ProxySQL中caching_sha2_password认证问题的深度解析

问题背景

在使用ProxySQL 2.6.3与Percona MySQL 8.0集群时，用户遇到了一个关于caching_sha2_password认证插件的特殊问题。具体表现为：当PHP应用通过ProxySQL连接MySQL时首次失败，但在使用MySQL客户端成功连接后，PHP应用又能正常连接。这种看似随机的认证失败现象引起了技术人员的困惑。

技术原理分析

caching_sha2_password是MySQL 8.0引入的默认认证插件，相比之前的mysql_native_password提供了更高的安全性。其工作原理包含两个关键阶段：

1. 完整认证阶段：首次连接时，客户端和服务器需要进行完整的认证流程
2. 缓存认证阶段：后续连接可以利用缓存信息快速认证

ProxySQL作为中间代理层，需要正确处理这种认证流程。问题核心在于：

• ProxySQL默认要求使用SSL加密通道进行caching_sha2_password认证
• 当客户端未启用SSL时，ProxySQL无法提供RSA公钥作为替代加密方案
• MySQL原生支持在非SSL连接下使用RSA密钥对进行密码加密，但ProxySQL目前未实现此功能

问题重现与诊断

从实际案例中可以看到以下现象：

1. PHP应用首次连接失败，日志显示"disconnecting during switch auth"
2. 使用MySQL客户端成功连接后，PHP应用突然可以正常工作
3. 修改密码后，问题再次出现，直到MySQL客户端再次连接

这种现象的原因是：

• MySQL客户端默认启用SSL连接，完成了首次完整认证
• 认证成功后，ProxySQL内部缓存了明文密码
• 后续连接（包括PHP应用）可以使用缓存的认证信息，不再需要完整认证流程

解决方案

针对这一问题，目前有以下几种可行的解决方案：

方案一：强制使用SSL连接

修改PHP连接代码，显式启用SSL选项：

$ssl_options = array(
    PDO::MYSQL_ATTR_SSL_CA => '',
    PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false,
);
$dsn = "mysql:host=127.0.0.1;port=6033;charset=utf8mb4";
$con = new PDO($dsn, $user, $pass, $ssl_options);

方案二：修改认证插件

将用户认证方式改为mysql_native_password：

ALTER USER 'username'@'host' IDENTIFIED WITH mysql_native_password BY 'password';

方案三：等待ProxySQL功能完善

ProxySQL未来版本可能会增加对RSA密钥交换的支持，届时可以：

1. 配置ProxySQL使用特定的RSA密钥对
2. 在非SSL连接下也能安全完成caching_sha2_password认证

最佳实践建议

1. 生产环境中建议统一使用SSL连接，这是最安全的选择
2. 如果无法使用SSL，考虑降级认证方式为mysql_native_password
3. 监控ProxySQL的版本更新，及时获取对RSA密钥交换的支持
4. 在应用部署前，充分测试认证流程，避免生产环境出现问题

总结

ProxySQL与MySQL 8.0的caching_sha2_password认证插件的交互存在特定的技术要求。理解其背后的安全机制和工作原理，有助于开发人员做出合理的技术选型和问题排查。在当前阶段，强制使用SSL连接是最可靠的解决方案，既能保证安全性，又能避免认证失败的问题。