深入分析MySQL ERROR 1045 (28000)

23ee

   这几天在MySQL新建用户后，出现访问拒绝的问题，错误码为ERROR 1045(28000)。在网上搜索了很久，找到了很多解决办法，但很遗憾的是这么多办法没有一个能解决该问题。虽然出现的错误码28000很多人都遇到过，但原因也有所不同，有的是mysql.user表中没有信息，有的是root用户没有密码（那就不用密码登录），而使用mysql-5.6.19时，mysql.user有用户信息，root用户没有密码，采用的方法是root用户登录时输入空密码，登录成功。使用root用户创建测试用test，密码为test，语句如下：

• grant all onlogdb.* to test identified by ‘test’;  
  

        在命令行输入mysql  -u test –p，输入密码test，出现下面的错误信息，详细该错误信息很多人在使用MySQL时都遇到过。

• ERROR 1045 (28000):Access denied for user 'test'@'localhost' (using password: YES)  
  

        解决方法是用root用户再创建用户test，密码test，唯一不同的是指定test登录的主机为localhost，如下：

• grant all onlogdb.* to test@'localhost' identified by 'test';  
  

        再次使用test用户登录MySQL，成功，如下所示：

        使用root用户登录MySQL，查看user表中的用户信息如下，可以发现存在两个test用户，host的字段分别为%和localhost，就是前面创建的两个用户。

        在MySQL中%表示可以在任何主机上登录MySQL数据库，那为什么还需要明确创建登录主机为localhost的用户呢？这涉及到MySQL安装时的初始化用户，匿名用户以及连接验证策略等，下面进行深入的分析。
        在安装MySQL时，会默认初始化一些用户，比如root用户，以及host字段为localhost，user字段为空的用户。User字段为空的用户即为匿名用户，该用户的密码也为空，任何人都可以使用匿名用户登录MySQL数据库，但可以做的事情却是有限的，比如在命令行直接输入mysql登录，可以查看匿名用户对哪些数据库有权限：

\

        通过上面的图片可以发现，匿名用户仅对information_schema和test数据库有权限。而匿名用户又是如何影响其他用户登录，进而出现28000错误的呢？当试图连接MySQL数据库时，数据库根据提供的身份和密码决定是否接受连接请求，身份由两部分组成：用户名和客户端主机（即输入mysql命令的主机）。由于host字段中的%匹配任何主机或者host字段包含通配符，就可能出现多个匹配行，服务器必须决定匹配哪一个，解决方案如下：
  服务器将user表中的数据读入内存中，按照host和user字段对行进行排序。
  当客户端试图连接时，服务器查找已排序的行并使用第一个匹配客户端主机和用户名的行，user字段为空表示可以匹配任何用户。
  找到匹配行后，在验证密码是否一致，如果一致则登录成功。
        根据上面描述的规则，通过示例来演示为什么必须要创建test@localhost用户，才能在本地登录成功。对user表进行排序的结果如下图所示：


        当未创建test@localhost时，该表不包含第一行的记录。用户test登录时，则会匹配到第四行的记录：host为localhost，user为空，因为user为空可以匹配任何用户，再去验证密码不成功登录失败。或者不使用密码登录，还是匹配到第四行，但验证密码成功，然而匿名用户只对information_schema和test数据库有权限，使用其它数据库时也会失败，如下所示：


        总结一下，当出现28000错误时，首先查看user中是否有数据，是否存在匿名用户。若存在匿名用户则创建userName@localhost，或者也可以删除匿名用户。
更多0