MySQL 5.7+ 支持原生密码过期策略,可通过 PASSWORD EXPIRE 创建/修改用户时设定单个过期规则,或通过 default_password_lifetime 配置全局默认有效期,并支持查看状态与处理登录异常。
MySQL 从 5.7 版本开始原生支持账号密码过期策略,通过 PASSWORD EXPIRE 机制可强制用户定期修改密码,提升账户安全性。配置关键在于创建/修改用户时设定过期规则,并配合全局策略统一管理。
设置单个用户的密码过期时间
可在创建用户或修改用户时直接指定过期策略:
- 创建时强制首次登录修改密码:
CREATE USER 'user1'@'localhost' IDENTIFIED BY 'pass123' PASSWORD EXPIRE; - 创建时设定固定天数后过期(如90天):
CREATE USER 'user1'@'localhost' IDENTIFIED BY 'pass123' PASSWORD EXPIRE INTERVAL 90 DAY; - 对已有用户启用过期策略:
ALTER USER 'user1'@'localhost' PASSWORD EXPIRE INTERVAL 60 DAY; - 立即过期(下次登录必须改密):
ALTER USER 'user1'@'localhost' PASSWORD EXPIRE;
配置全局默认密码过期策略
通过系统变量 default_password_lifetime 统一控制新用户的默认有效期(单位:天):
- 永久有效(禁用自动过期):
SET PERSIST default_password_lifetime = 0; - 所有新用户默认90天过期:
SET PERSIST default_password_lifetime = 90; - 该设置会写入 mysqld-auto.cnf(需有 SUPER 权限),重启后仍生效;也可写入 my.cnf 配置文件中持久化:
[mysqld]
default_password_lifetime = 90
查看与验证账号过期状态
可通过系统表或命令快速确认当前策略和用户状态:
- 查全局策略:
SELECT @@default_password_lifetime; - 查指定用户过期时间及状态:
SELECT user, host, password_last_changed, password_lifetime, account_locked FROM mysql.user WHERE user = 'user1'; - 登录时若密码已过期,MySQL 会返回错误:
ERROR 1820 (HY000): You must SET PASSWORD before executing this statement,此时必须执行ALTER USER ... IDENTIFIED BY修改密码才能继续操作。
注意事项与常见问题
实际使用中需注意以下细节:
- 仅对使用 MySQL 原生认证(mysql_native_password)的用户生效;插件认证(如 caching_sha2_password)也支持,但需确保客户端兼容。
- 账号锁定(
ACCOUNT LOCK)与密码过期独立,可同时启用:ALTER USER 'user1'@'localhost' ACCOUNT LOCK PASSWORD EXPIRE; - 超级用户(如 root)同样受策略约束,建议为运维账号单独配置较长周期或设为 0(永久),避免误锁。
- 应用连接池需能处理“密码过期”异常并支持自动重置密码,否则可能引发服务中断。
