一、问题现象
数据库升级到 MySQL 8.4.9 版本后,使用 DBeaver 工具连接数据库时,弹出连接错误提示:Public Key Retrieval is not allowed。连接配置信息如下:
连接地址:jdbc:mysql://192.*.*.20:3306/test
端口:3306
用户名:root
认证方式:Database Native输入正确密码后测试连接,仍直接报错,无法建立数据库连接。
二、报错背景与根本原因
(一)背景:MySQL 8.4.9 安全策略升级
MySQL 8.0 版本起,为应对日益严峻的网络安全威胁(如暴力破解、彩虹表攻击、中间人攻击等),逐步强化密码认证机制。8.4.9 版本作为当前稳定版,默认认证插件从传统的 mysql_native_password 更换为 caching_sha2_password。旧插件 mysql_native_password 安全性低,且已被 NIST 建议弃用;而 caching_sha2_password 安全性高,是 MySQL 官方推荐的认证方案。
(二)根本原因
caching_sha2_password 插件要求客户端通过SSL/TLS 安全连接或获取服务器 RSA 公钥完成密码加密传输。但 DBeaver 等数据库管理工具的 JDBC 驱动默认配置中,allowPublicKeyRetrieval(允许获取公钥)参数为 FALSE,未开启公钥获取权限,也未默认启用 SSL 连接,导致连接时直接被拒绝,抛出 “Public Key Retrieval is not allowed” 错误。
三、解决方法
步骤 1:打开 DBeaver 的连接配置
找到你连接 MySQL 8.4.9 的连接 → 右键 → 编辑连接(Edit Connection)
步骤 2:进入【驱动属性】Driver properties
找到:
allowPublicKeyRetrieval,把它的值从 FALSE 改成 TRUE
图片
步骤 3:测试连接 → 成功!
四、如果找不到 allowPublicKeyRetrieval
就在 连接 URL 里手动加参数:
你的连接 URL 改成:
jdbc:mysql://localhost:3306/你的库名?allowPublicKeyRetrieval=true
加的关键参数就是:
allowPublicKeyRetrieval=true
五、经验总结与安全建议
(一)核心经验
该错误是MySQL 8.4 + 安全策略升级与客户端默认配置不兼容导致,非数据库服务故障或密码错误;
生产环境中,优先选择驱动属性开启 allowPublicKeyRetrieval=true,临时测试可使用 URL 追加参数的方式;
避免降级认证插件(如改为 mysql_native_password),该插件安全性低,且 MySQL 9.x 版本将彻底移除,后续会面临更大的兼容风险。
(二)安全建议
生产环境建议开启 SSL 连接:allowPublicKeyRetrieval=true 参数存在中间人攻击风险,生产环境建议在 URL 中追加useSSL=true&verifyServerCertificate=true,配置 SSL 证书实现安全连接;
规范账号权限管理:禁止使用 root 账号直接连接应用,按业务需求创建普通账号,配置最小权限,降低安全风险;
定期更新客户端驱动:使用与 MySQL 版本匹配的最新 JDBC 驱动(如 mysql-connector-j-9.7.0 及以上),减少兼容问题。
关于作者
网名:飞天,墨天轮2024年度、2025年度优秀原创作者,拥有 Oracle 10g OCM 认证、PGCE认证、MySQL 8.0 OCP认证以及OBCA、KCP、KCSM、ACP、YCP、HCIP-openGauss、HCCDP-GaussDB、磐维等众多国产数据库认证证书,目前从事Oracle、Mysql、PostgreSQL、磐维数据库管理运维工作,喜欢结交更多志同道合的朋友,热衷于研究、分享数据库技术。
微信公众号:飞天online
墨天轮:https://www.modb.pro/u/15197
如有任何疑问,欢迎大家留言,共同探讨~~~
