探索MySQL源代码-客户端连接过程和用户认证体系

运维和开发 2011-07-16 21:15:40 累计浏览 3,390 次

本机暂存

内容概览

这篇讲的是MySQL如何一步步建立起与客户端的连接，并完成身份验证的。作者没有停留在概念讲解，而是直接从源码层面切入，把从TCP三次握手后开始的MySQL协议握手、到客户端发送用户名密码、再到服务端验证的全过程，像拆解机器一样展现了出来。

文章的核心思路是把整个过程分为两个清晰的阶段：首先是基于协议的连接建立与协商，这部分涉及协议版本、字符集等基础信息的交换；其次是更为关键的身份验证阶段。作者着重分析了MySQL的验证插件架构，尤其是经典的`mysql_native_password`插件如何工作——它不是简单传输明文密码，而是采用了一套“挑战-响应”机制，客户端用密码和服务器发来的随机数运算出一个结果再发回去，服务器用同样的算法验算，从而避免了密码在网络上的直接暴露。

最巧妙的一点在于其插件化设计。认证并非写死在服务器核心代码里，而是通过插件动态加载。这意味着你可以轻松替换或增强验证方式（比如实现更复杂的策略），而无需修改服务器主体。作者通过源码细节，让我们看到这种设计带来的灵活性与可扩展性。理解这套机制，是深入掌握MySQL安全管理与扩展开发的重要一步。

本文从源代码角度详细解释使用mysql客户端连上MySQL的服务端的过程以及通过用户认证的过程。

用户在客户端键入

mysql -h a.b.c.d -u root -pxxxx

最终都会调用到mysql_real_connect(sql/client.c的1856行的宏CLI_MYSQL_REAL_CONNECT)，我们从这个函数出发。

先上图

发件人 MySQL

客户端发起socket连接，等待三次握手的通过。
三次握手通过之后，客户端进入client_safe_read阻塞，同时服务端从handle_connection_sockets函数的select处返回，获知有新的连接。
服务端创建线程（这里就不说thread cache了），然后开始对这个连接进行校验。
login_connection（sql/sql_connect.c）下的check_connection为的主校验函数。
check_connection首先回调用acl_check_host(sql/sql_acl.cc) 判断该ip是否能够连接。
acl_check_host依次查找2个对象来做判断：一个是动态数组acl_wild_hosts，另一个是hash表acl_check_hosts。

VOID(my_init_dynamic_array(&amp;acl_wild_hosts,sizeof(struct acl_host_and_ip), acl_users.elements,1));
VOID(hash_init(&amp;acl_check_hosts,system_charset_info,acl_users.elements,0,0, (hash_get_key) check_get_key,0,0));

这2个对象都是在mysqld启动的时候，通过init_check_host函数从mysq.users表里读出并加载的。
其中acl_wild_hosts用于存放有统配符的主机，acl_check_hosts存放具体的主机。

通过acl_check_host校验后，来到create_random_string(sql/sql_connect.c)函数。这个函数随机的产生一个20字节的scramble串，用于接下来密码SHA1加密。

(gdb) p thd-&gt;scramble
$3 = "p}DwPf4kCJ+8vk5cuD3q

服务端通过net_write_command函数把这个scramble以及当前的服务端版本发送给客户端，然后自己阻塞在my_net_read里，等待客户端的命令，这里的阻塞有个最小握手时间MIN_HANDSHAKE_SIZE。
客户端从cli_safe_read阻塞中返回，获知版本和scramble。进行版本匹配后，对输入的密码进行sha1加密（加密的公司后面详细说明），然后再发送给服务端。
服务端从my_net_read返回来，拿到登录的用户名和密码。
来到check_user(sql/sql_connect.c)函数，其中的acl_getroot是对密码进行了校验，关键函数是check_scramble。下面详细说明密码比较过程，伪代码方便理解。

===客户端的 scrabmle======
password 来自于用户键入的密码
scramble 来自于create_random_string 产生的20字节的随机字符
reply 就是发送给服务端的加密密码

scramble(password, scramble)
{
        hash_stage1 = sha1(password) 

        hash_stage2 = sha1(hash_stage1)

        to = sha1(scramble, hash_stage2)

        reply = xor(to, hash_stage1)
}

===服务端的check_scramble =====
reply 来自于客户端发送的加密密码
scramble create_random_string 产生的随机字符
store_password 就是mysql.user 表的password的字段（password函数实际上进行了两次的sha1加密）

check_scramble(reply, scramble, store_password)
{
        to = sha1(scramble, store_password)

        my_hash_stage1 = xor(to, reply)

        return store_password == sha1(my_hash_stage1)
}

拿reply进行异或的逆运算得到sha1加密的密码，然后与数据库内的做比较。
关键点就是异或的特点 A XOR B XOR B = A

acl_getroot通过后，连接就通过了用户认证。
告知客户端认证正常，接下来的sql执行步骤可见我以前的博文

同分类推荐文章

使用deepseek进行Oracle恢复,引起重大故障（2026-06-22 10:56:00）
接手一个只差临门一脚的数据库恢复（2026-06-18 00:13:09）
我做了一个 AI 版的 StarRocks 升级风险扫描工具，直接帮我定位到一个风险（2026-06-15 01:00:00）

查看更多数据库文章 →

建议继续学习

用Hyer来进行网站的抓取（累计阅读 158,253）
MySQL数据库在实际应用一些方面的介绍（累计阅读 36,401）
WordPress插件开发 -- 在插件使用数据库存储数据（累计阅读 29,165）
Mysql监控指南（累计阅读 21,354）
由浅入深探究mysql索引结构原理、性能分析与优化（累计阅读 16,524）
在Apache2.2.XX下安装Mod-myvhost模块（累计阅读 13,060）
15个最好的免费开源电子商务平台（累计阅读 12,542）
浅谈MySQL索引背后的数据结构及算法（累计阅读 11,914）
整理了一份招PHP高级工程师的面试题（累计阅读 11,712）
深入浅出INNODB MVCC机制与原理（累计阅读 9,693）