[[209808]]

首先Mysql的密碼權(quán)限存儲在mysql.user表中。我們不關(guān)注鑒權(quán)的部分，我們只關(guān)心身份認(rèn)證，識別身份，后面的權(quán)限控制是很簡單的事情。

在mysql.user表中有個authentication_string字段，存儲的是密碼的兩次sha1值。

你可以用下面的語句，驗證和mysql.user表中存儲的是一致的。

select sha1(UNHEX(sha1(‘password’)))

以上就是服務(wù)端關(guān)于密碼的存儲，接下來是認(rèn)證過程。

Mysql采用的是一種challenge/response(挑戰(zhàn)-應(yīng)答)的認(rèn)證模式。

***步：客戶端連接服務(wù)器

第二步：服務(wù)器發(fā)送隨機字符串challenge給客戶端

第三步：客戶端發(fā)送username+response給服務(wù)器

其中response=HEX(SHA1(password) ^ SHA1(challenge + SHA1(SHA1(password))))

第四步：服務(wù)器驗證response。

服務(wù)器存儲了SHA1(SHA1(password)))

所以可以計算得到SHA1(challenge + SHA1(SHA1(password))))

那么SHA1(password)=response^ SHA1(challenge + SHA1(SHA1(password))))

***再對SHA1(password)求一次sha1和存儲的數(shù)據(jù)進行比對，一致表示認(rèn)證成功。

我們分析它的安全性：

1. 抓包可以得到response，但是每次認(rèn)證服務(wù)器都會生成challenge，所以通過抓包無法構(gòu)造登陸信息。
2. 數(shù)據(jù)庫內(nèi)容被偷窺，數(shù)據(jù)庫記錄的是sha1(sha1(password))，不可以得到sha1(password)和明文密碼，所以無法構(gòu)造response，同樣無法登陸。

當(dāng)然如果被抓包同時數(shù)據(jù)庫泄密，就可以得到sha1(password)，就可以仿冒登陸了。

這種認(rèn)證方式其實是有一個框架標(biāo)準(zhǔn)的，叫做SASL(Simple Authentication and Security Layer )，專門用于C/S模式下的用戶名密碼認(rèn)證。原理就是服務(wù)器發(fā)送一個挑戰(zhàn)字challenge給客戶端，客戶端返回的response證明自己擁有密碼，從而完成認(rèn)證的過程，整個過程不需要密碼明文在網(wǎng)絡(luò)上傳輸。

基于SASL協(xié)議有很多實現(xiàn)，mysql的就是模仿的CRAM-MD5協(xié)議，再比如SCRAM-SHA1協(xié)議，是mongdb、PostgreSQL 使用的認(rèn)證方式。在JDK中專門有一套SASL的API，用于實現(xiàn)不同的SASL認(rèn)證方式。