MySQL中如何设置用户密码在指定天数后强制更换?

作者:袖梨 2026-07-04
能,但非自动强制:MySQL 8.0+ 的 PASSWORD EXPIRE 机制在用户下次登录且执行首条非SET语句时触发 ERROR 1820,强制其用 ALTER USER IDENTIFIED BY 重置密码,而非操作系统级弹窗或自动锁定。

MySQL 8.0+ 的 PASSWORD EXPIRE 机制是否真能自动强制改密?

不能。MySQL 自身不提供“到期自动锁定账户+弹窗提醒”这类操作系统级的密码过期干预能力。它只支持在创建或修改用户时,用 PASSWORD EXPIRE 指令设定密码有效期(单位:天),但到期后行为取决于客户端连接方式和服务器配置——默认是允许继续登录,只是每次登录会返回一条警告,且 SELECT 等操作仍可执行。

如何用 ALTER USER 设置密码 90 天后过期?

必须使用 MySQL 8.0.19 或更高版本,并确保用户认证插件支持密码过期(如 caching_sha2_password)。低版本(如 5.7)或使用 mysql_native_password 插件时,PASSWORD EXPIRE 会被忽略或报错。

  • 设置用户 app_user 密码 90 天后过期:
    ALTER USER 'app_user'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;
  • 立即过期(下次登录必须改密):
    ALTER USER 'app_user'@'%' PASSWORD EXPIRE NOW;
  • 取消过期策略:
    ALTER USER 'app_user'@'%' PASSWORD EXPIRE NEVER;

用户登录后提示 “Your password has expired” 却无法改密?

这是最常踩的坑:MySQL 要求用户在密码过期后首次登录时,必须用 SET PASSWORDALTER USER 修改密码,否则后续所有语句(包括 SELECT 1)都会报错 ERROR 1862 (HY000): Your password has expired。但前提是客户端未启用 --skip-password 或连接时未指定新密码。

  • 命令行登录后立即改密:
    SET PASSWORD = 'NewPass@123';
  • 如果权限不足,需由管理员重置:
    ALTER USER 'app_user'@'%' IDENTIFIED BY 'NewPass@123' PASSWORD EXPIRE INTERVAL 90 DAY;
  • 应用连接池(如 HikariCP、Druid)需配置 allowPublicKeyRetrieval=true&serverTimezone=UTC,否则可能因 RSA 密钥交换失败而卡在改密环节

为什么 SHOW CREATE USER 看不到 PASSWORD EXPIRE 设置?

SHOW CREATE USER 默认不显示密码过期策略,哪怕已生效。要确认是否设置成功,得查 mysql.user 表的 password_expiredpassword_last_changed 字段:

SELECT user, host, password_expired, password_last_changed FROM mysql.user WHERE user = 'app_user';

注意:password_expired 是枚举值('N'/'Y'),仅反映当前是否已过期;真正控制策略的是 password_lifetime(全局变量)或用户级显式设置,而该字段不出现在 SHOW CREATE USER 输出中。

真正难处理的是跨服务协同:MySQL 不通知应用层“该改密了”,也不触发回调。靠人工盯日志或写脚本轮询 mysql.user 表,才是实际落地时绕不开的活儿。

相关文章

精彩推荐