{{ item.name }}
{{ item.name }}

{{ it.name }}

{{ it.text }}

{{ it.name }}

{{ innerIt.name }}

{{ innerIt.text }}

{{news.time}}
{{news.title}}
故障分析 | Java 连接 MySQL 8.0 排错案例
2021-03-09发布 926浏览

关键字:MySQL数据库MySQL数据库安装MySQL数据库版本

在客户那边遇见过几次这样的问题,Java 连接 MySQL8.0 偶尔会报错:

java.sql.SQLNonTransientConnectionException: Public Key Retrieval is not allowed

。网上一搜这个报错,早有人踩过这个坑:


如果用户使用了 sha256_password 认证,密码在传输过程中必须使用 TLS 协议保护,但是如果 RSA 公钥不可用,可以使用服务器提供的公钥;可以在连接中通过 ServerRSAPublicKeyFile 指定服务器的 RSA 公钥,或者 AllowPublicKeyRetrieval=True 参数以允许客户端从服务器获取公钥;但是需要注意的是 AllowPublicKeyRetrieval=True 可能会导致恶意的代理通过中间人攻击(MITM)获取到明文密码,所以默认是关闭的,必须显式开启。

原始文档如下:

编辑搜图


JDBC 添加参数 AllowPublicKeyRetrieval=True 后确实解决了问题,但是注意前边说的“偶尔”两字,我遇见了大概三种情况,在这之前一点问题都没有,但一发生就会报错:

1.MySQL Server 重启了;

2.MySQL MGR 发生切换了;

3.DBA 对 MySQL Server 做了某些变更后。

那前面的解释就显得有点不够了,尤其是第 3 点,开发一定会觉得这是 MySQL 层面的问题或者 DBA 的问题,而不是他们对 MySQL 驱动了解不够。下面就为大家揭晓答案。


caching_sha2_password

MySQL8.0 默认使用密码加密插件为:caching_sha2_password,使用 sha256 算法对密码加密。而且在使用此插件时,MySQL Server 会在内存中缓存用户的认证信息,使已连接的用户的身份验证速度更快,文档描述:

编辑搜图


这个缓存的说法就很暧昧了,当然由于文档上没有更多描述,我们只能先做假设:

Java 程序通过驱动连接到 MySQL 时,如果 MySQl Server 有用户的验证缓存,则不需要额外配置 RSA 公钥即可连接成功;如果没有缓存也没有指定 RSA 公钥,则连接报错:Public Key Retrieval is not allowed。

有了假设,我们就要去论证,实际上论证的方法就是测试。


测试过程

测试代码:

编辑搜图


编译后运行,直接复现报错:

编辑搜图


接下来手工使用 mysql 客户端,用代码中的 user1 用户连接 MySQL 服务器,使其产生缓存(这个操作就是管理员创建了应用用户后,手工验证了应用用户是否可登录):

编辑搜图


然后再次运行 java 程序,将不再报错:

编辑搜图


然后重启数据库,再次运行程序触发报错:

编辑搜图


编辑搜图


再次手工连接,虽然程序恢复正常:

编辑搜图


编辑搜图


执行 

flush privileges;操作清空用户缓存,随后运行程序再次报错:

编辑搜图


编辑搜图


MGR发生切换的场景就很容易解释了,因为之前一直没有使用应用用户连接过新的 Primary 节点,所以也就没有产生过缓存,所以应用程序连接新的 Primary 节点会发生报错。


结论

一开始,在 MySQL Server 上创建应用用户后,手工使用 mysql 客户端对应用用户进行了验证,MySQL Server 缓存了应用用户的验证信息。应用程序的 JDBC 参数设置在没有指定 RSA 公钥和设置 AllowPublicKeyRetrieval=True 的情况下,连接 MySQL Server,因为 MySQL Server 有用户缓存,所以可以正常连接。

之后如果发生以下几种情况:

1.MySQL Server 重启了;

2.MySQL MGR 发生切换了;

3.DBA 对 MySQL Server 做了 

flush privileges;

会导致 MySQL Server 的用户缓存失效,应用程序连接 MySQL 异常:Public Key Retrieval is not allowed。


解决方案

以下方案选择一种即可:

1.应用程序指定 RSA 公钥;

2.应用程序设置 AllowPublicKeyRetrieval=True;

3.MySQL Server 层修改用户的密码加密插件为 mysql_native_password。

关键字:MySQL数据库MySQL数据库安装MySQL数据库版本

上一篇
第23期:索引设计(组合索引不适用场景改造)
400-820-6580 13916131869
marketing@actionsky.com
上海市闵行区万源路2138号泓茂中心2号楼
产品详情
关系型数据库
AI数据库
数据库智能管理平台
数据库生态产品
行业案例
金融行业
新零售行业
制造业
通信行业
更多
公司动态
最新新闻
国产化信息
技术分享
关于我们
公司简介
公司分布
国家专利
资质认证
扫码关注公众号
© Copyright 2017, All rights reserved by: 上海爱可生信息技术股份有限公司 沪ICP备12003970号-1 | 法律声明 | 网站地图
沪公网安备 31010402003331号