DBeaver连接MySQL时提示“Public Key Retrieval is not allowed”，如何解决？

一、现象层：典型错误表现与复现路径

当使用 DBeaver（v21.0+）连接 MySQL 8.0.4 及以上版本时，若用户账户采用默认的 caching_sha2_password 认证插件（MySQL 8.0 默认策略），常触发如下 JDBC 异常：

java.sql.SQLException: Public Key Retrieval is not allowed

该错误在「测试连接」阶段立即抛出，且不依赖具体 SQL 执行——说明问题发生在 TCP 握手后的认证协商阶段。复现条件明确：MySQL 8.0+ + 默认用户 + 未显式配置驱动参数。

二、协议层：SHA-256 密码交换机制深度解析

MySQL 8.0 引入 caching_sha2_password 插件后，密码传输不再明文或简单哈希，而是采用基于 RSA 公钥加密的挑战-响应协议：

1. 客户端发起连接请求；
2. 服务端返回公钥（或要求客户端主动获取）；
3. 客户端用该公钥加密密码派生密钥并发送；
4. 服务端解密验证。

而 JDBC 驱动（mysql-connector-java ≥ 8.0.23）出于安全默认策略，禁止自动请求公钥——此即 allowPublicKeyRetrieval=false 的强制约束。

三、配置层：DBeaver 驱动属性精准调优

在 DBeaver 连接编辑界面中，进入「Driver Properties」页，需添加以下关键参数：

四、架构层：生产环境安全加固方案对比

下表对比两类主流解决路径的安全性与运维成本：

五、演进层：MySQL 认证插件迁移实操指南

执行以下 SQL 完成插件降级（需具备 CREATE USER 权限）：

-- 查看当前用户插件
SELECT user, host, plugin FROM mysql.user WHERE user = 'your_user';

-- 切换为传统认证（兼容 JDBC 5.x/6.x/7.x）
ALTER USER 'your_user'@'%' IDENTIFIED WITH mysql_native_password BY 'StrongPass!2024';

-- 强制刷新权限缓存
FLUSH PRIVILEGES;

注意：该操作不影响已建立连接，但新连接将立即生效；若用户有多个 host 段（如 'user'@'localhost'），需逐条执行。

六、监控层：连接诊断自检清单

• ✅ 检查 MySQL 版本：SELECT VERSION();
• ✅ 验证用户插件：SELECT plugin FROM mysql.user WHERE user='xxx';
• ✅ 确认 DBeaver 使用驱动版本：mysql-connector-java-8.0.33.jar 或更高
• ✅ 查看 DBeaver 日志（Window → Show View → Error Log）定位底层 SQLException 栈帧
• ✅ 测试命令行连接：mysql -u xxx -p --default-auth=mysql_native_password

任一环节异常均可能导致“Public Key Retrieval”错误误判为配置问题，实则为权限或版本错配。