明明密码没记错，却提示必须重置密码。这其实是MySQL密码过期策略在起作用。而背后更深层的原因，是网络安全等级保护（等保）的强制要求，今天我就一起探讨一下MySQL的validate_password插件（组件）。

很多数据库管理员或开发者都遇到过这样的窘境：登录MySQL系统时，突然弹出一行报错，直接被拒之门外：

ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing this statement

明明密码没记错，却提示必须重置密码。这其实是MySQL密码过期策略在起作用。而背后更深层的原因，是网络安全等级保护（等保）的强制要求：不管是等保二级还是三级，都明确规定数据库密码需具备足够复杂度、定期过期、禁止重用，以此防范暴力破解、密码泄露等安全风险。今天我们就来深入探讨一下MySQL的validate_password插件（组件）。

一、 如何使用validate_password

1. validate_password的作用

validate_password的核心作用非常明确：强制密码满足指定的复杂度要求，从根源上杜绝“123456”、“admin”这类弱密码。不过需要注意，在MySQL 5.7和MySQL 8.0中，它的使用方式存在显著差异，后文会进行具体的操作演示。

2.MySQL5.7安装启用插件

在MySQL 5.7中查询插件状态时，很多朋友容易遇到报错，这通常是因为混淆了版本差异。以下步骤可以作为参考：

-- 1. 安装插件（无需重启MySQL，立即生效）
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
-- 2. 查看插件状态
SELECT * FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'validate_password%';
-- 3. 永久启用（避免重启MySQL后插件失效，修改my.cnf配置）
[mysqld]
plugin-load-add=validate_password.so
validate_password=FORCE_PLUS_PERMANENT

安装前后的结果如下图所示：

开启后可以查到对应的参数。

验证方法很简单：尝试设置一个弱密码，如果出现报错，就说明插件已经生效。例如：

mysql> set password= PASSWORD('123456');
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
mysql>

3.MySQL8.0启用方法

到了MySQL 8.0，强制密码策略由validate_password组件提供。从MySQL 8.0.17版本开始，它通常作为组件（Component）进行安装和管理，而非传统的插件。当然，为了保持兼容性，旧的插件安装方式依然有效。

（1）兼容老版本的方式开启

开启方式与MySQL 5.7完全一致，例如：

mysql> INSTALL PLUGIN validate_password SONAME 'validate_password.so';
Query OK, 0 rows affected, 1 warning (0.00 sec)
mysql> SELECT * FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE '%password%';
+-----------------------+----------------+---------------+-------------------+---------------------+----------------------+------------------------+--------------------+--------------------------------+----------------+-------------+
| PLUGIN_NAME           | PLUGIN_VERSION | PLUGIN_STATUS | PLUGIN_TYPE       | PLUGIN_TYPE_VERSION | PLUGIN_LIBRARY       | PLUGIN_LIBRARY_VERSION | PLUGIN_AUTHOR      | PLUGIN_DESCRIPTION             | PLUGIN_LICENSE | LOAD_OPTION |
+-----------------------+----------------+---------------+-------------------+---------------------+----------------------+------------------------+--------------------+--------------------------------+----------------+-------------+
| mysql_native_password | 1.1            | ACTIVE        | AUTHENTICATION    | 2.1                 | NULL                 | NULL                   | Oracle Corporation | Native MySQL authentication    | GPL            | FORCE       |
| sha256_password       | 1.1            | ACTIVE        | AUTHENTICATION    | 2.1                 | NULL                 | NULL                   | Oracle Corporation | SHA256 password authentication | GPL            | FORCE       |
| caching_sha2_password | 1.0            | ACTIVE        | AUTHENTICATION    | 2.1                 | NULL                 | NULL                   | Oracle Corporation | Caching sha2 authentication    | GPL            | FORCE       |
| validate_password     | 1.1            | ACTIVE        | VALIDATE PASSWORD | 1.0                 | validate_password.so | 1.11                   | Oracle Corporation | check password strength        | GPL            | ON          |
+-----------------------+----------------+---------------+-------------------+---------------------+----------------------+------------------------+--------------------+--------------------------------+----------------+-------------+
4 rows in set (0.00 sec)
mysql> alter  user  app_user  identified by '123456';
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
mysql>

查看对应参数，结果如下：

mysql> SHOW GLOBAL  VARIABLES LIKE 'validate_password%';
+--------------------------------------+--------+
| Variable_name                        | Value  |
+--------------------------------------+--------+
| validate_password_check_user_name    | ON     |
| validate_password_dictionary_file    |        |
| validate_password_length             | 8      |
| validate_password_mixed_case_count   | 1      |
| validate_password_number_count       | 1      |
| validate_password_policy             | MEDIUM |
| validate_password_special_char_count | 1      |
+--------------------------------------+--------+
7 rows in set (0.01 sec)

（2）启用组件的方式

对于MySQL 8.0.17及以上版本，推荐使用组件安装方式。操作示例如下：

mysql> SELECT * FROM mysql.component;
Empty set (0.00 sec)
mysql> SELECT plugin_name, plugin_status
     -> FROM information_schema.plugins
     -> WHERE plugin_name = 'validate_password';
Empty set (0.00 sec)
mysql> INSTALL COMPONENT 'file://component_validate_password';
Query OK, 0 rows affected (0.00 sec)
mysql> SELECT * FROM mysql.component;
+--------------+--------------------+------------------------------------+
| component_id | component_group_id | component_urn                      |
+--------------+--------------------+------------------------------------+
|            1 |                  1 | file://component_validate_password |
+--------------+--------------------+------------------------------------+
1 row in set (0.00 sec)

