本节介绍如何安装服务器端 WebAuthn 身份验证插件。有关安装插件的一般信息，请参见 第 7.6.1 节，“安装和卸载插件”.

为了能够被服务器使用，插件库文件必须位于 MySQL 插件目录（由 plugin_dir 系统变量命名的目录）。如有必要，请在服务器启动时设置 plugin_dir 的值来配置插件目录位置。

服务器端插件库文件的基本名称为 authentication_webauthn。文件名后缀因平台而异（例如，Unix 和类 Unix 系统为 .so，Windows 为 .dll）。

在安装服务器端插件之前，为依赖方 ID（用于设备注册和身份验证）定义一个唯一名称，该 ID 是 MySQL 服务器。使用 --loose-authentication-webauthn-rp-id=value 选项启动服务器。此处的示例指定 mysql.com 作为依赖方 ID。将此值替换为您需求中的值。

$> mysqld [options] --loose-authentication-webauthn-rp-id=mysql.com

要定义依赖方并在服务器启动时加载插件，请使用 --plugin-load-add 选项来命名包含它的库文件，并根据需要调整 .so 后缀。使用这种插件加载方法，每次服务器启动时都必须提供该选项。

$> mysqld [options] 
    --loose-authentication-webauthn-rp-id=mysql.com
    --plugin-load-add=authentication_webauthn.so

要定义依赖方并加载插件，请在您的 my.cnf 文件中添加类似于此行的行，并根据需要调整 .so 后缀

[mysqld]
plugin-load-add=authentication_webauthn.so
authentication_webauthn_rp_id=mysql.com

修改 my.cnf 后，重新启动服务器以使新设置生效。

或者，要在运行时加载插件，请使用以下语句，并根据需要调整 .so 后缀

INSTALL PLUGIN authentication_webauthn
  SONAME 'authentication_webauthn.so';

INSTALL PLUGIN 会立即加载插件，并在 mysql.plugins 系统表中注册它，以便服务器在每次后续正常启动时加载它，而无需 --plugin-load-add。

要验证插件安装，请检查信息架构 PLUGINS 表或使用 SHOW PLUGINS 语句（参见 第 7.6.2 节，“获取服务器插件信息”）。例如

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME = 'authentication_webauthn';
+-------------------------+---------------+
| PLUGIN_NAME             | PLUGIN_STATUS |
+-------------------------+---------------+
| authentication_webauthn | ACTIVE        |
+-------------------------+---------------+

如果插件无法初始化，请检查服务器错误日志以获取诊断消息。

要将 MySQL 帐户与 WebAuthn 身份验证插件关联，请参见 使用 WebAuthn 身份验证。

WebAuthn 身份验证通常用于多因素身份验证的上下文中（参见 第 8.2.18 节，“多因素身份验证”）。本节展示如何使用 authentication_webauthn 插件将基于 WebAuthn 设备的身份验证合并到多因素帐户中。

以下讨论假设服务器正在运行并启用了服务器端 WebAuthn 身份验证插件，如 安装 WebAuthn 可插拔身份验证 中所述，并且客户端端 WebAuthn 插件在客户端主机的插件目录中可用。

还假设 WebAuthn 身份验证与非 WebAuthn 身份验证结合使用（这意味着 2FA 或 3FA 帐户）。WebAuthn 也可以单独使用来创建以无密码方式进行身份验证的 1FA 帐户。在这种情况下，设置过程略有不同。有关说明，请参见 WebAuthn 无密码身份验证。

配置为使用 authentication_webauthn 插件的帐户与 Fast Identity Online (FIDO/FIDO2) 设备相关联。因此，在 WebAuthn 身份验证发生之前，需要执行一次性设备注册步骤。设备注册过程具有以下特点

假设您希望帐户首先使用 caching_sha2_password 插件进行身份验证，然后使用 authentication_webauthn 插件进行身份验证。使用类似以下的语句创建多因素帐户

CREATE USER 'u2'@'localhost'
  IDENTIFIED WITH caching_sha2_password
    BY 'sha2_password'
  AND IDENTIFIED WITH authentication_webauthn;

要连接，请提供第一个因素的密码以满足该因素的身份验证，并启动 FIDO/FIDO2 设备的注册，将 --register-factor 设置为第二个因素。

$> mysql --user=u2 --password1 --register-factor=2
Enter password: (enter factor 1 password)
Please insert FIDO device and follow the instruction. Depending on the device, 
you may have to perform gesture action multiple times.
1. Perform gesture action (Skip this step if you are prompted to enter device PIN).
2. Enter PIN for token device:
3. Perform gesture action for registration to complete.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 8

第一个因素的密码被接受后，客户端会话进入沙箱模式，以便可以为第二个因素执行设备注册。在注册期间，系统会提示您执行适当的 FIDO/FIDO2 设备操作，例如触摸设备或执行生物识别扫描。

可选地，您可以调用 mysql 客户端程序，并指定 --plugin-authentication-webauthn-client-preserve-privacy 选项。如果 FIDO2 设备包含给定依赖方 (RP) ID 的多个可发现凭据（常驻密钥），则此选项允许选择用于断言的密钥。默认情况下，该选项设置为 FALSE，表示断言应使用给定 RP ID 的所有常驻密钥创建。当使用此选项指定时，mysql 会提示您输入设备 PIN，并列出给定 RP ID 的所有可用凭据。选择一个密钥，然后执行其余在线说明以完成身份验证。此处的示例假设 mysql.com 是有效的 RP ID

