新特性解读 | MySQL 8.0 多因素身份认证

MySQL 8.0.27 增加了多因素身份认证(MFA)功能，可以为一个用户指定多重的身份校验。为此还引入了新的系统变量 authentication_policy ，用于管理多因素身份认证功能。

我们知道在 MySQL 8.0.27 之前，create user 的时候可以指定一种认证插件，在未明确指定的情况下会取系统变量 default_authentication_plugin的值。default_authentication_plugin 的有效值有3个，分别是 mysql_native_password ，sha256_password ，caching_sha2_password ，这个3个认证插件是内置的、不需要注册步骤的插件。

在 MySQL 8.0.27 中由 authentication_policy 来管理用户的身份认证，先启个 mysql

同时查看下 authentication_policy 和 default_authentication_plugin 的值

我们看到 authentication_policy 的默认值是*,,

第1个元素值是星号（ ），表示可以是任意插件，默认值取 default_authentication_plugin 的值。如果该元素值不是星号（ ），则必须设置为 mysql_native_password ，sha256_password ，caching_sha2_password 中的一个。

第2，3个元素值为空，这两个位置不能设置成内部存储的插件。如果元素值为空，代表插件是可选的。

建个用户看一下，不指定插件名称时，自动使用默认插件 caching_sha2_password

指定插件名称时，会使用到对应的插件

尝试变更一下 authentication_policy 第一个元素的值，设置为 sha256_password

再次创建一个用户，不指定插件的名称

可以看到默认使用的插件是 sha256_password ，说明当 authentication_policy 第一个元素指定插件名称时，default_authentication_plugin 被弃用了。

首先我们恢复 authentication_policy 至默认值

创建一个双重认证的用户。如下创建失败了，因为不可以同时用2种内部存储插件。

那我们来装一个可插拔插件 Socket Peer-Credential

再创建一个双重认证的用户

创建成功，之后用户'wei4'@'localhost'必须提供正确的密码，且同时本地主机的登录用户为 root 时，才会验证通过。

来试一下，以主机 root 用户身份，提供正确的密码 123 ，登录成功。

修改一下，将'wei4'@'localhost'要求的主机登录用户修改为wei4

再次以主机 root 用户身份，提供正确的密码 123 ，登录失败

因此可以认定双重身份认证机制是生效的。MySQL 8.0.27 最多可以对一个用户设置三重的身份认证，这里不再做展示说明。

简单总结下，已有的密码口令身份验证很适合网站或者应用程序的访问，但是在特定的情况下 如网络在线金融交易方面可能还是不够安全。多因素身份认证(MFA)功能的引入，可以在一定程度上提升数据库系统的安全性。

https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.html#sysvar_authentication_policy

MySQL可以使用CREATE_TOKEN()函数生成一个唯一的token，该token可以用来进行安全认证，如用户登录或者API调用等。

具体的步骤如下：

1、首先在MySQL中创建一个名为token的表，用来存储token。

2、在MySQL中使用CREATE_TOKEN（）函数来创建唯一的token，该函数接受一个字符串参数，该参数用于指定token的长度，如：CREATE_TOKEN（“128”）

3、将生成的token存储到token表中，方便以后使用。

4、在需要使用token的地方，使用SELECT语句从token表中查询对应的token，并返回给用户。

5、在用户请求返回的token之后，使用DELETE语句从token表中删除该token。

6、最后，使用一个定时任务，定期清理token表中的旧token以保证安全。

MySQL默认的数据通道是不加密的，在一些安全性要求特别高的场景下，我们需要配置MySQL端口为SSL，使得数据通道加密处理，避免敏感信息泄漏和被篡改。

当然，启用MySQL SSL之后，由于每个数据包都需要加密和解密，这个对MySQL的性能是有不小影响的，读者们在使用的时候，要根据实际情况斟酌。

MySQL客户端登录服务器时候的密码不是明文传输，有加密策略处理。

笔者是在 ubuntu12.04 系统上使用MySQL 5.5版本测试的，其他环境请读者自行匹配。

配置MySQL服务器证书

编辑 /etc/mysql/my.cnf 文件

# ssl-ca=/etc/mysql/cacert.pem

# ssl-cert=/etc/mysql/server-cert.pem

# ssl-key=/etc/mysql/server-key.pem

把上面三行默认证书配置注释打开，使用自己的证书。笔者就使用上次在搭建自己的CA服务 – OpenSSL CA 实战文章中生成的证书

ssl-ca=/home/yunweipai/user_certs/ca_cert.cer

ssl-cert=/home/yunweipai/user_certs/web.cer

ssl-key=/home/yunweipai/user_certs/web_key_plain.pem

这里需要注意的是，在ubuntu上，配置证书后如果不生效，参考这里解决方法

注意上面配置的 web_key_plain.pem 文件，由于MySQL不支持加密后的私钥，因此我们使用命令

openssl rsa -in web_key.pem -passin pass:Yunweipai@123 -out web_key_plain.pem

将私钥解密。MySQL不支持私钥加密的原因是从安全性角度考虑，因为如果要用户传递一个加密的私钥，那么必须要用户传密码，那么MySQL怎么存储这个密码呢？这就引出了我们在密码存储和传输的安全建议里面提到的一系列问题了。

所以MySQL为了简化实现，就不支持私钥加密。

指定客户端连接方式

MySQL服务端在对客户端授权的时候，可以通过选项指定客户端连接MySQL 服务器的SSL级别，参考MySQL赋权的 REQUIRE值：

ssl_option

SSL: 不认证客户端，客户端不需要提供证书

X509: 客户端必须发送一个有效的X509证书

issuer: 客户端的证书是否是服务器所配置的CA颁发的（在我们场景下是ca_cert.cer颁发的证书）

subject: 认证证书的subject（关于证书的subject在之前的文章有介绍）

cipher: 指定加密算法

这些选项可以叠加使用，如：X509|issuser

客户端连接（SSL方式）

mysql 客户端连接

mysql -u root -pChangeme_123 -P 3306 --ssl-ca=/home/yunweipai/user_certs/ca_cert.cer

Welcome to the MySQL monitor. Commands end with or \g.

Your MySQL connection id is 36

Server version: 5.5.43-0ubuntu0.12.04.1 (Ubuntu)

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help' or '\h' for help. Type '\c' to clear the current input statement.

mysql>\s

--------------

mysql Ver 14.14 Distrib 5.5.43, for debian-linux-gnu (i686) using readline 6.2

Connection id: 36

Current database:

Current user: root@localhost

SSL:Cipher in use is DHE-RSA-AES256-SHA

Current pager: stdout

Using outfile: ''

Using delimiter:

Server version: 5.5.43-0ubuntu0.12.04.1 (Ubuntu)

Protocol version: 10

Connection: Localhost via UNIX socket

Server characterset:latin1

Db characterset:latin1

Client characterset:latin1

Conn. characterset:latin1

UNIX socket:/var/run/mysqld/mysqld.sock

Uptime: 29 sec

Threads: 1 Questions: 109 Slow queries: 0 Opens: 48 Flush tables: 1 Open tables: 41 Queries per second avg: 3.758

--------------

JDBC连接

在jdbc字符串中增加下面参数

useSSL=true&verifyServerCertificate=false

这么就不需要客户端配置证书了，配置就简单很多。因为mysql本身有账号口令认证，因此不需要证书认证。

---