在mysql数据库的日常管理中,限制用户修改自身密码是常见的安全管控需求,除了常规的权限配置方式,直接修改mysql.user系统表也能实现该目标,这种方式更灵活,适合需要批量或针对性调整的场景。

mysql.user表的核心字段说明
mysql.user表存储了所有数据库用户的账号信息和权限配置,其中和密码修改相关的核心字段如下:
| 字段名 | 含义 |
|---|---|
| User | 用户账号名称 |
| Host | 用户允许登录的客户端地址 |
| authentication_string | 用户密码的加密存储值 |
| password_expired | 密码是否过期标记,Y表示过期,N表示未过期 |
禁止用户修改自身密码的操作步骤
1. 确认目标用户信息
首先查询mysql.user表,确认需要限制的用户对应的User和Host值,避免操作错误账号:
-- 查询所有用户信息,筛选目标用户 SELECT User, Host, authentication_string, password_expired FROM mysql.user WHERE User = 'test_user';
2. 修改用户密码过期状态
将目标用户的password_expired字段设置为Y,此时用户登录后会提示密码过期,但无法直接修改密码:
-- 修改test_user用户在本地登录的密码过期状态 UPDATE mysql.user SET password_expired = 'Y' WHERE User = 'test_user' AND Host = 'localhost';
3. 刷新权限使配置生效
修改系统表后需要执行权限刷新命令,让配置立即生效:
-- 刷新权限 FLUSH PRIVILEGES;
4. 验证限制效果
使用目标用户登录mysql,尝试执行修改密码的命令,会提示没有权限或者密码已过期的错误:
-- 尝试修改密码,会执行失败 ALTER USER USER() IDENTIFIED BY 'new_password_123';
注意事项
- 直接修改mysql.user表属于底层操作,操作前建议备份该表数据,避免误操作导致用户无法登录。
- 该方式仅限制用户自行修改密码,拥有全局权限的管理员账号仍然可以通过
ALTER USER命令为这些用户重置密码。 - 如果需要恢复用户修改密码的权限,只需要将
password_expired字段改回N,再次刷新权限即可。 - 不同mysql版本中密码存储字段名称可能有差异,mysql 5.7及以上版本使用
authentication_string,旧版本可能使用Password字段,操作时需对应调整。
适用场景说明
这种方式适合需要临时限制用户修改密码,或者针对特定账号做精细化权限管控的场景,相比全局权限配置更灵活。如果是需要全局禁止所有普通用户修改密码,更推荐通过回收用户的ALTER USER权限来实现,操作更规范,风险更低。