$> mysql --user=u2 --password1 --register-factor=2
     --plugin-authentication-webauthn-client-preserve-privacy
Enter password: (enter factor 1 password)
Enter PIN for token device: 
Found following credentials for RP ID: mysql.com
[1]`u2`@`127.0.0.1`
[2]`u2`@`%`
Please select one(1...N):
1
Please insert FIDO device and perform gesture action for authentication to complete.
+----------------+
| CURRENT_USER() |
+----------------+
| [email protected]   |
+----------------+

--plugin-authentication-webauthn-client-preserve-privacy 选项对不支持常驻密钥功能的 FIDO 设备没有影响。

注册过程完成后，将允许连接到服务器。

本节介绍如何使用 WebAuthn 单独创建以无密码方式进行身份验证的 1FA 帐户。在此上下文中，“无密码”意味着身份验证会发生，但使用密码以外的方法，例如安全密钥或生物识别扫描。它不指使用基于密码的身份验证插件的帐户，其中密码为空。这种“无密码”完全不安全，不建议使用。

使用 authentication_webauthn 插件实现无密码身份验证时，以下先决条件适用

要使用 authentication_webauthn 作为无密码身份验证方法，帐户必须使用 authentication_webauthn 作为第一个因素身份验证方法创建。 还必须为第一个因素指定 INITIAL AUTHENTICATION IDENTIFIED BY 子句（它不支持第二个或第三个因素）。 此子句指定是否将使用随机生成的密码或用户指定的密码进行 FIDO/FIDO2 设备注册。 设备注册后，服务器会删除密码并修改帐户，使 authentication_webauthn 成为唯一的身份验证方法（1FA 方法）。

必需的 CREATE USER 语法如下所示

CREATE USER user
  IDENTIFIED WITH authentication_webauthn
  INITIAL AUTHENTICATION IDENTIFIED BY {RANDOM PASSWORD | 'auth_string'};

以下示例使用 RANDOM PASSWORD 语法

mysql> CREATE USER 'u1'@'localhost'
         IDENTIFIED WITH authentication_webauthn
         INITIAL AUTHENTICATION IDENTIFIED BY RANDOM PASSWORD;
+------+-----------+----------------------+-------------+
| user | host      | generated password   | auth_factor |
+------+-----------+----------------------+-------------+
| u1   | localhost | 9XHK]M{l2rnD;VXyHzeF |           1 |
+------+-----------+----------------------+-------------+

要执行注册，用户必须使用与 INITIAL AUTHENTICATION IDENTIFIED BY 子句关联的密码向服务器进行身份验证，该密码可以是随机生成的密码，也可以是 'auth_string' 值。 如果帐户如上所示创建，则用户执行此命令并将前一个随机生成的密码（9XHK]M{l2rnD;VXyHzeF）粘贴到提示符中

$> mysql --user=u1 --password --register-factor=2
Enter password:
Please insert FIDO device and follow the instruction. Depending on the device, 
you may have to perform gesture action multiple times.
1. Perform gesture action (Skip this step if you are prompted to enter device PIN).
2. Enter PIN for token device:
3. Perform gesture action for registration to complete.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10

或者，使用 --plugin-authentication-webauthn-client-preserve-privacy 选项为身份验证选择可发现凭据。

$> mysql --user=u1 --password --register-factor=2
     --plugin-authentication-webauthn-client-preserve-privacy
Enter password:
Enter PIN for token device: 
Found following credentials for RP ID: mysql.com
[1]`u1`@`127.0.0.1`
[2]`u1`@`%`
Please select one(1...N):
1
Please insert FIDO device and perform gesture action for authentication to complete.
+----------------+
| CURRENT_USER() |
+----------------+
| [email protected]   |
+----------------+

选项 --register-factor=2 用于，因为 INITIAL AUTHENTICATION IDENTIFIED BY 子句当前充当第一个因素身份验证方法。 因此，用户必须使用第二个因素提供临时密码。 注册成功后，服务器将删除临时密码并修改 mysql.user 系统表中的帐户条目，以将 authentication_webauthn 列为唯一的（1FA）身份验证方法。

创建无密码身份验证帐户时，务必在 CREATE USER 语句中包含 INITIAL AUTHENTICATION IDENTIFIED BY 子句。 服务器接受没有该子句的语句，但结果帐户不可用，因为无法连接到服务器以注册设备。 假设您执行了这样的语句

CREATE USER 'u2'@'localhost'
  IDENTIFIED WITH authentication_webauthn;

随后尝试使用该帐户连接会导致以下错误

$> mysql --user=u2 --skip-password
mysql: [Warning] Using a password on the command line can be insecure.
No FIDO device on client host.
ERROR 1 (HY000): Unknown MySQL error

可以注销与 MySQL 帐户关联的 FIDO/FIDO2 设备。 在多种情况下，这可能是可取的或必要的

注销 FIDO/FIDO2 设备可以由帐户所有者或拥有 CREATE USER 权限的任何用户来执行。 使用以下语法

ALTER USER user {2 | 3} FACTOR UNREGISTER;

要重新注册设备或执行新的注册，请参阅 使用 WebAuthn 身份验证 中的说明。

本节概述了 MySQL 和 WebAuthn 如何协同工作以对 MySQL 用户进行身份验证。 有关设置使用 WebAuthn 身份验证插件的 MySQL 帐户的示例，请参阅 使用 WebAuthn 身份验证。

使用 WebAuthn 身份验证的帐户必须执行初始设备注册步骤，然后才能连接到服务器。 设备注册后，身份验证即可继续进行。 WebAuthn 设备注册过程如下所示

注册成功执行后，WebAuthn 身份验证将遵循以下过程