mysql“access denied”主因是用户名、密码、主机地址或权限配置不匹配;需检查认证插件兼容性(如caching_sha2_password)、user@host精确匹配、权限是否生效及网络配置(bind-address、防火墙等)。
MySQL登录报错“Access denied”通常是因为用户名、密码、主机地址或权限配置不匹配。核心问题不在服务是否运行,而在于认证信息未通过服务器校验。
检查用户名和密码是否正确
MySQL 8.0+ 默认使用 caching_sha2_password 插件,旧客户端可能不兼容;5.7 及以前多用 mysql_native_password。若用 navicat、DBeaver 或命令行登录失败,先确认密码是否输错(注意大小写、空格),再检查是否因密码过期或被强制重置。
- 在已登录 MySQL 的情况下,执行 select user, host, plugin FROM mysql.user; 查看用户认证方式
- 若 plugin 显示 caching_sha2_password 但客户端不支持,可临时改回:ALTER USER ‘用户名’@’主机’ IDENTIFIED WITH mysql_native_password BY ‘新密码’;
- 忘记 root 密码时,需跳过权限验证重启 mysqld(加 –skip-grant-tables),再更新 mysql.user 表中的 authentication_string 字段
确认主机(Host)匹配规则
MySQL 用户是按 ‘user’@’host’ 成对识别的。“localhost” 和 “127.0.0.1” 在 unix 系统中行为不同:前者走 socket 连接,后者走 TCP;若只创建了 ‘root’@’localhost’,从远程或 127.0.0.1 就会拒绝。
- 查当前允许访问的用户:SELECT user, host FROM mysql.user;
- 若需允许本地任意 IP 登录,添加 ‘user’@’127.0.0.1’ 或 ‘user’@’::1′(ipv6)
- 远程连接需显式授权,例如:CREATE USER ‘dev’@’192.168.1.%’ IDENTIFIED BY ‘pwd’; GRANT ALL ON *.* TO ‘dev’@’192.168.1.%’;
验证权限是否生效
即使用户存在且 host 匹配,也可能没被授予登录权限(USAGE 权限是连接基础),或权限未刷新。
- 新建用户后必须执行 FLUSH PRIVILEGES;(仅在直接修改 mysql 库表后需要;用 GRANT 创建则自动生效)
- 检查用户是否有 USAGE 权限:SHOW GRANTS for ‘用户名’@’主机’; —— 若返回空或只有 USAGE,说明至少能连上;若连不上,大概率是前两步出了问题
- 避免用通配符主机如 ‘%’@’%’ 开放生产环境,尤其 root 用户
排查网络与配置干扰
某些错误看似权限问题,实为连接层面拦截。
- 确认 mysqld 是否监听非本地地址:netstat -tlnp | grep :3306,若只显示 127.0.0.1:3306,则无法远程连接
- 检查 bind-address 配置(my.cnf 中),设为 0.0.0.0 或具体内网 IP 才支持远程
- 防火墙(iptables / ufw / windows Defender)可能拦截 3306 端口,临时关闭测试
- docker 环境注意端口映射是否正确,且容器内 MySQL 是否允许外部 host 连接
不复杂但容易忽略。多数情况只需核对 user@host 是否存在、密码是否匹配、连接方式是否被限制,三者对齐基本就能登录。