一个基于native认证的插件，即基于MySQL之前的密码哈希方法的认证。mysql_native_password插件实现了基于native密码哈希方法的认证。详见第8.4.1.1节，“Native Pluggable Authentication”。

使用SHA-256密码哈希的插件，这种加密方式比native认证更强。详见第8.4.1.2节，“Caching SHA-2 Pluggable Authentication”和第8.4.1.3节，“SHA-256 Pluggable Authentication”。

一个客户端插件，发送密码到服务器没有加密或哈希。这个插件与服务器端插件一起使用，需要客户端用户提供的密码。详见第8.4.1.4节，“Client-Side Cleartext Pluggable Authentication”。

一个外部认证插件，使用PAM（Pluggable Authentication Modules）使MySQL Server使用PAM认证MySQL用户。这个插件支持代理用户。详见第8.4.1.5节，“PAM Pluggable Authentication”。

一个Windows认证插件，使MySQL Server使用Windows服务认证客户端连接。用户可以使用MySQL客户端程序连接到服务器，不需要提供额外的密码。这个插件支持代理用户。详见第8.4.1.6节，“Windows Pluggable Authentication”。

插件使用LDAP（Lightweight Directory Access Protocol）认证MySQL用户，访问目录服务如X.500。这个插件支持代理用户。详见第8.4.1.7节，“LDAP Pluggable Authentication”。

一个Kerberos认证插件，认证MySQL用户对应Kerberos主体。详见第8.4.1.8节，“Kerberos Pluggable Authentication”。

一个插件，禁止所有客户端连接到任何使用它的账户。这个插件的用例包括代理账户不能直接登录，但只能通过代理账户访问，以及需要执行存储程序和视图，但不能暴露给普通用户。详见第8.4.1.9节，“No-Login Pluggable Authentication”。

一个插件，用于通过 Unix socket 文件从本地主机连接的客户端进行身份验证。见第8.4.1.10节，“Socket Peer-Credential Pluggable Authentication”。

一个插件，使用 FIDO/FIDO2 设备和 WebAuthn 格式对 MySQL 服务器进行身份验证。见第8.4.1.11节，“WebAuthn Pluggable Authentication”。

一个测试插件，用于检查帐户凭证并将成功或失败记录到服务器错误日志中。这款插件旨在测试和开发用途，作为身份验证插件的示例。见第8.4.1.12节，“Test Pluggable Authentication”。

如果必要，请安装包含相应插件的库或库。在服务器主机上，安装包含服务器端插件的库，以便服务器可以使用它来身份验证客户端连接。类似地，在每个客户端主机上，安装包含客户端插件的库，以便客户端程序使用。需要安装的身份验证插件不需要安装。

对于每个 MySQL 帐户，您需要指定适当的服务器端插件进行身份验证。如果帐户将使用默认身份验证插件，帐户创建语句不需要指定插件。服务器将分配默认身份验证插件，详见默认身份验证插件。

当客户端连接时，服务器端插件将告诉客户端程序使用哪个客户端插件进行身份验证。

使用 MySQL 5.7 客户端从 5.7.22 或更低版本连接到 MySQL 8.4 服务器账户，该账户使用 caching_sha2_password。这将失败，因为 5.7 客户端不认识插件。 (这个问题在 MySQL 5.7 的 5.7.23 版本中被解决，因为在 MySQL 客户端库和客户端程序中添加了 caching_sha2_password 客户端支持。)

使用 MySQL 5.7 客户端连接到 pre-5.7 服务器账户，该账户使用 mysql_old_password。这将失败，因为这种连接需要 --secure-auth=0，这已经不再是一个支持的选项。即使支持，这个客户端也不认识插件，因为它在 MySQL 5.7 中被删除了。

使用 MySQL 5.7 客户端从社区发行版连接到 MySQL 5.7 企业服务器账户，该账户使用企业版的 LDAP 身份验证插件。这将失败，因为社区客户端没有访问企业插件的权限。

