使用 SHA-256 密碼雜湊進行身分驗證的外掛程式。這比原生身分驗證提供的加密更強。請參閱第 8.4.1.1 節，「快取 SHA-2 可插拔身分驗證」和第 8.4.1.2 節，「SHA-256 可插拔身分驗證」。

一個用戶端外掛程式，可將密碼傳送到伺服器，而無需雜湊或加密。此外掛程式與伺服器端外掛程式結合使用，這些外掛程式需要存取用戶端使用者提供的確切密碼。請參閱第 8.4.1.3 節，「用戶端明文可插拔身分驗證」。

一個使用 PAM (可插拔身分驗證模組) 執行外部身分驗證的外掛程式，使 MySQL 伺服器可以使用 PAM 來驗證 MySQL 使用者。此外掛程式也支援代理使用者。請參閱第 8.4.1.4 節，「PAM 可插拔身分驗證」。

一個在 Windows 上執行外部身分驗證的外掛程式，使 MySQL 伺服器可以使用原生 Windows 服務來驗證用戶端連線。已登入 Windows 的使用者可以根據其環境中的資訊從 MySQL 用戶端程式連線到伺服器，而無需指定額外的密碼。此外掛程式也支援代理使用者。請參閱第 8.4.1.5 節，「Windows 可插拔身分驗證」。

使用 LDAP (輕量型目錄存取協定) 執行身分驗證的外掛程式，透過存取 X.500 等目錄服務來驗證 MySQL 使用者。這些外掛程式也支援代理使用者。請參閱第 8.4.1.6 節，「LDAP 可插拔身分驗證」。

一個使用 Kerberos 執行身分驗證的外掛程式，以驗證對應於 Kerberos 主體的 MySQL 使用者。請參閱第 8.4.1.7 節，「Kerberos 可插拔身分驗證」。

一個防止所有用戶端連線到任何使用此外掛程式之帳戶的外掛程式。此外掛程式的使用案例包括永遠不應允許直接登入，但只能透過代理帳戶存取的代理帳戶，以及必須能夠執行具有提升權限的儲存程式和檢視，而不會將這些權限暴露給一般使用者的帳戶。請參閱第 8.4.1.8 節，「無登入可插拔身分驗證」。

一個透過 Unix socket 檔案驗證從本機主機連線之用戶端的外掛程式。請參閱第 8.4.1.9 節，「Socket 對等認證可插拔身分驗證」。

一個使用 FIDO/FIDO2 裝置以 WebAuthn 格式驗證 MySQL 伺服器使用者的外掛程式。請參閱第 8.4.1.10 節，「WebAuthn 可插拔身分驗證」。

一個測試外掛程式，可檢查帳戶憑證並將成功或失敗記錄到伺服器錯誤記錄檔。此外掛程式旨在用於測試和開發目的，並作為如何編寫身分驗證外掛程式的範例。請參閱第 8.4.1.11 節，「測試可插拔身分驗證」。

如有必要，請安裝包含適當外掛程式的外掛程式庫。在伺服器主機上，安裝包含伺服器端外掛程式的程式庫，以便伺服器可以使用它來驗證用戶端連線。同樣地，在每個用戶端主機上，安裝包含用戶端程式使用的用戶端外掛程式的程式庫。內建的身分驗證外掛程式無需安裝。

對於您建立的每個 MySQL 帳戶，請指定要用於驗證的適當伺服器端外掛程式。如果帳戶要使用預設的身分驗證外掛程式，則帳戶建立陳述式無需明確指定外掛程式。伺服器會指派預設的身分驗證外掛程式，其決定方式如預設身分驗證外掛程式中所述。

