本节描述了如何安装服务器端 WebAuthn 认证插件。关于安装插件的总体信息，请见第7.6.1节，“安装和卸载插件”。

为了使插件库文件可被服务器使用，插件库文件必须位于 MySQL 插件目录（由plugin_dir系统变量指定的目录）中。如有必要，可以通过在服务器启动时设置plugin_dir的值来配置插件目录的位置。

服务器端插件库文件的基础名称是 authentication_webauthn。文件名后缀根据平台不同（例如，.so用于 Unix 和 Unix 类系统，.dll用于 Windows）而不同。

在安装服务器端插件之前，定义一个唯一的 Relying Party ID（用于设备注册和认证），该 ID 是 MySQL 服务器。使用 --loose-authentication-webauthn-rp-id=value 选项启动服务器。示例中指定的值为 mysql.com，请将其替换为满足要求的值。

$> mysqld [options] --loose-authentication-webauthn-rp-id=mysql.com

定义 Relying Party 并加载插件，可以使用--plugin-load-add选项指定包含插件的库文件，根据平台调整 .so 后缀为必要。使用该插件加载方法，每次启动服务器时都需要提供该选项。

$> mysqld [options] 
    --loose-authentication-webauthn-rp-id=mysql.com
    --plugin-load-add=authentication_webauthn.so

定义 Relying Party 并加载插件，可以将以下行添加到 my.cnf 文件中，根据平台调整 .so 后缀为必要：

[mysqld]
plugin-load-add=authentication_webauthn.so
authentication_webauthn_rp_id=mysql.com

修改 my.cnf 文件后，重新启动服务器以使新的设置生效。

Alternatively, to load the plugin at runtime, use this statement, adjusting the .so suffix for your platform as necessary:

INSTALL PLUGIN authentication_webauthn
  SONAME 'authentication_webauthn.so';

INSTALL PLUGIN 将插件立即加载，并将其注册到 mysql.plugins 系统表中，以便在每个正常启动时加载插件，而无需使用 --plugin-load-add 选项。

验证插件安装，可以查看信息架构 PLUGINS 表或使用 SHOW PLUGINS 语句（见 第7.6.2节，“获取服务器插件信息”）。例如：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME = 'authentication_webauthn';
+-------------------------+---------------+
| PLUGIN_NAME             | PLUGIN_STATUS |
+-------------------------+---------------+
| authentication_webauthn | ACTIVE        |
+-------------------------+---------------+

如果插件无法初始化，检查服务器错误日志以获取诊断信息。

要将 MySQL 账户与 WebAuthn 认证插件关联，请见 使用 WebAuthn 认证。

WebAuthn 认证通常在多因素认证（见 第8.2.18节，“多因素认证”）中使用。这部分展示了如何将 WebAuthn 设备认证嵌入到多因素账户中，使用 authentication_webauthn 插件。

在以下讨论中假设服务器正在运行 WebAuthn 认证插件，详见 安装 WebAuthn 可插拔认证，并且客户端插件在客户端主机上的插件目录中可用。

此外，假设 WebAuthn 认证与非 WebAuthn 认证（隐含 2FA 或 3FA 账户）一起使用。 WebAuthn 也可以单独使用，以创建 1FA 账户，该账户可以无密码认证。在这种情况下，设置过程不同。请见 WebAuthn 无密码认证。

使用 authentication_webauthn 插件关联的账户与 Fast Identity Online（FIDO/FIDO2）设备相关。由于这个原因，一次设备注册步骤是必需的，以便在 WebAuthn 认证之前进行注册。设备注册过程具有以下特征：

假设您想使用caching_sha2_password插件和authentication_webauthn插件来身份验证一个账户。使用以下语句创建多因素账户：

CREATE USER 'u2'@'localhost'
  IDENTIFIED WITH caching_sha2_password
    BY 'sha2_password'
  AND IDENTIFIED WITH authentication_webauthn;

连接时，提供因素1密码，以满足该因素的身份验证，并以初始化FIDO/FIDO2设备的注册方式，设置--register-factor为因素2。

$> mysql --user=u2 --password1 --register-factor=2
Enter password: (enter factor 1 password)
Please insert FIDO device and follow the instruction. Depending on the device, 
you may have to perform gesture action multiple times.
1. Perform gesture action (Skip this step if you are prompted to enter device PIN).
2. Enter PIN for token device:
3. Perform gesture action for registration to complete.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 8

在接受因素1密码后，客户端会进入沙箱模式，以便在因素2中注册设备。注册过程中，您将被提示执行适当的FIDO/FIDO2设备操作，例如触摸设备或执行生物识别扫描。

可选地，您可以使用mysql客户端程序，并指定--plugin-authentication-webauthn-client-preserve-privacy选项。如果FIDO2设备包含给定回复方(RP)ID的多个可发现凭证（resident keys），该选项允许选择用于断言的密钥。默认情况下，该选项设置为FALSE，表示使用给定RP ID的所有resident keys创建断言。指定该选项时，mysql将提示您输入设备PIN，并列出给定RP ID的所有可用凭证。选择一个密钥，然后执行剩余的在线指令以完成身份验证。以下假设mysql.com是一个有效的RP ID：

