MySQL 8.0+原生支持密码过期策略,可通过ALTER USER设置账户级过期(立即、定时或永不过期),或通过default_password_lifetime配置全局默认有效期,并需结合validate_password组件强化密码强度校验。
MySQL 8.0 及以上版本原生支持密码过期策略,可通过 ALTER USER 或用户创建时直接设定,核心是控制 PASSWORD EXPIRE 属性和全局/账户级策略。
设置单个账户密码强制过期
适用于高权限或临时账号,到期后首次登录必须修改密码:
-
ALTER USER 'admin'@'localhost' PASSWORD EXPIRE;—— 立即过期 -
ALTER USER 'dev'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;—— 90天后自动过期 -
ALTER USER 'backup'@'10.0.2.%' PASSWORD EXPIRE NEVER;—— 取消过期(谨慎使用)
配置全局默认密码有效期
影响后续新建账户(除非显式覆盖),需有 SUPER 或 SYSTEM_VARIABLES_ADMIN 权限:
- 查看当前设置:
SELECT @@default_password_lifetime;(默认值为 0,表示永不过期) - 设为180天:
SET PERSIST default_password_lifetime = 180; - 永久生效需写入配置文件(
my.cnf):
[mysqld]
default_password_lifetime = 180
检查与验证密码状态
确认策略是否生效,避免误配导致业务中断:
- 查指定用户过期时间:
SELECT user, host, password_last_changed, password_expired FROM mysql.user WHERE user = 'app_user'; - 登录后若提示
Your password has expired...,说明策略已触发,必须执行ALTER USER ... IDENTIFIED BY 'newpass'; - 注意:仅对启用认证插件(如
caching_sha2_password)的账户有效;旧版mysql_native_password在某些版本中可能不完全兼容
配合密码强度策略使用
单独设过期不够,建议同步开启密码复杂度校验:
- 启用组件:
INSTALL COMPONENT "file://component_validate_password"; - 设置规则:
SET PERSIST validate_password.policy = MEDIUM;(要求大小写字母+数字+特殊字符) - 这样密码重置时也会被强度规则拦截,防止用户设弱密码“应付”过期要求
