在MySQL中，用户密码的管理是数据库安全的核心环节，涉及 密码设置、修改、重置、策略配置及过期管理。

1. 密码设置与初始化

创建用户时设置密码

CREATE USER 'username'@'host' IDENTIFIED BY 'StrongPassword!123';

• 密码复杂度要求（默认启用validate_password插件）：
  • 长度≥8位，包含大写字母、小写字母、数字、特殊符号（如!@#$%^&*）。
  • 避免使用常见密码（如123456、password）。

指定认证插件（兼容旧客户端）

-- MySQL 8.0+默认使用caching_sha2_password
CREATE USER 'legacy_user'@'host' 
IDENTIFIED WITH mysql_native_password BY 'OldPassword123';

2. 密码修改与重置

修改自身密码

ALTER USER CURRENT_USER() IDENTIFIED BY 'NewStrongPassword!456';

• 无需原密码（需已登录MySQL会话）。

管理员重置用户密码

ALTER USER 'username'@'host' IDENTIFIED BY 'NewPassword!789';

• 示例：重置dev_user的密码

  ALTER USER 'dev_user'@'192.168.1.%' IDENTIFIED BY 'DevP@ss!2025';
  

忘记root密码的应急重置

1. 停止MySQL服务：

   sudo systemctl stop mysqld
   

2. 启动安全模式（跳过权限验证）：

   sudo mysqld_safe --skip-grant-tables --skip-networking & 
   

3. 登录并重置密码：

   FLUSH PRIVILEGES;
   ALTER USER 'root'@'localhost' IDENTIFIED BY 'NewRootPassword!';
   

4. 恢复服务：

   sudo systemctl restart mysqld
   

3. 密码策略与验证

启用密码复杂度检查

• 查看当前策略：

  SHOW VARIABLES LIKE 'validate_password%';
  

• 调整策略（如降低强度要求）：

  SET GLOBAL validate_password.policy = LOW;  -- 允许简单密码
  SET GLOBAL validate_password.length = 6;    -- 最小长度设为6
  

密码过期策略

• 设置密码有效期（如90天后过期）：

  ALTER USER 'username'@'host' 
  PASSWORD EXPIRE INTERVAL 90 DAY;
  

• 强制用户下次登录时修改密码：

  ALTER USER 'username'@'host' PASSWORD EXPIRE;
  

密码历史记录

• 禁止重复使用最近N个密码：

  SET GLOBAL password_history = 6;  -- 不能使用最近6次旧密码
  SET GLOBAL password_reuse_interval = 365;  -- 一年内不能重复
  

4. 密码安全实践

避免明文密码泄露

• 不在命令中直接写密码（如-p密码），易被历史记录或监控捕获。
• 使用配置文件存储凭据（如~/.my.cnf）：

  [client]
  user = admin
  password = Secur3P@ss!
  host = localhost
  

  • 设置文件权限：

    chmod 600 ~/.my.cnf
    

限制用户权限

• 遵循最小权限原则：

  GRANT SELECT, INSERT ON mydb.orders TO 'readonly_user'@'%';
  

• 撤销不必要权限：

  REVOKE DROP ON *.* FROM 'dev_user'@'192.168.1.%';
  

定期审计与监控

• 检查用户权限：

  SHOW GRANTS FOR 'username'@'host';
  

• 监控异常登录：
  • 启用MySQL审计日志（需配置audit_log插件）。
  • 使用mysql.user表检查max_question_per_hour等连接限制。

5. 常见问题与解决方案

问题1：密码不符合策略（ERROR 1819）

• 原因：密码未达到复杂度要求（如长度、字符类型）。
• 解决：
  • 使用强密码生成器（如openssl rand -base64 12）。
  • 临时降低策略（如SET GLOBAL validate_password.policy = LOW;）。

问题2：认证插件不兼容（ERROR 1227）

• 原因：客户端不支持caching_sha2_password（如旧版PHP、Python驱动）。
• 解决：
  • 修改用户认证插件：

    ALTER USER 'username'@'host' 
    IDENTIFIED WITH mysql_native_password BY 'OldPassword123';
    

  • 更新客户端驱动至支持MySQL 8.0的版本。

问题3：密码过期导致无法登录

• 原因：密码超过有效期且未修改。
• 解决：
  • 管理员重置密码（见上文）。
  • 用户登录后执行：

    SET PASSWORD = 'NewPassword!';  -- 修改自身密码
    

6. 版本差异说明

• MySQL 5.7与8.0区别：
  • 5.7默认使用mysql_native_password，8.0改为caching_sha2_password（需客户端支持）。
  • 8.0中密码策略更严格（默认启用validate_password），且GRANT与CREATE USER分离。

通过以上步骤，您可以系统化地管理MySQL用户密码，确保数据库安全且符合最佳实践。如有特定场景需求（如自动化脚本、高可用集群密码管理），可进一步探讨细节。