一、现象描述
Qt客户端远程连接mysql8.x服务器,会报错:
Authentication plugin 'caching_sha2_password' reported error:Authentication require secure connection.
因为在mysql8之后,加密规则默认是caching_sha2_password。caching_sha2_password 是MySQL 8.0.4引入的一个新的身份验证插件,它的特点被其命名揭露无疑:
- sha2_password:其实就是 sha256_password,这是 MySQL5.6 就引入的身份验证插件,其优点是对加盐密码进行多轮 SHA256 哈希,以确保哈希转换更安全。其缺点为它要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接,因此其身份验证的效率较低。
- caching:在 sha256_password 的基础上增加缓存,有缓存的情况下不需要加密连接或 RSA 密钥对,以达到安全和效率并存。
二、解决办法
桌面-开始-鼠标右键-运行-cmd
进入mysql的路径
cd C:\Program Files\MySQL\MySQL Server 8.0\bin
命令格式说明
mysql --ssl-mode=DISABLED -u
连接
(1)错误的连接方式
C:\Program Files\MySQL\MySQL Server 8.0\bin>./mysql.exe -u root -pMypwd123456$ -h 192.168.216.100 -P3306
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.
【分析】mysql8默认使用插件caching_sha2_password,client远程连接报这个错误,我们需要拿到server的public key来加密password。
【解决】加参数可以解决:--get-server-public-key
(2)正确的连接方式1,使用--get-server-public-key
C:\Program Files\MySQL\MySQL Server 8.0\bin>./mysql.exe -u root -pMypwd123456$ -h 192.168.216.100 -P3306 --get-server-public-key
C:\Users\hello>cd C:\Program Files\MySQL\MySQL Server 8.0\binC:\Program Files\MySQL\MySQL Server 8.0\bin>./mysql.exe -u root -pMypwd123456$ -h 192.168.216.100 -P3306 --get-server-public-key'.' 不是内部或外部命令,也不是可运行的程序或批处理文件。C:\Program Files\MySQL\MySQL Server 8.0\bin>mysql -u root -pMypwd123456$ -h 192.168.216.100 -P3306 --get-server-public-keymysql: [Warning] Using a password on the command line interface can be insecure.Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 8Server version: 8.0.31 MySQL Community Server - GPLCopyright (c) 2000, 2022, Oracle and/or its affiliates.Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other names may be trademarks of their respectiveowners.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.mysql>如果root用户登陆成功,有了缓存,则下次认证时,未加密连接不再要求使用RSA密钥对。
(3)正确的连接方式2,使用--server-public-key-path
把公钥文件从mysql datadir拷贝出来,例如从C:\ProgramData\MySQL\MySQL Server 8.0\Data\public_key.pem"到"C:\Users\hello\Downloads\public_key.pem",然后再
C:\Program Files\MySQL\MySQL Server 8.0\bin>./mysql.exe -u root -pMypwd123456$ -h 192.168.216.100 -P3306 --server-public-key-path="C:\Users\hello\Downloads\public_key.pem"
三、Qt客户端怎么远程连接MySQL8.x?
先额外启动一个进程,cmd命令远程连接加参数,使得mysql服务器后台有了认证的缓存,下次未加密连接就不再要求使用RSA密钥对。
mysql.exe文件是官方自带的客户端工具(mysqld.exe文件是服务器,一个字母之差),可以拷贝自安装路径C:\Program Files\MySQL\MySQL Server 8.0\bin
mysql.exe是绿色软件,带上libcrypto-1_1-x64.dll和libssl-1_1-x64.dll依赖库即可使用。
void Widget::init(){ QProcess *pProces = new QProcess(this); connect(pProces, SIGNAL(readyRead()), this, SLOT(on_read())); QStringList arguments; arguments << "-u" << "root" << "-pMypwd123456$" << "-h" << "192.168.216.100" << "-P3306" << "--get-server-public-key"; pProces->start("./mysql.exe", arguments); // mysql.exe拷贝来自安装路径C:\Program Files\MySQL\MySQL Server 8.0\bin if (pProces->waitForStarted()) //如果是startDetached表示守护者进程,该函数总会提示失败 { qDebug() << "启动成功"; } else { qDebug() << "启动失败 error:" << pProces->errorString(); } while (!pProces->waitForFinished(200)) { qDebug() << "wait"; QCoreApplication::processEvents(QEventLoop::AllEvents, 1000); break; }}void Widget::on_read(){ QProcess *pProces = (QProcess *)sender(); qDebug() << QString::fromLocal8Bit(pProces->readAll());}接下来就是qt的数据库常规操作了
// 创建数据库连接QSqlDatabase ConnectionPool::createConnection(const QString &connectionName){ static int sn = 0; //先检查数据库连接对象前置条件 if (!checkDatabase()) { qDebug() << m_pInfo->databaseType << "checkDatabase false"; return QSqlDatabase(); } //创建一个新的数据库连接 QSqlDatabase db = QSqlDatabase::addDatabase(m_pInfo->databaseType, connectionName); if ("QSQLITE" == m_pInfo->databaseType) { db.setDatabaseName(m_pInfo->databaseName); } else // eg."QMYSQL" { db.setHostName(m_pInfo->hostName); if (m_pInfo->port != 0) { db.setPort(m_pInfo->port); } db.setDatabaseName(m_pInfo->databaseName); db.setUserName(m_pInfo->username); db.setPassword(m_pInfo->password); } if (db.open()) //打开数据库 { qDebug() << QString("Connection created:%1, type:%2, sn:%3").arg(connectionName).arg(m_pInfo->databaseType).arg(++sn); if (db.driver()->hasFeature(QSqlDriver::Transactions)) { qDebug() << m_pInfo->databaseType << "support Transaction"; } else { qDebug() << m_pInfo->databaseType << "not support Transaction"; } return db; } else { qDebug() << m_pInfo->databaseType << "Create connection error:" << db.lastError().text(); if (QSqlDatabase::contains(connectionName)) { QSqlDatabase::removeDatabase(connectionName); //关闭数据库 qDebug() << QString("Connection deleted: %1").arg(connectionName); } return QSqlDatabase(); }}四、零零星星的知识点
要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接是什么意思?
