05.MySQL身份验证插件

MySQL身份验证插件

1.问题

MySQL客户端连接数据库的时候，提示这个错误

ERROR 2059 (HY000): Plugin caching_sha2_password could not be loaded: 
/usr/lib64/mariadb/plugin/caching_sha2_password.so: cannot open shared object file: No such file or directory

这个其实是MySQL新的身份验证插件caching_sha2_password的问题

2.介绍

从MySQL8.0.4开始，MySQL默认的身份验证插件从mysql_native_password改为caching_sha2_password。相应地，libmysqlclient也使用caching_sha2_password作为默认的身份验证机制

mysql_native_password_15">3.mysql_native_password身份验证插件

介绍

在这之前MySQL5.6/5.7使用的默认密码插件是mysql_native_password。mysql_native_password的特点是不需要加密的连接。该插件验证速度特别快，但是不够安全，因为，mysql_native_password使用的是于SHA1算法，NIST（美国国家标准与技术研究院）在很早之前就已建议停止使用SHA1算法因为SHA1和其他哈希算法（例如 MD5）容易被破解

改进方案

其实从MySQL 5.6开始就引入了更安全的认证机制：ha256_password认证插件。它使用一个加盐密码（salted password）进行多轮SHA256哈希（数千轮哈希，暴力破解更难），以确保哈希值转换更安全。但是，建立安全连接和多轮hash加密很耗费时间。虽然安全性更高，但是验证速度不够快

工作机制

mysql_native_password作为 MySQL5.6/5.7的默认密码插件其优点是它支持challenge-response（挑战应答方式），这是非常快的验证机制，无需在网络中发送实际密码，并且不需要加密的连接

客户端连接MySQL实例时，首先需要从服务器端获得一个20字节的随机数

此外，mysql_native_password 使用了新的哈希算法进行认证校验。对于用户的原始密码，通过SHA1(SHA1(password))两次哈希计算结果保存在mysql.user表的 authentication_string列中。其中用户密码通过哈希计算后保存，没有加盐（salt）

通过上述这样的处理，MySQL数据库本身已然非常安全。然而，随着时间的推移，目前存在以下两种潜在风险：

SHA1哈希算法也已经变得比较容易破解
相同的密码拥有相同的哈希值

SHA1、MD5等之前的哈希算法都已然不再安全，更为安全的SHA256、SHA512哈希算法也已推出。作为数据存储最终承载者，应该使用更新的加密机制机制

4.caching_sha2_password身份验证插件

介绍

MySQL试图结合二者的优点。于是在MySQL8.0.3引入了一个新的身份验证插件caching_sha2_password，作为sha256_password的代替方案，在sha256_password的基础上进行了改进补上了短板，既解决安全性问题又解决性能问题。与此同时sha256_password将退出时代的浪潮。MySQL预计在未来版本中将其删除。使用sha256_password进行身份验证的MySQL账户建议转为caching_sha2_password

建议

因为默认身份验证机制的更改，大家在使用MySQL8.0时候出现了很多相关的问题。网上的大部分教程都是教人改回mysql_native_password验证方式。但是笔者认为，MySQL更改默认插件是为了更好的安全性考虑。如果有MySQL服务要公网上使用，建议还是尽量使用caching_sha2_password作为认证插件