mysql如何设置密码过期策略_配置default_password_life
来源:互联网 2026-04-20 18:22:04MySQL密码过期策略:从全局变量到用户级管控的实战指南 首先需要明确一个核心概念:default_password_lifetime 是 MySQL 5.7.4 及以上版本中,用于控制新建用户默认密码有效期的全局变量,其单位是天。但该变量有一个关键限制——它仅对新创建的用户生效,对数据库中已存在的
MySQL密码过期策略:从全局变量到用户级管控的实战指南
首先需要明确一个核心概念:default_password_lifetime 是 MySQL 5.7.4 及以上版本中,用于控制新建用户默认密码有效期的全局变量,其单位是天。但该变量有一个关键限制——它仅对新创建的用户生效,对数据库中已存在的用户没有任何影响。若要使现有用户的密码过期,必须使用 ALTER USER 语句进行显式设置。
长期稳定更新的攒劲资源: >>>点此立即查看<<<
default_password_lifetime 的定义与常见误区
default_password_lifetime 是 MySQL 5.7.4 版本后引入的全局系统变量,用于设定新账户的默认密码有效期。然而,其最主要的特性,也常成为运维中的误区:此变量仅作用于“新建用户”,对数据库中已有的用户完全无效。
一个典型场景是:管理员执行了 SET GLOBAL default_password_lifetime = 90; 并提示成功,但随后发现现有用户登录时一切正常,既无强制修改密码提示,也无过期迹象。问题的根源在于该变量的设计初衷就是管理“新生”用户,而非“存量”用户。
- 要真正落实密码策略,必须结合
CREATE USER或ALTER USER命令,为每个用户进行显式配置。 - 从 MySQL 8.0.19 开始,此变量的默认值从 0(代表永不过期)调整为 360(即360天),但此变更同样仅适用于之后新建的用户。
- 关于取值:若设置为 0,表示该用户密码永不过期;若设置为 NULL,则表示该用户继承全局的
default_password_lifetime设置。
为现有用户设置密码过期的方法(ALTER USER 详解)
那么,如何为数据库中的“存量”用户设置密码过期策略呢?答案是无法通过修改全局变量一劳永逸,必须使用 ALTER USER 命令进行显式指定。这是目前最可靠的方法。
该方法在以下场景中尤为实用:运维团队进行批量账号安全加固时、为满足合规审计要求需定期更换密码时,或在测试环境中模拟密码过期流程时。
ALTER USER 'app_user'@'%' PASSWORD EXPIRE;—— 此命令效果最直接,立即使密码过期,用户下次登录时必须更改密码。ALTER USER 'app_user'@'%' PASSWORD EXPIRE INTERVAL 180 DAY;—— 此命令相对温和,设定密码在180天后过期。ALTER USER 'app_user'@'%' PASSWORD EXPIRE NEVER;—— 此命令用于取消该用户的密码过期策略。需特别注意,取消过期的关键字是NEVER,而非DEFAULT。- 执行这些命令后无需重启MySQL服务,会立即生效。但需注意,它只影响用户下一次的认证过程,当前已建立的连接不受影响。
如何查看用户的密码过期状态及剩余天数
设置完成后,如何检查效果?MySQL并未提供类似“days_until_expire”这样直观的字段来直接查看密码剩余天数。但可以通过查询 mysql.user 系统表,或使用 SHOW CREATE USER 命令来推断当前状态。
判断的关键在于 password_expired 和 password_last_changed 这两个字段。
- 最直接的查询语句:
SELECT user, host, password_expired, password_last_changed FROM mysql.user WHERE user = 'app_user'; - 查看用户创建语句:
SHOW CREATE USER 'app_user'@'%';—— 若输出结果中包含PASSWORD EXPIRE或PASSWORD EXPIRE INTERVAL子句,则说明已配置过期策略。 - 需注意一个细节:
password_last_changed字段记录的是UTC时间。如需计算剩余天数,需手动结合default_password_lifetime的值进行计算,因为MySQL本身不提供自动计算剩余天数的功能。 - 此外,需注意概念区分。MySQL 8.0.19+ 版本引入了
password_reuse_history(密码重用历史)和password_reuse_time(密码重用时间)等策略,它们管理的是密码能否重复使用,与密码过期是两回事。
密码过期策略在主从复制与集群环境中的行为差异
在主从复制或集群架构环境中,密码过期策略的行为存在一些差异。密码过期信息属于用户元数据的一部分,理论上会通过DDL语句同步到从库,但在同步时机和权限处理上,存在一些需要注意的细节。
理解这些差异,对于在高可用集群中统一管理账号生命周期、避免出现主库密码已过期但从库仍可登录的情况至关重要。
ALTER USER ... PASSWORD EXPIRE是一条标准的DDL语句,它会被写入binlog,从而在从库回放时同样生效。- 但是,若从库设置了
read_only=ON(只读模式),且执行操作的用户在从库上没有SUPER权限,那么此ALTER USER命令在从库回放时将报错:ERROR 1290 (HY000): The MySQL server is running with the --read-only option so it cannot execute this statement。 - 解决方案通常有两种:一是临时关闭从库的
read_only(通常不推荐,存在安全风险);二是在拥有相应权限的情况下,手动在从库上再次执行相同的ALTER USER命令。 - 还需了解的是,如ProxySQL、MHA这类中间件,本身并不感知MySQL的密码过期逻辑。因此,它们既不会拦截过期连接,也不会给出相关提示,密码过期的触发完全依赖于客户端直连MySQL时的认证过程。
最后,分享一个实战中容易忽略的要点。真正的难点往往不在于设置参数,而在于深刻理解两个机制:第一,default_password_lifetime 对现有用户完全无效;第二,password_last_changed 这个时间戳不会自动刷新。例如,若用户使用 SET PASSWORD 命令修改密码,此字段不会更新。只有通过 ALTER USER ... IDENTIFIED BY 或特定的认证插件触发,它才会被刷新。这一点在测试时特别容易遗漏,务必注意。
侠游戏发布此文仅为了传递信息,不代表侠游戏网站认同其观点或证实其描述
