关于安装运行MYSQL8.0简单使用及注意事项 On Docker Desktop & WSL2

背景介绍

MYSQL是业界非常流行的一款关系型数据库系统，关系数据库将数据保存在不同的表中，而不是将所有数据放在一个大仓库内，这样就增加了速度并提高了灵活性。MySQL所使用的SQL语言是用于访问数据库的最常用标准化语言。MySQL软件采用了双授权政策，分为社区版和商业版，由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，一般中小型网站的开发都选择MySQL作为网站数据库。

MySQL is the world's most popular open source database. With its proven performance, reliability and ease-of-use, MySQL has become the leading database choice for web-based applications, covering the entire range from personal projects and websites, via e-commerce and information services, all the way to high profile web properties including Facebook, Twitter, YouTube, Yahoo! and many more.

安装MYSQL

从docker官方镜像库，我们就能找到MYSQL镜像，分社区版（免费）和企业版（收费），我们这里就用社区版就行了。

社区版：https://hub.docker.com/_/mysql
企业版：https://hub.docker.com/_/mysql-enterprise-server

安装也很简单，比如以v8.0版本为例，切换到Ubuntu终端的Root用户执行如下命令即可

docker run --publish 3306:3306 --name mysql-ce-8.0 --restart always \

--volume /home/username/mysql/data:/var/lib/mysql \

-e MYSQL_ROOT_PASSWORD=yourrootpassword \

-d mysql:8.0 \

--character-set-server=utf8mb4 \

--collation-server=utf8mb4_unicode_ci

其中含义如下：

--publish 3306:3306代表容器内端口号和暴漏的端口号，第一个数字是对外暴漏的端口号，如果你本地有其他同类数据库，你可以修改其他值，第二个值是容器内MYSQL的默认监听端口3306，这个不建议修改。
--name mysql-ce-8.0是我们给即将运行的Docker实例取的昵称。
--restart always代表希望这个实例随着Docker Desktop一起重启，这样就自动做到开机自启。
--volume /home/username/mysql/data:/var/lib/mysql代表我们持久化MYSQL的目录绑定，这里你需要把第一个地址修改成你自己的地址，如果没有对应的文件夹的，请实现新建好：mkdir dirname
-e MYSQL_ROOT_PASSWORD=yourrootpassword是设置Root账号的预设密码，请将yourrootpassword部分替换成自己的密码。
-d mysql:8.0是指定镜像名字和版本号(Tag)，这里我们那Tag=8.0举例，还有其他Tag请参见Docker Hub详情页
--character-set-server=utf8mb4和--collation-server=utf8mb4_unicode_ci，然数据库所有表都采用utf8mb4字符

解决登录问题

进入MYSQL容器内部

docker exec -it mysql-ce-8.0 bash

进入MYSQL的ROOT账号

mysql -uroot -p

查看MYSQL所有数据库

show databases;

进入名为mysql的数据库

use mysql;

查询所有的用户

select host,user,plugin from user;

我们会看到所用用户的密码登录方式都已经是caching_sha2_password模式，这是MYSQL 8.0系列新引入的一种密码机制。

传统的MYSQL密码机制插件叫mysql_native_password，其采用的是一种不加盐的SHA1哈希算法。

(SHA1(SHA1(password)))

将密码用如上方式存储在mysql.user表中验证用户，该插件的一个优点是，它允许使用质询-响应机制进行身份验证，从而可以在未加密的通道上验证客户端的身份，而无需发送实际密码，但是缺点也很明显，很容易被暴力破击。

而新的caching_sha2_password密码算法呢，使用的是SHA256哈希算法，并且每个密码采用20字节的加盐，而且支持两种操作方式：

COMPLETE：要求客户端安全地发送实际密码（通过TLS连接或使用RSA密钥对）。服务器生成5000轮哈希，并与mysql.user中存储的值进行比较。
FAST：允许使用SHA2哈希的基于质询-响应的身份验证。高性能和安全性在同一时间。

通过使用不同轮回数的哈希将密码存储和身份验证脱钩。即使有人可以访问这两个密码，也无法在实际可行的时间内使用此信息来推断密码或获取密码的sha2哈希。蛮力破解8字符长的密码以及5000轮咸化哈希值将花费很长时间。

对比两种密码机制特点如下：

特性	`mysql_native_password`	`caching_sha2_password`
哈希算法	SHA1	SHA256
加盐	无	20字节
哈希轮数	2	5000
支持质询-响应认证	是	是（快速模式）
重新确定密码知识	没有	是（完成模式）

暂时修改Root用户的登录密码机制

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'root';

刷新让权限设置生效，让表中设置同步到内存中

FLUSH PRIVILEGES;

尝试连接并登录本地MYSQL

笔者使用的是Database .Net工具来连接这个MYSQL数据库。

由于MYSQL 8.0之后带来的相关安全限制，我们需要在连接时改两个地方。

切换到连接对话框属性页面，把AllowPublicKeyRetrieval设置成true

切换到连接对话框属性页面，把Ssl Mode设置成None

然后，再输入root的密码，进行连接，即可

By default, client libraries will not send the password unless a secure connection (using TLS or RSA public key encryption) can be established. To avoid a MITM attack, the RSA public key will not be sent in plain text. For Connector/NET, you can use TLS (SslMode=Required) to protect the RSA public key. With MySqlConnector, you also have the option of specifying the server’s public key directly, using the ServerRSAPublicKeyFile option, or allowing a potentially-insecure connection by using AllowPublicKeyRetrieval=true.

附录

https://mysqlconnector.net/troubleshooting/retrieval-public-key/