OceanBase密码策略与IDENTIFIED BY PASSWORD语法兼容性问题分析

在OceanBase数据库4.3.3.1-CE版本中，我们发现了一个关于密码策略验证机制的重要兼容性问题。当用户设置了密码复杂度策略后，使用IDENTIFIED BY PASSWORD 'hashstring'语法创建用户时，系统会错误地应用密码策略验证，导致创建失败。

问题现象

在OceanBase中设置以下密码策略后：

SET GLOBAL validate_password_policy='medium';
SET GLOBAL validate_password_length=18;
SET GLOBAL validate_password_number_count=1;
SET GLOBAL validate_password_special_char_count=1;
SET GLOBAL validate_password_mixed_case_count=1;
SET GLOBAL validate_password_check_user_name='ON';

当尝试使用哈希字符串直接创建用户时：

CREATE USER 'tester'@'%' IDENTIFIED BY PASSWORD '*3525F0A5F304AFBC769CC3D054EAB1F958038A97'

系统会返回错误代码1819，提示"Your password does not satisfy the current policy requirements"。

技术背景

在MySQL兼容性设计中，IDENTIFIED BY PASSWORD语法有其特定的使用场景：

1. 该语法允许直接指定密码的哈希值，而不是明文密码
2. 通常用于从其他系统迁移用户或复制用户凭证
3. 哈希值已经代表了最终密码形式，不应该再受密码策略约束

OceanBase当前实现中，密码策略验证模块没有区分明文密码设置和哈希密码设置两种场景，对所有密码设置操作都统一应用了密码复杂度检查，这导致了与MySQL行为的不一致。

影响分析

这个问题会影响以下典型场景：

1. 从MySQL迁移用户到OceanBase时
2. 使用备份恢复用户账号时
3. 需要精确复制用户凭证的环境
4. 自动化运维脚本中使用哈希密码的场景

解决方案建议

从技术实现角度，OceanBase应该在密码验证流程中增加对设置方式的判断：

1. 如果是IDENTIFIED BY '明文密码'，则应用完整的密码策略验证
2. 如果是IDENTIFIED BY PASSWORD '哈希值'，则跳过密码策略验证
3. 在密码哈希值解析阶段增加格式验证，确保传入的是有效的哈希字符串

临时规避方案

在当前版本中，用户可以暂时采用以下方法规避此问题：

1. 临时降低密码策略级别
2. 使用明文密码创建用户后再修改为哈希值
3. 在创建用户前禁用密码策略验证

总结

这个问题反映了OceanBase在兼容MySQL协议时的一个细微但重要的行为差异。作为企业级分布式数据库，OceanBase需要在安全性和兼容性之间找到平衡点。开发团队已经确认此问题并将进行修复，建议用户关注后续版本更新。对于需要严格兼容MySQL行为的应用场景，建议评估此问题对业务的影响程度。