MySQL用户无法登陆问题

时间:2022-10-19 22:29:12

  安装完MySQL后,我们通常添加拥有相应权限的普通用户用来访问数据库。在使用普通用户(假设为tom)本地登录数据库的时候,经常会出现无法登录的情况,但是从其他的mysql客户端却可以登录。在本地使用tom用户不输入密码可以登陆成功。

  登陆成功后执行如下命令

  SELECT USER(), CURRENT_USER();

+-------------------------+-----------------------+
     | USER()                        | CURRENT_USER()  |
     +-------------------------+-----------------------+
     | tom@localhost           | @localhost                |
     +-------------------------+-----------------------+

> USER()函数返回你在客户端登陆时指定的用户名和主机名
> CURRENT_USER()函数返回的是MySQL使用授权表中的哪个用户来认证你的登录请求

  上述结果表明使用'tom'@'localhost'这个账户登录数据库(因为在本地登陆时没指定主机,默认是以localhost登录),但是数据库使用的是''@'localhost'这个账户来进行登录认证,而''@'localhost'这个匿名用户是没有密码的,因此输入空密码登录成功。但是登录后,所对应的用户的匿名用户。

  一般在MySQL在安装完毕后,使用mysql_install_db这个脚本生成授权表,会默认创建''@'localhost'这个匿名用户。正是因为这个匿名用户,影响了其他用户从本地登录的认证。

MySQL是如何进行用户身份认证呢?

一、当用户从客户端请求登陆时,MySQL将授权表中的条目与客户端所提供的条目进行比较,包括用户的用户名,密码和主机。授权表中的Host字段是可以使用通配符作为模式进行匹配的,如test.example.com, %.example.com, %.com和%都可以匹配test.example.com这个主机。授权表中的User字段不允许使用模式匹配,但是可以有一个空字符的用户名代表匿名用户,并且空字符串可以匹配所有的用户名,就像通配符一样。 当user表中的Host和User有多个值可以匹配客户端提供的主机和用户名时,MySQL将user表读入内存,并且按照一定规则排序,按照排序规则读取到的第一个匹配客户端用户名和主机名的条目对客户端进行身份验证。

二、排序规则:对于Host字段,按照匹配的精确程度进行排序,越精确的排序越前,例如当匹配test.example.com这个主机时, %.example.com比%.com更精确,而test.example.com比%.example.com更精确。对于User字段,非空的字符串用户名比空字符串匹配的用户名排序更靠前。 User和Host字段都有多个匹配值,MySQL使用主机名排序最前的条目,在主机名字段相同时再选取用户名排序更前的条目。因此,如果User和Host字段都有多个匹配值,主机名最精确匹配的条目被用户对用户进行认证。

mysql> select host,user from mysql.user;

+--------------------------+-------+

| host                                   | user  |

+--------------------------+-------+

| %                                       | tom   |

| 127.0.0.1                          | root   |

| ::1                                      | root   |

| localhost                           | root   |

| localhost                           |          |

| promote.cache-dns.local |         |

| promote.cache-dns.local | root  |

+---------------------------+-------+

根据上面的匹配规则以及用户查询结果:

  使用tom在本机登录数据库时,不指定-h参数默认为localhost主机登录,而在MySQL中有两个匹配的条目:'tom'@'%'  和 ''@'localhost'

(匿名用户能够匹配的原因上面说过,空字符串可以匹配所有的用户名),根据MySQL认证时的排序规则,第一个条目的用户名排序更前,第二个条目的主机名更精确排序更前。而MySQL会优先使用主机名排序第一的条目进行身份认证,因此''@'localhost'被用户对客户端进行认证。所以只有使用匿名用户的空密码才能登录进数据库。

解决的方法:删除匿名用户(仅仅为了安全也有这个必要)

为什么root用户不会受影响,而只有普通用户不能从本地登录?

因为mysql_install_db脚本会在授权表中生成'root'@'localhost'这个账户。同样的,使用root登录MySQL 时,'root'@'localhost'和''@'localhost'都能匹配登录的账户,但是根据排序规则,主机名相同,而用户名非空字符串优先,因此'root'@'localhost'这个条目的排序更靠前。使用root本地登录是不会被匿名用户遮盖。

本文转载自http://www.linuxidc.com/Linux/2015-03/115164.htm,仅作学习记录以备查阅,稍作整理。