MySQL密碼驗證實現原理 這篇文章可以幫助您深入理解MySQL是如何進行密碼驗證的。 首先,我們知道,用戶密碼是保存在mysql.user這個表的password列,並且是以hash值的形式加密保存的。 www.2cto.com 整個驗證過程如下:當客戶端請求連接時, 1.服務器端會隨機生成一個random string發送給客戶端; 2.客戶端收到random string後,進行hash加密 第一步,將密碼hash,得到hash值hash_stage1; eg.hash_stage1=sha1("password"); 第二步,二次hash,得到hash_stage2; eg. hash_stage2=sha1(hash_stage1); 第三步,將密碼二次hash得到的值與random string進行hash,得到hash_stage3; eg. hash_stage3=sha1("random string",hash_stage2); 第四步,異或處理准備發送給服務器端,得到reply=xor(hash_stage1,hash_stage3); 最後,將reply的值發送給服務器端。 www.2cto.com 3.服務器端收到reply後同樣進行hash運算 第一步,將保存的hash形式的密碼hashpassword與random string進行hash,得到server_hash_stage1=sha1("random string","hashpassword"); 第二步,將客戶端發送的reply與剛才得到的hash值進行異或運算,得到xor_value; eg. xor_value=xor(reply,server_hash_stage1); 第三步,將得到的異或值進行hash,得到server_hash_stage2; eg. server_hash_stage2=sha1(server_hash_stage1); 第四步,驗證,將最後得到的hash值server_hash_stage2與保存的密碼hashpassword進行比較。eg. server_hash_stage2==hashpassword,相等則驗證通過。 作者 sissiyinxi
