技术分享 | MySQL:caching_sha2_password 快速问答

作者：胡呈清

爱可生 DBA 团队成员，擅长故障分析、性能优化，个人博客：https://www.jianshu.com/u/a95ec11f67a8，欢迎讨论。

本文来源：原创投稿

*爱可生开源社区出品，原创内容未经授权不得随意使用，转载请联系小编并注明来源。

一个报错

在使用客户端登录MySQL8.0时，我们经常会遇到下面这个报错：

ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.

网络上很多帖子教我们将用户认证插件修改成 mysql_native_password 来解决，那么事实上这是怎么一回事呢？本文就来探讨一二。

caching_sha2_password 简介

caching_sha2_password 是 MySQL 8.0.4 引入的一个新的身份验证插件，它的特点从其命名就可以窥探出一二：

• sha2_password：其实就是 sha256_password，这是 MySQL5.6 就引入的身份验证插件，其优点是对加盐密码进行多轮 SHA256 哈希，以确保哈希转换更安全。其缺点为它要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接，因此其身份验证的效率较低。
• caching：在 sha256_password 的基础上增加缓存，有缓存的情况下不需要加密连接或 RSA 密钥对，已达到安全和效率并存。

其实上面这个介绍不太容易懂，下面我们以问答方式来揭开 caching_sha2_password 的面纱。

Q：要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接是什么意思？

caching_sha2_password 对密码安全性要求更高，要求用户认证过程中在网络传输的密码是加密的：

• 如果是 SSL 加密连接，则使用 SSL 证书和密钥对来完成 "对称加密密钥对（在TSL握手中生成）" 的交换，后续使用“对称加密密钥对” 加密密码和数据。具体见：MySQL:SSL 连接浅析；
• 如果是非 SSL 加密连接，则在连接建立时客户端使用 MySQL Server 端的 RSA 公钥加密用户密码，Server 端使用 RSA 私钥解密验证密码的正确性，可以防止密码在网络传输时被窥探。

tips：SSL 加密连接会不止会加密用户密码，还会加密数据（SQL 请求、返回的结果）；非加密连接只使用 RSA 密钥对进行用户密码的加密。

Q：未加密连接是怎么使用 RSA 密钥对进行密码交换的？

当用户验证成功后，会把用户密码哈希缓存起来。新连接客户端发起登录请求时，MySQL Server 端会判断是否命中缓存，如果没有缓存，对于未加密的连接，caching_sha2_password 插件要求连接建立时使用 RSA 进行加密密码交换，否则报错，其过程为：

• 客户端如果拥有服务端的 RSA 公钥，则使用 --server-public-key-path 选项指定 RSA 公钥文件；
• 客户端使用 RSA 公钥对用户密码进行加密，请求连接；
• 服务端使用 RSA 私钥进行解密，验证密码的正确性。

如果客户端没有保存服务端的 RSA 公钥文件，也可以使用 --get-server-public-key 选项从服务器请求公钥，则在建立连接时，服务端会先将 RSA 公钥发送给客户端。

如果 --server-public-key-path、--get-server-public-key 都没有指定，则会报下面这个经典的错误：

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.

指定 --get-server-public-key 则能成功登录：

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable --get-server-public-key -e "select 1"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---+
| 1 |
+---+
| 1 |
+---+

如果 test 用户登陆成功，有了缓存，则下次认证时未加密连接不再要求使用 RSA 密钥对：

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable -e "select 1"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---+
| 1 |
+---+
| 1 |
+---+

注意：上述客户端是指 mysql 默认命令行客户端，--server-public-key-path、--get-server-public-key 参数也只适用于 mysql 客户端

RSA 密钥对保存在哪里？

RSA 钥对默认保存 MySQL datadir 下，用于非 SSL 连接时的密码加密交换：使用 RSA 公钥加密密码，使用 RSA 私钥解密：

private_key.pem      RSA公钥
public_key.pem       RSA私钥

Q：密码哈希缓存何时失效？

当用户验证成功后，密码哈希会缓存起来，缓存会在以下情况被清理：

• 当用户的密码被更改时；
• 当使用 RENAME USER 重命名用户时；
• 执行 FLUSH PRIVILEGES 时；
• MySQL 重启。

Q：复制用户使用 caching_sha2_password 插件需要注意什么？

对于 MGR ，如果设置 group_replication_ssl_mode=DISABLED ，则也必须使用下面的变量来指定 RSA 公钥，否则报错：

• group_replication_recovery_get_public_key ：向服务端请求 RSA 公钥；
• group_replication_recovery_public_key_path ：指定本地 RSA 公钥文件。

设置一个就行，考虑拷贝 RSA 公钥到各节点麻烦，建议设置 group_replication_recovery_get_public_key=ON 。

对于异步/半同步复制，需要在 change master 命令中指定：MASTER_PUBLIC_KEY_PATH = 'key_file_path' 或 GET_MASTER_PUBLIC_KEY = {0|1}

含义同上，建议：GET_MASTER_PUBLIC_KEY = 1

参考资料

https://dev.mysql.com/blog-archive/mysql-8-0-4-new-default-authentication-plugin-caching_sha2_password/

https://dev.mysql.com/doc/refman/8.0/en/caching-sha2-pluggable-authentication.html