EasyScheduler连接MySQL数据库时"Public Key Retrieval is not allowed"问题解析

在使用EasyScheduler(现更名为DolphinScheduler)初始化数据库时，部分用户可能会遇到"Public Key Retrieval is not allowed"的错误提示。这个问题通常出现在MySQL 8.0及以上版本与JDBC驱动交互时，属于安全机制导致的连接配置问题。

问题现象

当用户按照官方文档指引，执行bash tools/bin/upgrade-schema.sh脚本来初始化数据库时，系统会抛出连接错误，提示"Public Key Retrieval is not allowed"。这个错误会阻止数据库初始化过程的正常完成，导致后续服务无法启动。

问题根源

MySQL 8.0版本增强了安全性，默认启用了新的身份验证插件caching_sha2_password。当JDBC驱动尝试连接时，如果服务器要求客户端提供RSA公钥进行密码交换，而客户端配置中又禁止了公钥检索，就会产生这个错误。

解决方案

要解决这个问题，需要在JDBC连接字符串中添加特定的参数：

allowPublicKeyRetrieval=true

完整的连接字符串示例如下：

jdbc:mysql://localhost:3306/dolphinscheduler?useUnicode=true&characterEncoding=UTF-8&allowPublicKeyRetrieval=true

深入理解

这个问题的本质是MySQL服务器和客户端之间的安全握手机制。MySQL 8.0默认使用caching_sha2_password插件，它比之前的mysql_native_password更安全，但需要额外的配置：

1. allowPublicKeyRetrieval：允许客户端从服务器获取公钥
2. useSSL：建议同时配置SSL加密连接
3. serverTimezone：对于时区敏感的应用也很重要

最佳实践

虽然添加allowPublicKeyRetrieval=true可以解决问题，但在生产环境中，建议考虑以下安全实践：

1. 为EasyScheduler创建专用数据库用户
2. 限制该用户的权限到最小必需范围
3. 使用SSL加密数据库连接
4. 定期更换数据库密码
5. 考虑使用连接池配置管理数据库连接

总结

"Public Key Retrieval is not allowed"是MySQL 8.0+版本与JDBC驱动交互时的常见问题，通过调整连接参数即可解决。理解这个问题的本质有助于我们更好地配置和维护EasyScheduler与数据库的连接，确保系统的稳定性和安全性。