MySQL外网登录报错1698：用户访问被拒绝如何解决？

1. 问题背景与现象描述

在 MySQL 8.0 版本中，当管理员尝试配置数据库支持远程访问时，常会遇到“ERROR 1698 (28000): Access denied for user 'root'@'xxx.xxx.xxx.xxx'”的错误提示。该问题多发生在修改了 bind-address 配置项或将 mysqld 设置为监听所有 IP 地址后，即使已执行 GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' 命令，仍无法从外网客户端登录。

此现象的核心原因并非简单的权限不足，而是涉及 MySQL 8.0 默认认证插件变更、用户主机限制以及权限系统重构等多个层面的技术细节。

2. 初步排查：确认网络与服务配置

• 检查 my.cnf 或 my.ini 配置文件：确保 bind-address = 0.0.0.0 或注释掉该行以允许监听所有接口。
• 验证端口开放状态：使用 netstat -tulnp | grep 3306 确认 MySQL 正在监听 3306 端口。
• 防火墙规则设置：检查 iptables、firewalld 或云服务商安全组是否放行 3306 端口。
• MySQL 服务重启：每次修改配置后需执行 systemctl restart mysql 生效。

3. 深入分析：MySQL 用户权限模型与认证机制

MySQL 8.0 引入了更安全的默认认证方式：caching_sha2_password，而部分旧客户端或配置可能仍期望使用 mysql_native_password。此外，本地 root 用户通常使用 auth_socket 插件，仅允许通过 Unix socket 登录，无法用于远程连接。

4. 核心解决方案步骤

1. 登录本地 MySQL 控制台：mysql -u root -p
2. 查看当前 root 用户信息：

   SELECT User, Host, plugin, authentication_string FROM mysql.user WHERE User = 'root';

3. 若发现 root@localhost 使用 auth_socket，则需更新其认证方式：
4. 创建或修改远程 root 用户：

   CREATE USER 'root'@'%' IDENTIFIED WITH caching_sha2_password BY 'YourStrongPassword!';
   GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;
   FLUSH PRIVILEGES;

5. 可选：强制使用兼容性更强的认证插件：

   ALTER USER 'root'@'%' IDENTIFIED WITH mysql_native_password BY 'YourStrongPassword!';

6. 再次刷新权限：FLUSH PRIVILEGES;

5. 安全建议与最佳实践

生产环境中应避免直接开放 root 账户远程访问。推荐做法是创建具有 SUPER、RELOAD、PROCESS 等管理权限的专用账户，并结合 SSL 加密和 IP 白名单提升安全性。

6. 高级调试技巧

启用 MySQL 通用查询日志以追踪连接尝试：

SET GLOBAL general_log = 'ON';
SET GLOBAL log_output = 'TABLE';
-- 查看日志
SELECT * FROM mysql.general_log ORDER BY event_time DESC LIMIT 10;

通过分析 mysql.user 和 performance_schema.accounts 表，可以定位认证失败的具体阶段。同时，检查 MySQL 错误日志（通常位于 /var/log/mysql/error.log）有助于识别插件加载失败或 TLS 协商问题。