如何在外部为 MySQL 创建密码哈希？

Question

我以前可以通过两次 sha1 运行我的密码来创建与 MySQL 兼容的密码，但似乎这在 MySQL 8 中不起作用。

MySQL 现在似乎在使用这些密码插件。因此语法是（在 JS 中）：

const createUserSql = `CREATE USER ${db.escapeValue(agency.login)} IDENTIFIED WITH mysql_native_password BY ${db.escapeValue(passwordHash)};`;

我想在 Node.js 中创建适用于 MySQL 的密码。我知道我可以只使用纯文本密码并让 MySQL 对其进行哈希处理，但我正在将此 SQL 打印到终端并且我不希望密码可见，所以我想对它们进行预哈希处理。

什么算法适用于 MySQL 8？我愿意使用任何内置的密码插件。

sha256_password 听起来不错，但我不认为它是一个直接的 sha256 哈希，听起来它内置了盐，所以我不确定如何在 Node.js 中创建一个。

---

MySQL PASSWORD() 函数也消失了。我真的不想用SELECT PASSWORD(:plainTextPass) 来散列我的密码，但现在这甚至不是一个选择。

Answer 1

致在搜索信息时碰巧发现此内容的其他人：

我们正在将 MySQL 5.0 安装先升级到 5.7，然后再升级到 8.0。我们依赖mysql_native_password 身份验证插件，因为这是 Ansible 目前唯一支持的插件，而且我们所有的旧用户帐户都具有该方案的哈希值。我们希望我们的 Ansible 任务为 mysql_user 模块提供预制哈希，包括在我们到达那里后的 8.0 时代。

经过一番挖掘，我找到了这篇博文：

https://blog.pythian.com/hashing-algorithm-in-mysql-password-2/

PASSWORD() 函数在 MySQL 8 中消失了，但看起来这会返回完全相同的值：

SELECT CONCAT('*', UPPER(SHA1(UNHEX(SHA1('the_password')))));

Answer 2

密码哈希不再仅基于明文计算。所以密码（）函数是不可能实现的。顺便说一句，从 5.5 开始就是这样：只需查看 old_passwords 系统变量。 从 8.0 开始，我们决定让身份验证插件进行哈希处理，并且我们向身份验证插件 API 添加了新方法。 理论上我可以创建一个新的密码函数，它需要额外的参数（身份验证方法、用户名、明文密码等）并调用相关的插件。

但无论如何，所有结果都存储在 mysql.user.authentication_string 中。 并且始终可以通过 CREATE USER ... IDENTIFIED WITH ... AS ... 语法传递回 MySQL。

因此，您需要的解决方法是执行 CREATE USER，然后执行 SHOW CREATE USER（最终 DROP USER）。

如果您仍然想恢复 PASSWORD 功能的变体，请在 bugs.mysql.com 中提交功能请求。 仅供参考，我们也接受代码贡献:)

使用的散列本身也不是火箭科学。我相信对于 8.0 的新默认身份验证方法 (caching_sha256)，它在此处定义：https://dev.mysql.com/doc/dev/mysql-server/latest/page_caching_sha2_authentication_exchanges.html#sect_caching_sha2_definition

因此，如果您不想往返于服务器，可以使用上述定义。

Answer 3

不确定我是否理解问题所在。 MySQL 将使用其中一个身份验证插件对您提供的任何内容进行哈希处理（它在幕后实现了一些特定的哈希策略）。

如果您想在应用程序级别执行额外的哈希，这取决于您，但只要应用程序始终考虑额外的哈希轮次，这应该不是问题。

您可能需要担心的是确保您使用的客户端支持该身份验证插件。

举个例子，Node.js 的两个最流行的社区驱动mysqldrivers（我相信这是你的环境）都没有支持默认的身份验证插件 - caching_sha2_password - MySQL 使用8.0（更多细节在answer）。

但是连接mysql_native_password 帐户（这似乎是您的情况）应该不是问题。