并且提供了该sha256_password
身份验证插件的功能的超集,sha256_password
所以已弃用,并将在以后的MySQL版本中将其删除。验证使用的MySQL帐户sha256_password
应迁移为使用caching_sha2_password
。
重要要使用通过
sha256_password
插件进行身份验证的帐户连接到服务器,您必须使用支持使用RSA密钥对进行密码交换的TLS连接或未加密连接,如本节稍后所述。无论哪种方式,该sha256_password
插件都使用MySQL的加密功能。请参见“使用加密的连接”。
注意在名称中
sha256_password
,“ sha256 ”是指插件用于加密的256位摘要长度。在名称中caching_sha2_password
,“ sha2 ”更笼统地指SHA-2类加密算法,其中256位加密是其中的一个实例。后一种名称选择为将来扩展可能的摘要长度留出了空间,而无需更改插件名称。
下表显示了服务器端和客户端上的插件名称。
表6.14 SHA-256身份验证的插件和库名称
插件或文件 | 插件或文件名 |
---|---|
服务器端插件 | sha256_password |
客户端插件 | sha256_password |
库文件 | 无(内置插件) |
以下各节提供特定于SHA-256可插拔身份验证的安装和使用信息:
- 安装SHA-256可插拔身份验证
- 使用SHA-256可插拔身份验证
有关MySQL中的可插入身份验证的一般信息,
安装SHA-256可插拔身份验证
该sha256_password
插件以服务器和客户端形式存在:
- 服务器端插件内置于服务器中,无需显式加载,也无法通过卸载禁用。
- 客户端插件内置在
libmysqlclient
客户端库中,可用于与链接的任何程序libmysqlclient
。
使用SHA-256可插拔身份验证
要设置使用sha256_password
插件进行SHA-256密码哈希处理的帐户,请使用以下语句,其中password
所需的帐户密码为:
CREATE USER 'sha256user'@'localhost'IDENTIFIED WITH sha256_passwordBY 'password';
服务器将sha256_password
插件分配给该帐户,并使用它通过SHA-256加密密码,并将这些值存储在系统表的plugin
和 uthentication_string
列中mysql.user
。
前面的说明不假定这sha256_password
是默认的身份验证插件。如果sha256_password
是默认的身份验证插件,CREATE USER
则可以使用更简单的语法。
要在默认身份验证插件设置为的情况下启动服务器sha256_password
,请将这些行放在服务器选项文件中:
[mysqld] default_authentication_plugin=sha256_password
这导致该sha256_password
插件默认情况下用于新帐户。结果,无需显式命名插件即可创建帐户并设置其密码:
CREATE USER 'sha256user'@'localhost'IDENTIFIED BY 'password';
设置default_authentication_plugin
为的另一个结果sha256_password
是,要使用其他插件创建帐户,必须显式指定该插件。例如,要使用mysql_native_password
插件,请使用以下语句:
CREATE USER 'nativeuser'@'localhost'IDENTIFIED WITH mysql_native_passwordBY 'password';
sha256_password
支持通过安全传输进行连接。sha256_password
如果MySQL是使用OpenSSL编译的,并且您希望连接的MySQL服务器配置为支持RSA(使用本节稍后提供的RSA配置过程),它还支持通过未加密的连接使用RSA进行加密的密码交换。
RSA支持具有以下特征:
- 在服务器端,两个系统变量分别命名为RSA私钥和公钥对文件:
sha256_password_private_key_path
和sha256_password_public_key_path
。如果要使用的密钥文件的名称与系统变量默认值不同,则数据库管理员必须在服务器启动时设置这些变量。 - 服务器使用
sha256_password_auto_generate_rsa_keys
系统变量来确定是否自动生成RSA密钥对文件。请参见“创建SSL和RSA证书和密钥”。 - 该
Rsa_public_key
状态变量显示由使用的RSA公钥值sha256_password
认证插件。 - 拥有RSA公钥的客户端可以在连接过程中与服务器执行基于RSA密钥对的密码交换,如稍后所述。
对于通过身份验证进行帐户的连接
sha256_password
以及基于RSA公钥对的密码交换,服务器会根据需要将RSA公钥发送给客户端。但是,如果客户端主机上有公用密钥的副本,则客户端可以使用它来保存客户端/服务器协议中的往返行程:- 对于这些命令行客户端,使用
--server-public-key-path
选项指定RSA公钥文件:mysql,mysqladmin,mysqlbinlog,mysqlcheck,mysqldump,mysqlimport,mysqlpump,mysqlshow,mysqlslap,mysqltest,mysql_upgrade。 - 对于使用C API的程序,
mysql_options()
通过传递MYSQL_SERVER_PUBLIC_KEY
选项和文件名来调用以指定RSA公钥文件。 - 对于复制从属,请使用
CHANGE MASTER TO
带有该MASTER_PUBLIC_KEY_PATH