caching_sha2_password 对密码安全性要求更高,要求用户认证过程中在网络传输的密码是加密的:
- 如果是 SSL 加密连接,则使用 SSL 证书和密钥对来完成 "对称加密密钥对(在TSL握手中生成)" 的交换,后续使用“对称加密密钥对” 加密密码和数据。具体见:MySQL:SSL 连接浅析;
- 如果是非 SSL 加密连接,则在连接建立时客户端使用 MySQL Server 端的 RSA 公钥加密用户密码,Server 端使用 RSA 私钥解密验证密码的正确性,可以防止密码在网络传输时被窥探。
tips:SSL加密连接会不止会加密用户密码,还会加密数据(SQL请求、返回的结果);非加密连接只使用 RSA 密钥对进行用户密码的加密。
未加密连接是怎么使用 RSA 密钥对进行密码交换的?
当用户验证成功后,会把用户密码哈希缓存起来。新连接客户端发起登录请求时,MySQL Server 端会判断是否命中缓存,如果没有缓存,对于未加密的连接,caching_sha2_password 插件要求连接建立时使用 RSA 进行加密密码交换,否则报错,其过程为:
- 客户端如果拥有服务端的 RSA 公钥,则使用 --server-public-key-path 选项指定 RSA 公钥文件;
- 客户端使用 RSA 公钥对用户密码进行加密,请求连接;
- 服务端使用 RSA 私钥进行解密,验证密码的正确性。
如果客户端没有保存服务端的 RSA 公钥文件,也可以使用 --get-server-public-key 选项从服务器请求公钥,则在建立连接时,服务端会先将 RSA 公钥发送给客户端。
如果 --server-public-key-path、--get-server-public-key 都没有指定,则会报下面这个经典的错误:
ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.
在 MySQL 8.0.4 之后创建的所有新用户将默认使用 caching_sha2_password 作为他们的身份验证插件。做主从复制的时候也会碰到这种情况,cmd需要加get_master_public_key=1;
客户端如果拥有服务端的 RSA 公钥,则使用 --server-public-key-path 选项指定RSA 公钥文件;
客户端使用 RSA 公钥对用户密码进行加密,请求连接;
服务端使用 RSA 私钥进行解密,验证密码的正确性。
RSA 密钥对保存在哪里?
C:\ProgramData\MySQL\MySQL Server 8.0\my.ini字段datadir记录了当前保存的数据路径。
RSA密钥对默认保存在MySQL的datadir下,用于非SSL连接时的密码加密交换:使用RSA公钥加密密码,使用RSA私钥解密。
private_key.pem RSA公钥public_key.pem RSA私钥密码哈希缓存何时失效?
当用户验证成功后,密码哈希会缓存起来,缓存会在以下情况被清理:
- 当用户的密码被更改时;
- 当使用 RENAME USER 重命名用户时;
- 执行 FLUSH PRIVILEGES 时;
- MySQL重启。
怎么查看用户的加密类型
mysql> use mysql;
Database changed
mysql> SELECT Host, User, plugin from user;
+-----------+------------------+-----------------------+
| Host | User | plugin |
+-----------+------------------+-----------------------+
| % | root | caching_sha2_password |
| localhost | mysql.infoschema | caching_sha2_password |
| localhost | mysql.session | caching_sha2_password |
| localhost | mysql.sys | caching_sha2_password |
| localhost | root | caching_sha2_password |
+-----------+------------------+-----------------------+
5 rows in set (0.00 sec)
查看公钥文件的内容
mysql> SHOW STATUS LIKE "Caching_sha2_password_rsa_public_key";
如果你不想使用默认的 caching_sha2_password 插件,也可以使用一些其他的插件创建帐户,你必须明确指定插件。例如,使用 mysql_native_password 插件,使用此语句:
CREATE USER 'nativeuser'@'localhost'IDENTIFIED WITH mysql_native_password BY 'password';遗留问题
MySQL安装时出现current root password的解决方法??
Reconfigure,界面需要密码输入,但是总是check失败,网上找的方法说是remove server,重装!囧,,,
五、参考文献
https://www.jianshu.com/p/d677bb316ab0
https://www.cnblogs.com/zgrey/p/15398633.html
MySQL :: MySQL 8.0 Reference Manual :: 6.4.1.2 Caching SHA-2 Pluggable Authentication
MySQL :: MySQL 8.0.4 : New Default Authentication Plugin : caching_sha2_password
https://docs.oracle.com/cd/E17952_01/mysql-shell-8.0-en/mysqlsh.html
https://docs.oracle.com/cd/E17952_01/mysql-8.0-en/caching-sha2-pluggable-authentication.html
来源地址:https://blog.csdn.net/libaineu2004/article/details/127568510
