新特性 | MySQL 8.0 新密码策略的细节补充
1前情提要
MySQL 8.0 截止到目前已经发布到了 8.0.34 版本,经过一系列的版本更新,对于密码方面也做了较多的加强,这⾥我们不再过多介绍 MySQL 8.0 对于密码功能的加强,相关的介绍可以移步到先前公众号的⽂章,这里给到相关链接:
2文章背景
这篇文章主要针对密码相关的几个参数的使用细节做一些验证和分析,给大家分享下实际使用的经验,首先我们看下 MySQL 8.0 版本的 CREATE USER 语法中 password_option 部分的语法结构。
-- MySQL 8.0(新增了不同维度的密码控制)
password_option: {
PASSWORD EXPIRE [DEFAULT | NEVER | INTERVAL N DAY]
| PASSWORD HISTORY {DEFAULT | N}
| PASSWORD REUSE INTERVAL {DEFAULT | N DAY}
| PASSWORD REQUIRE CURRENT [DEFAULT | OPTIONAL]
| FAILED_LOGIN_ATTEMPTS N
| PASSWORD_LOCK_TIME {N | UNBOUNDED}
}
-- MySQL 5.7(只包含密码过期属性配置)
password_option: {
PASSWORD EXPIRE
| PASSWORD EXPIRE DEFAULT
| PASSWORD EXPIRE NEVER
| PASSWORD EXPIRE INTERVAL N DAY
}
其中 MySQL 8.0 版本 CREATE USER 语法的前 4 个密码属性则是本⽂第一个讨论的细节点,其属性对应的 MySQL 全局参数及含义分别为:
| 参数名 | 默认值 | mysql.user 表对应字段 | 含义 |
|---|---|---|---|
| default_password_lifetime | 0 | password_lifetime | 全局设置密码的有效期 |
| password_history | 0 | password_reuse_history | 全局设置历史密码使用过的密码不可被重用的条数 |
| password_reuse_interval | 0 | password_reuse_time | 全局设置历史密码要经过多长时间才能被重用 |
| password_require_current | OFF | password_require_current | 全局设置修改密码时需不需要提供当前密码 |
3误区 1
表 mysql.user 中密码相关选项对应字段为 NULL 时的含义。
验证过程
我们基于这 4 个密码属性设置具体的值,设置后配置如下图所示。
在创建完⽤户后,查看 mysql.user 表中对应字段显示值均为 NULL。
全局配置的 4个属性没生效?
如果生效应该要自动在创建⽤户时配置为对应值才对。基于这个逻辑去理解还造成了另一层误解:新配置的密码全局属性对于历史已创建的用户不生效。
是不是还需要对已存在的⽤户⽤ ALTER USER 单独做处理?
随着这个疑问越想越不对,如果全局配置在新创建用户时还不生效,那什么时候生效,岂不是失去了意义?进一步查看官⽅⽂档[1] 对 mysql.user 表对应字段值含义的描述后得到了答案。原文描述如下,翻译过来就是:如果这 4 个值在表中为 NULL,并不是配置未生效,而是表示其继承全局密码策略配置。
实际验证场景
场景 1
password_history > 0 and password_reuse_interval = 0
结论:历史密码次数 控制策略生效,符合预期。
场景 2
password_history = 0 and password_reuse_interval > 0
结论:历史密码时间 控制策略生效,符合预期。
场景 3
password_history > 0 and password_reuse_interval > 0
结论:历史密码时间 控制策略生效,历史密码次数 控制策略不生效,mysql.password_history 将记录指定时间内的所有密码且均不能被重用。
小结
-
password_reuse_interval对于时间的控制策略优先级⾼于password_history对于次数的控制。 -
两者并不是同时⽣效,两个参数同时配置时,取的是更严格的那个配置作为⽣效的策略。 -
策略本质上对使⽤和功能上没影响。
参考资料
grant-tables: https://dev.mysql.com/doc/refman/8.0/en/grant-tables.html
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2944
- 【软件正版化】软件正版化工作要点 2863
- 统信UOS试玩黑神话:悟空 2823
- 信刻光盘安全隔离与信息交换系统 2718
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1251
- grub引导程序无法找到指定设备和分区 1217
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 163
- 点击报名 | 京东2025校招进校行程预告 162
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 160
- 华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖... 157
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 信创开放社区邀请他人注册的具体步骤如下 15
- 如何玩转信创开放社区—从小白进阶到专家 15
- 方德桌面操作系统 14
- 我有15积分有什么用? 13
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