选项的语句来指定RSA公钥文件。对于组复制,group_replication_recovery_get_public_key
系统变量具有相同的用途。
- 对于这些命令行客户端,使用
对于使用该sha256_password
插件的客户端,连接到服务器时,密码永远不会显示为明文。密码传输的方式取决于是否使用安全连接或RSA加密:
- 如果连接是安全的,则无需使用RSA密钥对。这适用于使用TLS的加密连接。密码以明文形式发送,但由于连接安全,因此无法监听。
- 如果连接不安全,并且RSA密钥对可用,则该连接将保持未加密状态。这适用于没有TLS的未加密连接。RSA仅用于客户端和服务器之间的密码交换,以防止密码监听。服务器收到加密的密码后,便对其进行解密。加密中使用加扰来防止重复攻击。
- 如果未使用安全连接且RSA加密不可用,则连接尝试将失败,因为无法发送密码而不将密码公开为明文。
注意要将RSA密码加密用于
sha256_password
,客户端和服务器都必须使用OpenSSL进行编译,而不仅仅是其中之一。
假设已使用OpenSSL编译MySQL,请使用以下过程在客户端连接过程中启用RSA密钥对用于密码交换:
- 使用“创建SSL和RSA证书和密钥”中的说明创建RSA私钥和公用密钥对文件。
如果私钥和公钥文件位于数据目录中,并且命名为
private_key.pem
和public_key.pem
(sha256_password_private_key_path
和和sha256_password_public_key_path
系统变量的默认值),则服务器在启动时会自动使用它们。否则,要显式命名密钥文件,请将系统变量设置为服务器选项文件中的密钥文件名。如果文件位于服务器数据目录中,则无需指定其完整路径名:
[mysqld] sha256_password_private_key_path=myprivkey.pem sha256_password_public_key_path=mypubkey.pem
如果密钥文件不在数据目录中,或者要使其位置在系统变量值中明确显示,请使用完整路径名:
[mysqld] sha256_password_private_key_path=/usr/local/mysql/myprivkey.pem sha256_password_public_key_path=/usr/local/mysql/mypubkey.pem
重新启动服务器,然后连接到服务器并检查
Rsa_public_key
状态变量值。该值将不同于此处显示的值,但应为非空值:mysql>
SHOW STATUS LIKE 'Rsa_public_key'\G *************************** 1. row *************************** Variable_name : Rsa_public_key Value : -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDO9nRUDd +KvSZgY7cNBZMNpwX6 MvE1PbJFXO7u18nJ9lwc99Du/E7lw6CVXw7VKrXPeHbVQUzGyUNkf45Nz/ckaaJa aLgJOBCIDmNVnyU54OT/1lcs2xiyfaDMe8fCJ64ZwTnKbY2gkt1IMjUAB5Ogd5kJ g8aV7EtKwyhHb0c30QIDAQAB -----END PUBLIC KEY-----如果该值为空,则服务器发现密钥文件存在问题。检查错误日志以获取诊断信息。
在为服务器配置了RSA密钥文件之后,通过sha256_password
插件进行身份验证的帐户可以选择使用那些密钥文件连接到服务器。如前所述,此类帐户可以使用安全连接(在这种情况下不使用RSA)或使用RSA进行密码交换的未加密连接。假设使用未加密的连接。例如:
shell>mysql --ssl-mode=DISABLED -u sha256user -p Enter password: password
对于尝试进行此连接sha256user
,服务器将确定这sha256_password
是适当的身份验证插件并调用它(因为这是当时指定的插件CREATE USER
)。该插件发现连接未加密,因此需要使用RSA加密来传输密码。在这种情况下,该插件会将RSA公钥发送给客户端,后者使用它来加密密码并将结果返回给服务器。插件使用服务器端的RSA私钥解密密码,并根据密码是否正确来接受或拒绝连接。
服务器根据需要将RSA公钥发送给客户端。但是,如果客户端的文件包含服务器所需的RSA公钥的本地副本,则可以使用以下--server-public-key-path
选项指定文件:
shell>mysql --ssl-mode=DISABLED -u sha256user -p --server-public-key-path=file_name Enter password: password
由该--server-public-key-path
选项命名的文件中的公共密钥值应与由sha256_password_public_key_path
系统变量命名的服务器端文件中的密钥值相同。如果密钥文件包含有效的公共密钥值,但该值不正确,则会发生拒绝访问的错误。如果密钥文件不包含有效的公共密钥,则客户端程序无法使用它。在这种情况下,sha256_password
插件会将公钥发送给客户端,就像未--server-public-key-path
指定任何选项一样。
客户端用户可以通过两种方式获取RSA公钥:
- 数据库管理员可以提供公共密钥文件的副本。
- 可以通过其他方式连接到服务器的客户端用户可以使用
SHOW STATUS LIKE 'Rsa_public_key'
语句并将返回的键值保存在文件中。