数据库安全是一个系统工程，而用户认证是第一道关口。说实话，用户密码的安全存储与认证是数据库安全的重中之重。

几个月前，团队里的一位运维同事遇到了一个让他百思不得其解的问题："新建了一个用户，密码明明输对了为什么就是连不上？" 哈哈，这个问题是不是听起来hen熟悉？

他在KingbaseES里执行了CREATE USER app_user WITH PASSWORD 'App@'，然后在客户端用这个用户名和密码去连接，结果反复提示认证失败。他确认了三次密码没有输错，确认了用户没有被锁定，确认了网络是通的——一切dou正常，但就是连不上。

我让他执行了下面这条查询：SELECT rolname, rolpassword FROM sys_authid WHERE rolname = 'app_user';

然后又kan了sys_hba.conf里的配置。问题hen快就定位了：用户密码存储用的是默认的scram-sha-算法，但sys_hba.conf里配置的认证方式是md5。存储算法和认证方法不匹配，导致虽然密码正确，但认证流程走不通。

这个问题让我意识到，hen多数据库使用者对“密码怎么存”和“密码怎么验”这两个概念是混淆的。这篇文章就来彻底拆解一下这两套机制。

核心规律答案其实不复杂：密码存储和口令认证是两套独立的机制。存储算法决定密码怎么存在数据文件里认证方法决定客户端连接时怎么验证。两者必须兼容，否则就会认证失败。

所有用户的密码信息dou存储在sys_authid系统表中： rolname | rolpassword -------------+--------------------------------------------------------------------- system | SCRAM-SHA-$:SBfzuqMqQjEWP/w+n8TlwQ==$WeOQ2yOLEGvYp9v0DS5F... fin_app | SCRAM-SHA-$:kOPAYRYx2elBrNaeCo18BQ==$4xV0YdFPq7Uq2UvGqJ2H...

rolpassword这个字段存储的不是密码原文，而是经过哈希算法处理后的值。哈希算法是单向的——从哈希值无法还原出原始密码，这正是密码存储安全的基础。

常见误区hen多人以为执行了ALTER ROLE ... SET password_encryption = 'md5'就算改完了。实际上，这只改了参数，Yi存在的密码并不会自动转换格式。

SELECT rolname AS 用户名, CASE WHEN rolpassword IS NULL THEN '未设置密码' WHEN rolpassword LIKE 'SCRAM-SHA-$%' THEN 'SCRAM-SHA-' WHEN rolpassword LIKE 'SCRAM-SM3$%' THEN 'SCRAM-SM3' WHEN rolpassword LIKE 'md5%' THEN 'MD5' WHEN rolpassword LIKE 'sm3%' THEN 'SM3' ELSE '未知格式' END AS 存储算法FROM sys_authid WHERE rolname IN ;

默认情况下所有用户的存储算法dou是scram-sha-。

主要原因包括: 网站内容质量、robots.txt限制、外部链接数量等。你要确保你的网站内容是有价值且原创的，并且没有被robots.txt禁止抓取。

配置好密码存储后还需要在sys_hba.conf中指定认证方法，客户端才Neng成功连接。

# TYPE    DATABASE    USER                ADDRESS             METHOD# -----------------------------------------------------------------------local     all         system                                  peerhost      all         fin_app             ./    scram-sha-host      all         teaching_assistant  ./    scram-sha-host      all         legacy_mercury      ./    md5host      all         gov_finance         ./    sm3

SCRAM-SHA-256流程：

客户端和服务器之间通过挑战-响应机制验证身份。网络传输的不是密码本身，也不是简单的哈希值，而是经过加盐、多次迭代计算后的证明。每次认证使用不同的随机数，Ke以防止重放攻击。

KingbaseES支持多种密码存储算法，通过passwordencryption参数控制。 查kan参数是否需要重启： SELECT name, context, pendingrestart FROM syssettings WHERE name = 'passwordencryption'; context = user表示Ke以在各层级动态设置，pending_restart = f表示修改后无需重启数据库。 为方便后续演示，先创建几个测试用户：

-- 创建演示数据库CREATE DATABASE demodb;-- 创建四个测试用户CREATE USER fin_app WITH PASSWORD 'SecurePass!';          -- 金融应用CREATE USER teaching_assistant WITH PASSWORD 'Kingbase_123';  -- 教学应用CREATE USER legacy_mercury WITH PASSWORD 'Mercury@';      -- 遗留系统CREATE USER gov_finance WITH PASSWORD 'Gov@';             -- 政务系统
这四个用户会贯穿全文，分别对应不同的存储算法和认证方式组合。
先kan一张对比表：
现象 可Neng原因 关键检查 解决方案 
新建用户仍是旧算法 会话级参数覆盖 SHOW password_encryption
RESET参数


国密用户连不上 
 查HBA


理解了这个逻辑，排查这类问题时就有了清晰的思路：先查sys_authidkan存储格式，再查sys_hba.confkan认证方法，然后对照兼容性矩阵判断问题所在。
说实话，有时候咱就是说光kan文档还真不如自己手操一遍来得快。你懂的，hen多时候实践出真知嘛！ 
避免使用相同密码。 
定期geng改密码Ke以有效避免密码长期被利用。我们应该定期geng改密码,以提高密码安全性。使用…… 
你可Neng会问，为什么百度不收录我的网站内容呢？其实这是一个hen常见的问题。主要原因包括网站结构、内容质量以及外部链接等多个方面。
咱接着说回来
排查步骤如下：
第一步，查存储格式；第二步，查认证规则；第三步，对照兼容性矩阵判断。
先举个例子，
临时修改sys_hba.conf,将所有用户的认 
证方法改为md5，重载配置后测试：
$ ksql -U legacy_mercury -d demodb -h .   # 成功ksql -U fin_app -d demodb -h .          # 成功ksql -U gov_finance -d demodb -h .      # 成功
 结论  : MD5认…
将所有用户的认…
 
 
 
 
 
 
 
 # TYPE    DATABASE    USER               ADDRESS        METHOD# -----------------------------------------------------------------------local  &nbs…