mysql如何配置账号过期策略_mysql账号生命周期管理

MySQL 5.7+ 支持原生密码过期策略，可通过 PASSWORD EXPIRE 创建/修改用户时设定单个过期规则，或通过 default_password_lifetime 配置全局默认有效期，并支持查看状态与处理登录异常。

MySQL 从 5.7 版本开始原生支持账号密码过期策略，通过 PASSWORD EXPIRE 机制可强制用户定期修改密码，提升账户安全性。配置关键在于创建/修改用户时设定过期规则，并配合全局策略统一管理。

设置单个用户的密码过期时间

可在创建用户或修改用户时直接指定过期策略：

• 创建时强制首次登录修改密码：
  CREATE USER 'user1'@'localhost' IDENTIFIED BY 'pass123' PASSWORD EXPIRE;
• 创建时设定固定天数后过期（如90天）：
  CREATE USER 'user1'@'localhost' IDENTIFIED BY 'pass123' PASSWORD EXPIRE INTERVAL 90 DAY;
• 对已有用户启用过期策略：
  ALTER USER 'user1'@'localhost' PASSWORD EXPIRE INTERVAL 60 DAY;
• 立即过期（下次登录必须改密）：
  ALTER USER 'user1'@'localhost' PASSWORD EXPIRE;

配置全局默认密码过期策略

通过系统变量 default_password_lifetime 统一控制新用户的默认有效期（单位：天）：

Voicv

克隆你的声音，就像Ctrl+C, Ctrl+V一样

165

查看详情

• 永久有效（禁用自动过期）：
  SET PERSIST default_password_lifetime = 0;
• 所有新用户默认90天过期：
  SET PERSIST default_password_lifetime = 90;
• 该设置会写入 mysqld-auto.cnf（需有 SUPER 权限），重启后仍生效；也可写入 my.cnf 配置文件中持久化：
  [mysqld]
  default_password_lifetime = 90

查看与验证账号过期状态

可通过系统表或命令快速确认当前策略和用户状态：

• 查全局策略：
  SELECT @@default_password_lifetime;
• 查指定用户过期时间及状态：
  SELECT user, host, password_last_changed, password_lifetime, account_locked FROM mysql.user WHERE user = 'user1';
• 登录时若密码已过期，MySQL 会返回错误：
  ERROR 1820 (HY000): You must SET PASSWORD before executing this statement，此时必须执行 ALTER USER ... IDENTIFIED BY 修改密码才能继续操作。

注意事项与常见问题

实际使用中需注意以下细节：

• 仅对使用 MySQL 原生认证（mysql_native_password）的用户生效；插件认证（如 caching_sha2_password）也支持，但需确保客户端兼容。
• 账号锁定（ACCOUNT LOCK）与密码过期独立，可同时启用：
  ALTER USER 'user1'@'localhost' ACCOUNT LOCK PASSWORD EXPIRE;
• 超级用户（如 root）同样受策略约束，建议为运维账号单独配置较长周期或设为 0（永久），避免误锁。
• 应用连接池需能处理“密码过期”异常并支持自动重置密码，否则可能引发服务中断。

以上就是mysql如何配置账号过期策略_mysql账号生命周期管理的详细内容，更多请关注php中文网其它相关文章！