在 MySQL 5.7 中，libmysqlclient 使用默认插件是 mysql_native_password 或者通过 MYSQL_DEFAULT_AUTH 选项指定的插件，以便于mysql_options()。

当 5.7 客户端尝试连接到 8.4 服务器时，服务器将指定 caching_sha2_password 作为默认身份验证插件，但客户端仍然发送凭证细节，以便于 mysql_native_password 或者通过 MYSQL_DEFAULT_AUTH 指定的插件。

只有在更改插件请求时，客户端才会加载服务器指定的插件，但在这种情况下，它可以是任何插件，取决于用户账户。在这种情况下，客户端必须尝试加载插件，如果插件不可用，错误是不可选的。

通用可插拔身份验证限制

可插拔身份验证和第三方连接器

Connector/C++: 使用该连接器的客户端只能通过使用本地身份验证的帐户连接到服务器。

例外：连接器支持可插拔身份验证，如果它是动态链接到libmysqlclient的，而不是静态链接，并且加载当前版本的libmysqlclient，或者重新编译连接器以链接到当前的libmysqlclient。

有关编写连接器以处理服务器关于默认服务器端身份验证插件的信息，请见身份验证插件连接器编写考虑。

Connector/NET: 使用Connector/NET的客户端可以通过使用本地身份验证或Windows本地身份验证连接到服务器。

Connector/PHP: 使用该连接器的客户端只能通过使用本地身份验证连接到服务器，使用MySQL native driver for PHP（mysqlnd）编译时。

Windows本地身份验证: 通过使用Windows插件连接到服务器需要Windows域设置。没有它，NTLM身份验证将被使用，然后只能使用本地连接，即客户端和服务器必须在同一台计算机上运行。

代理用户: 代理用户支持可到达客户端可以连接到通过实现代理用户能力的插件身份验证的帐户 authenticated（例如，PAM和Windows插件支持代理用户）。mysql_native_password（已弃用）和sha256_password身份验证插件默认不支持代理用户，但可以配置以支持；见服务器支持代理用户映射。

复制：副本不仅可以使用复制用户帐户进行本地身份验证，还可以通过使用非本地身份验证的复制用户帐户连接到服务器，如果需要的客户端插件可用。如果插件已包含在libmysqlclient中，它将默认可用。否则，插件必须在副本侧安装在名为plugin_dir的目录中。

FEDERATED 表: 一个FEDERATED 表只能通过远程服务器上的本地验证账户访问远程表。

一个未经修改的连接器使用本地验证，并且使用该连接器的客户端只能通过使用本地验证的账户连接到服务器。然而，您应该将连接器测试在最近版本的服务器上，以验证这些连接是否仍然无问题。

例外情况：一个连接器可能不需要任何修改，如果它动态链接到 libmysqlclient，并且加载当前版本的 libmysqlclient，如果该版本已安装。

要使用可插拔身份验证功能，基于 libmysqlclient 的连接器应该重新链接到当前版本的 libmysqlclient。这样可以使连接器支持通过账户连接到需要客户端插件的服务器（例如，PAM身份验证和 Windows 本地身份验证）。重新链接到当前版本的 libmysqlclient 也可以使连接器访问安装在默认 MySQL 插件目录（通常是由本地服务器的 plugin_dir 系统变量指定的目录）中的客户端插件。

如果连接器动态链接到 libmysqlclient，则必须确保客户端主机上安装了新的 libmysqlclient 版本，并且连接器在运行时加载它。

另一种方法是将身份验证方法直接实现在客户端/服务器协议中。Connector/NET 使用这种方法来提供 Windows 本地身份验证支持。

如果连接器需要从非默认插件目录加载客户端插件，必须实现一些方式让客户端用户指定目录。可能的方法包括命令行选项或环境变量，从而连接器可以获取目录名称。标准 MySQL 客户端程序，如 mysql 和 mysqladmin，实现了一个 --plugin-dir 选项。请参阅C API 客户端插件接口。

连接器支持代理用户的支持取决于，正如本节前面所述的身份验证方法是否允许代理用户。