详解MySQL8.0 密码过期策略

2023-07-12 14:56:08 208

MySQL8.0.16开始，可以设置密码的过期策略，今天针对这个小的知识点进行展开。

1、手工设置单个密码过期

MySQL8.0中，我们可以使用alteruser这个命令来让密码过期。

首先我们创建账号yeyz，密码是yeyz

[root@VM-0-14-centos~]#/usr/local/mysql-8.0.19-el7-x86_64/bin/mysql-uyeyz-pyeyz-h127.0.0.1-P4306-e"select1"
mysql:[Warning]Usingapasswordonthecommandlineinterfacecanbeinsecure.
+---+
|1|
+---+
|1|
+---+

这里我们让它过期：

mysql>alteruseryeyz@'127.0.0.1'passwordexpire;
QueryOK,0rowsaffected(0.01sec)

再来看连接：

[root@VM-0-14-centos~]#/usr/local/mysql-8.0.19-el7-x86_64/bin/mysql-uyeyz-pyeyz-h127.0.0.1-P4306-e"select1"
mysql:[Warning]Usingapasswordonthecommandlineinterfacecanbeinsecure.
Pleaseuse--connect-expired-passwordoptionorinvokemysqlininteractivemode.

--提示我们通过--connect-expire-password命令来进行连接，我们加上看看

[root@VM-0-14-centos~]#/usr/local/mysql-8.0.19-el7-x86_64/bin/mysql-uyeyz-pyeyz-h127.0.0.1-P4306--connect-expired-password-e"select1"
mysql:[Warning]Usingapasswordonthecommandlineinterfacecanbeinsecure.
ERROR1820(HY000)atline1:YoumustresetyourpasswordusingALTERUSERstatementbeforeexecutingthisstatement.

--这里提示我们先执行alteruser的语法来修改密码，然后再使用密码。

当然，除了手工设置密码过期外，我们还可以设置密码永不过期和指定过期时间：

--设置密码永不过期
mysql>createuseryeyz1@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz1'passwordexpirenever;
QueryOK,0rowsaffected(0.01sec)

--设置密码过期天数为指定天数
mysql>createuseryeyz2@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz2'passwordexpireinterval90day;
QueryOK,0rowsaffected(0.01sec)

如果我们想遵循全局密码到期策略，则可以使用defalut关键字：

mysql>createuseryeyz3@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz3'passwordexpiredefault;
QueryOK,0rowsaffected(0.01sec)

这种情况下，将遵守参数default_password_lifetime设置的时间。

2、设置全局密码过期时间。

如果我们想让所有的密码都有过期时间，可以通过配置参数default_password_lifetime。它的默认值为0，表示禁用自动密码过期。如果default_password_lifetime的值为正整数N，则表示允许的密码生存期，单位为天，因此必须每N天更改一次密码。

mysql>showvariableslike'%lifetime%';
+---------------------------+-------+
|Variable_name|Value|
+---------------------------+-------+
|default_password_lifetime|0|
+---------------------------+-------+
1rowinset(0.00sec)

3、设置全局密码可重复使用时间和可重复使用的间隔次数

注意，这里的可重复使用时间和可重复使用的间隔次数和过期时间的概念不一样，过期时间指的是密码到这个时间就过期了，就变成不可用了。而可重复使用指的是到指定时间才可以重复使用历史密码，或者密码修改了指定的次数之后，才可以使用历史密码。

我们可以通过下面的方法来设置单个密码可重复使用时间，或者可重复间隔次数，其中：

过期时间表示多久之后，需要修改密码；

过期次数表示每间隔多少次才可以设置重复密码。

这两个功能分别需要使用参数password_history和password_reuse_interval

我们来测试下password_history这个参数：

mysql>alteruseryeyz@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz';
QueryOK,0rowsaffected(0.01sec)

mysql>
mysql>showvariableslike'%password_history%';
+------------------+-------+
|Variable_name|Value|
+------------------+-------+
|password_history|0|
+------------------+-------+
1rowinset(0.00sec)

mysql>setglobalpassword_history=2;
QueryOK,0rowsaffected(0.00sec)

--第一次修改，成功
mysql>alteruseryeyz@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz';
QueryOK,0rowsaffected(0.01sec)

--第二次修改，报错
mysql>alteruseryeyz@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz';
ERROR3638(HY000):Cannotusethesecredentialsfor'yeyz@127.0.0.1'becausetheycontradictthepasswordhistorypolicy
mysql>

可以看到，一开始的时候，这个password_history参数设置为0，我们将它改为2，代表每执行2次密码设置动作，才可以重复之前的密码，也就是不允许本次修改的密码和上次密码一致。然后开始修改密码为之前同样的密码'yeyz',第一次修改的时候成功了，第二次设置密码的时候，直接报错了。

这种方式是通过系统变量的方式来设置密码的有效次数的。

4、设置单个密码可重复使用时间和可重复使用的间隔次数

--设置密码为每间隔5次才可以重复使用
mysql>createuseryeyz3@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz3'passwordhistory5;
QueryOK,0rowsaffected(0.01sec)

--设置密码为每隔5天才可以重复使用
mysql>createuseryeyz4@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz4'passwordreuseinterval5day;
QueryOK,0rowsaffected(0.01sec)

--设置密码为每隔5天可以重复使用或者每个5次才可以重复使用，取最严格的那个条件
mysql>createuseryeyz5@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz5'passwordreuseinterval5daypasswordhistory5;
QueryOK,0rowsaffected(0.01sec)

--使用默认的全局密码可重复使用策略，也就是passwordhistory参数和passwordreuseinterval参数
mysql>createuseryeyz6@'127.0.0.1'identifiedwith'mysql_native_password'by'yeyz6'passwordreuseintervaldefaultpasswordhistorydefault;
QueryOK,0rowsaffected(0.01sec)

以上就是详解MySQL8.0密码过期策略的详细内容，更多关于MySQL8.0密码过期策略的资料请关注毛票票其它相关文章！

详解MySQL8.0 密码过期策略

热门推荐

随机推荐