本文详细介绍了MySQL数据库的登录验证步骤,包括连接请求到达服务器后的验证过程,以及MySQL如何匹配和排序`mysql.user`表中的数据。通过示例说明了在不同主机环境下,如何根据用户和主机信息进行登录验证,并提供了在遇到登录问题时的排查思路。
前些天接到一个客户发来的信息:自建MySQL实例之后,使用mysql -uroot@'192.168.3.6' 无法登录,密码没有问题;后面将所有其他不相干的mysql.user表数据删除后,可以正常登录。
因为客户并没有保存详细的登录及报错信息,导致完全复原客户场景。
借这个机会好好说说MySQL数据库登录验证的步骤,在登录遇到问题时提供参考。
当尝试连接到MySQL server时,服务器会根据用户名、密码来验证您的身份。如果没有,服务器将完全拒绝对您的访问。否则,服务器接受连接,然后进入等待请求阶段。
连接验证阶段
连接请求到达服务器之后,MySQL会将用户名、密码、Host参数信息与mysql.users.(user、password、host)进行验证。当完全匹配时,才允许登录。
以用户baiyang 为例,下表显示了各种组合User和Host值,涵盖了MySQL登录验证的所有情况。
User 值
Host 值
允许连接
'baiyang'
'h1.example.net'
baiyang,连接 h1.example.net
''
'h1.example.net'
任何用户,连接 h1.example.net
'baiyang'
'%'
baiyang,从任何主机连接
''
'%'
任何用户,从任何主机连接
'baiyang'
'%.example.net'
baiyang,从example.net域中的任何主机连接
'baiyang'
'x.example.%'
baiyang,从连接 x.example.net, x.example.com, x.example.edu,等; 这可能没有用
'baiyang'
'172.19.65.170'
baiyang,从主机与IP地址进行连接 172.19.65.170
'baiyang'
'172.19.65.%'
baiyang,从172.19.65 C类子网中的任何主机连接
'baiyang'
'172.19.65.0/255.255.255.0'
与上一个例子相同
上面可以发现user.user 字段值baiyang出现多次,但是对应的user.host却不重复;用户连接请求怎么与mysql.user进行匹配呢?
下面给出mysql的做法:
1:每当数据库加载mysql.user数据后,会对表进行排序
2:当客户端尝试连接时,MySQL server 端按照排序顺序进行匹配验证
3:使用第一条用户名和客户端主机名匹配的行响应客户端的请求
MySQL server对mysql.user怎么排序的呢?
哪一行数据的mysql.host越精确,哪一行数据越在前。
如当前mysql.user的数据为:
root@localhost:test 02:51:53> select user,host from mysql.user where user = 'baiyang';
+---------+---------------+
| user | host |
+---------+---------------+
| baiyang | % |
| baiyang | 127.0.0.1 |
| baiyang | 172.19.151.9 |
| baiyang | localhost |
+---------+---------------+
4 rows in set (0.00 sec)
加载到MySQL server后,顺序发生了变化,其结果集可以用SQL来表示:
root@localhost:(none) 02:58:30> select user,host from mysql.user where user = 'baiyang' order by host desc;
+---------+---------------+
| user | host |
+---------+---------------+
| baiyang | localhost |
| baiyang | 172.19.151.9 |
| baiyang | 127.0.0.1 |
| baiyang | % |
+---------+---------------+
不管是从本地客户端还是从远程客户端连接,都会按照上面的排序规则进行验证:匹配上的第一条用户信息响应客户端。
举个例子:分别在本地、远程客户端访问数据库,查看匹配上的用户到底是哪个。
本地连接
1:不指定 host 的连接
默认 host 为 localhost ,那么客户端是以 user='baiyang' host='localhost' 的连接方式去请求MySQL server;mysql.user 中存在| baiyang | localhost |的用户信息,那么将以此来做匹配。
# /mysql/bin/mysql -phahahehe -ubaiyang -e "SELECT CURRENT_USER();"
Warning: Using a password on the command line interface can be insecure.
+-------------------+
| CURRENT_USER() |
+-------------------+
| baiyang@localhost |
+-------------------+
2:指定 host='127.0.0.1' 的连接,客户端是以 user='baiyang' host='127.0.0.1' 的连接方式去请求MySQL server;mysql.user 中存在| baiyang | 127.0.0.1 |的用户信息,那么将以此来做匹配。
# /mysql/bin/mysql -phahahehe -ubaiyang -h 127.0.0.1 -e "SELECT CURRENT_USER();"
Warning: Using a password on the command line interface can be insecure.
+-------------------+
| CURRENT_USER() |
+-------------------+
| baiyang@127.0.0.1 |
+-------------------+
远程连接
MySQL Server所在服务器、远程客户端均是阿里云ECS服务器
有公网和内网两个IP
/
公网
内网
MySQL Server
139.224.x.x
172.19.65.17
CLient
101.132.x.x
172.19.151.9
MySQL Server mysql.user表中有
+---------+---------------+
| user | host |
+---------+---------------+
| baiyang | 172.19.151.94 |
| baiyang | % |
+---------+---------------+
两个用于远程连接的用户信息,远程登录用户认证方式如下:
1:139.224.x.x 是 MySQL Server的公网IP,当使用公网IP进行连接时,客户端的IP同为公网IP 101.132.x.x ,该IP在mysql.user没有精确匹配的host,所以认证用户为 baiyang@%
# mysql -h139.224.13.72 -ubaiyang -phahahehe -e "SELECT CURRENT_USER();" -P3308
+----------------+
| CURRENT_USER() |
+----------------+
| baiyang@% |
+----------------+
2:172.19.65.170 是MySQL Server的内网IP,因此客户端的IP同为内网IP 172.19.151.9,该IP在mysql.user有精确匹配的host,所以认证用户为 baiyang@baiyang@172.19.151.9
# mysql -h172.19.65.170 -ubaiyang -phahahehe -e "SELECT CURRENT_USER();" -P3308
+-----------------------+
| CURRENT_USER() |
+-----------------------+
| baiyang@172.19.151.9 |
+-----------------------+
以上,只要密码是正确的,就能连接的上数据库;若连接有问题,可以根据报错信息、MySQL用户登录验证方式来排查问题。
扫一扫
961
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