此时，查看系统变量，会发现多出8个与密码验证相关的参数。

4.永久开启（推荐，重启后依然有效）

修改MySQL配置文件，在[mysqld]部分添加以下内容：

[mysqld]
# 加载组件
plugin-load-add=component_validate_password.so
# 或者对于传统插件方式：
# plugin-load-add = validate_password.so
# 设置默认策略等级 (可选，默认为 MEDIUM)
validate_password.policy=MEDIUM

注意：文件名后缀（.so对应Linux，.dll对应Windows）取决于操作系统。在某些发行版中，加载组件可能不需要指定文件名，只需写component_validate_password即可。

二、 配置策略

1. 配置密码策略强度

安装成功后，可以通过系统变量灵活调整策略的严格程度。validate_password.policy（或validate_password_policy）主要有三个级别：

修改策略的示例：

mysql> SET GLOBAL validate_password.policy=STRONG;
Query OK, 0 rows affected (0.00 sec)
mysql> SET GLOBAL validate_password.policy=LOW;
Query OK, 0 rows affected (0.00 sec)
mysql> SET GLOBAL validate_password.policy=MEDIUM;
Query OK, 0 rows affected (0.00 sec)

其他常用的配置参数还包括：

-- 最小密码长度 (默认 8)
SET GLOBAL validate_password.length = 8;
-- 必须包含的数字个数 (默认 1)
SET GLOBAL validate_password.number_count = 1;
-- 必须包含的大小写字母个数 (默认 1)
SET GLOBAL validate_password.mixed_case_count = 1;
-- 必须包含的特殊字符个数 (默认 1)
SET GLOBAL validate_password.special_char_count = 1;
-- 是否检查用户名与密码相同 (默认 ON)
SET GLOBAL validate_password.check_user_name = ON;

注：若要使上述配置永久生效，需要将对应的参数写入MySQL配置文件的[mysqld]段中，例如：validate_password_length=12。

2. 配置密码过期策略

密码过期功能并非validate_password插件提供，而是MySQL自带的内置机制。它既支持全局统一设置所有用户的密码有效期，也允许为单个用户进行个性化配置。下面结合两个真实使用场景，分享具体操作。

案例1：全局配置（所有用户通用）。

-- 所有用户密码90天过期（生产环境推荐配置，符合安全规范）
SET GLOBAL default_password_lifetime = 90;
-- 密码永不过期（仅测试环境可临时使用，生产环境不推荐）
SET GLOBAL default_password_lifetime = 0;

案例2：单用户个性化配置。

场景：为test用户单独设置60天密码有效期，而其他用户仍沿用全局90天的规则。

-- 单独设置test用户密码60天过期
ALTER USER 'test'@'%' PASSWORD EXPIRE INTERVAL 60 DAY;
-- 手动强制密码过期（比如员工离职，需立即让其账号密码失效）
ALTER USER 'test'@'%' PASSWORD EXPIRE;
-- 密码过期后登录报错，快速解决方法（登录后执行）
ALTER USER  'test'@'%'   IDENTIFIED BY 'Test_2026%NewPwd';

3. 密码过期的用户登录报错

如果用户的密码已过期，在登录时会收到如下错误提示：

[root@alidb ~]# mysql -utest -p -h 127.0.0.1 -P 3307
Enter password:
ERROR 1862 (HY000): Your password has expired. To log in you must change it using a client that supports expired passwords.

三、 卸载插件

1. 卸载传统插件

如果当初是通过插件方式配置的，则使用如下方式卸载。

-- Linux
UNINSTALL PLUGIN validate_password;
-- Windows (如果上面命令无效，有时需要指定，但通常只需名字)
UNINSTALL PLUGIN validate_password;

2. 卸载组件

对于MySQL 8.0.17+版本，如果使用的是组件安装方式，则按照如下方式卸载：

UNINSTALL COMPONENT 'file://component_validate_password';

注意：组件名称通常包含file://前缀。如果报错，可以尝试去掉前缀或直接使用组件名，但在最新官方文档中，标准写法是带前缀的。

3. 卸载后查看插件（组件）

卸载完成后，再次查看插件（组件）列表，会发现对应的条目已经消失。

对应的系统参数也随之消失。

四、等保要求

实际上，部署validate_password插件，正是为了满足等保对MySQL密码的核心要求。这也是我们配置插件和策略的根本出发点，确保工作有的放矢。等保的主要要求包括：

密码复杂度：需包含大小写字母、数字、特殊字符，长度不低于8位（等保三级建议不低于10位）。
密码过期：密码有效期不超过90天，到期必须强制修改，禁止永不过期（生产环境严格执行）。
密码重用：禁止重用最近5次以上的旧密码，且旧密码在180天内不可复用。

而validate_password插件，正是实现“密码复杂度校验”这一核心环节的工具。再配合MySQL内置的密码过期、重用策略，就能完美满足等保合规要求。

五、 结语

掌握本文介绍的插件用法和策略配置，既能解决登录报错、弱密码等实际问题，也能为顺利通过等保审计打下坚实基础。建议收藏本文，用到时直接对照操作即可，无需再反复查阅零散资料。