$> mysql --user=u2 --password1 --register-factor=2
     --plugin-authentication-webauthn-client-preserve-privacy
Enter password: (enter factor 1 password)
Enter PIN for token device: 
Found following credentials for RP ID: mysql.com
[1]`u2`@`127.0.0.1`
[2]`u2`@`%`
Please select one(1...N):
1
Please insert FIDO device and perform gesture action for authentication to complete.
+----------------+
| CURRENT_USER() |
+----------------+
| u2@127.0.0.1   |
+----------------+

--plugin-authentication-webauthn-client-preserve-privacy选项对不支持resident-key功能的FIDO设备无效。

在注册过程完成后，连接到服务器是允许的。

本节描述了如何使用 WebAuthn 创建无密码账户，以便在无密码方式下进行身份验证。在这里，“无密码”表示身份验证发生，但使用的方法不是密码，例如安全密钥或生物识别扫描。它不指的是使用基于密码的身份验证插件，但密码为空的账户，这种账户是完全不安全的，不推荐。

使用 authentication_webauthn 插件实现无密码身份验证时，需要满足以下条件：

要使用 authentication_webauthn 作为无密码身份验证方法，账户必须以 authentication_webauthn 作为第一个身份验证方法。还需要指定 INITIAL AUTHENTICATION IDENTIFIED BY take，用于指定 FIDO/FIDO2 设备注册时使用的随机生成或用户指定的密码。注册完成后，服务器将删除密码，并将账户修改为使用 authentication_webauthn 作为唯一身份验证方法（1FA 方法）。

需要的 CREATE USER 语法如下：

CREATE USER user
  IDENTIFIED WITH authentication_webauthn
  INITIAL AUTHENTICATION IDENTIFIED BY {RANDOM PASSWORD | 'auth_string'};

以下示例使用 RANDOM PASSWORD 语法：

mysql> CREATE USER 'u1'@'localhost'
         IDENTIFIED WITH authentication_webauthn
         INITIAL AUTHENTICATION IDENTIFIED BY RANDOM PASSWORD;
+------+-----------+----------------------+-------------+
| user | host      | generated password   | auth_factor |
+------+-----------+----------------------+-------------+
| u1   | localhost | 9XHK]M{l2rnD;VXyHzeF |           1 |
+------+-----------+----------------------+-------------+

要进行注册，用户必须使用与 INITIAL AUTHENTICATION IDENTIFIED BY 子句相关的密码进行身份验证，或者使用 'auth_string' 值。如果账户创建方式如上所示，用户执行该命令，并将随机生成的密码 (9XHK]M{l2rnD;VXyHzeF) 粘贴到提示符上：

$> mysql --user=u1 --password --register-factor=2
Enter password:
Please insert FIDO device and follow the instruction. Depending on the device, 
you may have to perform gesture action multiple times.
1. Perform gesture action (Skip this step if you are prompted to enter device PIN).
2. Enter PIN for token device:
3. Perform gesture action for registration to complete.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 10

或者使用 --plugin-authentication-webauthn-client-preserve-privacy 选项选择可发现的凭证进行身份验证。

$> mysql --user=u1 --password --register-factor=2
     --plugin-authentication-webauthn-client-preserve-privacy
Enter password:
Enter PIN for token device: 
Found following credentials for RP ID: mysql.com
[1]`u1`@`127.0.0.1`
[2]`u1`@`%`
Please select one(1...N):
1
Please insert FIDO device and perform gesture action for authentication to complete.
+----------------+
| CURRENT_USER() |
+----------------+
| u1@127.0.0.1   |
+----------------+

使用--register-factor=2选项，因为当前的INITIAL AUTHENTICATION IDENTIFIED BY子句当前作为第一个身份验证方法。用户必须使用第二个因素提供临时密码。成功注册后，服务器将删除临时密码，并将帐户条目在mysql.user系统表中更改为仅使用authentication_webauthn作为唯一的(1FA)身份验证方法。

创建无密码身份验证帐户时，需要在CREATE USER语句中包含INITIAL AUTHENTICATION IDENTIFIED BY子句。服务器接受不包含该子句的语句，但结果帐户不可用，因为没有办法连接到服务器以注册设备。假设执行以下语句：

CREATE USER 'u2'@'localhost'
  IDENTIFIED WITH authentication_webauthn;

随后尝试使用帐户连接失败，如下所示：

$> mysql --user=u2 --skip-password
mysql: [Warning] Using a password on the command line can be insecure.
No FIDO device on client host.
ERROR 1 (HY000): Unknown MySQL error

可以取消FIDO/FIDO2设备与MySQL帐户关联。这可能是由于多种原因：

取消注册FIDO/FIDO2设备可以由帐户所有者或拥有CREATE USER特权的用户执行。使用以下语法：

ALTER USER user {2 | 3} FACTOR UNREGISTER;

要重新注册设备或进行新的注册，请参阅Using WebAuthn Authentication中的说明。

本节提供了MySQL和WebAuthn如何一起身份验证MySQL用户的概述。要了解如何设置MySQL帐户以使用WebAuthn身份验证插件，请参阅Using WebAuthn Authentication。

使用 WebAuthn 认证的账户必须在连接服务器前首先进行设备注册步骤。注册完成后，认证可以继续进行。WebAuthn 设备注册过程如下：

在注册成功后，WebAuthn 认证将按照以下过程进行：