當用戶端連線時，伺服器端外掛程式會告知用戶端程式要使用哪個用戶端外掛程式進行驗證。

使用 5.7.22 或更低版本的 MySQL 5.7 用戶端連線到使用 caching_sha2_password 進行驗證的 MySQL 9.0 伺服器帳戶。這會失敗，因為 5.7 用戶端無法辨識此外掛程式。(此問題已在 MySQL 5.7 中從 5.7.23 開始解決，當時 caching_sha2_password 用戶端支援已新增至 MySQL 用戶端程式庫和用戶端程式。)

使用 MySQL 5.7 用戶端連線到使用 mysql_old_password 驗證的 5.7 之前的伺服器帳戶。這會因多個原因而失敗。首先，此類連線需要 --secure-auth=0，這不再是支援的選項。即使支援，5.7 用戶端也無法辨識此外掛程式，因為它已在 MySQL 5.7 中移除。

使用來自 Community 發行版本的 MySQL 5.7 用戶端連線到使用 Enterprise 專用的 LDAP 身分驗證外掛程式之一進行驗證的 MySQL 5.7 Enterprise 伺服器帳戶。這會失敗，因為 Community 用戶端無法存取 Enterprise 外掛程式。

在 MySQL 5.7 中，libmysqlclient 會將 mysql_native_password 或透過 mysql_options() 的 MYSQL_DEFAULT_AUTH 選項指定的外掛程式用作其預設選擇。

當 5.7 用戶端嘗試連線到 9.0 伺服器時，伺服器會將 caching_sha2_password 指定為其預設身分驗證外掛程式，但用戶端仍會根據 mysql_native_password 或透過 MYSQL_DEFAULT_AUTH 指定的任何內容傳送憑證詳細資訊。

用戶端載入伺服器指定的外掛程式的唯一時間是針對變更外掛程式要求，但在這種情況下，它可能是任何外掛程式，具體取決於使用者帳戶。在這種情況下，用戶端必須嘗試載入外掛程式，如果該外掛程式不可用，則錯誤不是可選項。

可插拔驗證的一般限制

可插拔驗證和第三方連接器

Connector/C++: 使用此連接器的用戶端只能透過使用原生驗證的帳戶連線到伺服器。

例外情況：如果連接器是透過動態（而不是靜態）連結到 libmysqlclient 來建置的，並且它會載入已安裝的目前版本 libmysqlclient，或者如果連接器是從來源重新編譯以連結到目前的 libmysqlclient，則連接器支援可插拔驗證。

如需有關編寫連接器以處理來自伺服器關於預設伺服器端驗證外掛程式的資訊，請參閱驗證外掛程式連接器編寫注意事項。

Connector/NET: 使用 Connector/NET 的用戶端可以透過使用原生驗證或 Windows 原生驗證的帳戶連線到伺服器。

Connector/PHP: 使用此連接器的用戶端，在使用 PHP 的 MySQL 原生驅動程式 (mysqlnd) 編譯時，只能透過使用原生驗證的帳戶連線到伺服器。

Windows 原生驗證：透過使用 Windows 外掛程式的帳戶連線需要設定 Windows 網域。如果沒有設定，則會使用 NTLM 驗證，且僅能建立本機連線；也就是說，用戶端和伺服器必須在同一台電腦上執行。

Proxy 使用者： Proxy 使用者支援的可用性取決於用戶端是否可以透過使用實作 Proxy 使用者功能的驗證外掛程式驗證的帳戶連線（也就是說，可以傳回與連線使用者不同的使用者名稱的外掛程式）。例如，PAM 和 Windows 外掛程式支援 Proxy 使用者。sha256_password 驗證外掛程式預設不支援 Proxy 使用者，但可以設定為支援；請參閱伺服器對 Proxy 使用者對應的支援。

複寫：複本不僅可以使用原生驗證的複寫使用者帳戶，如果所需的用戶端外掛程式可用，也可以透過使用非原生驗證的複寫使用者帳戶連線。如果外掛程式內建於 libmysqlclient 中，則預設情況下可以使用。否則，必須將外掛程式安裝在複本端，安裝目錄名稱由複本的 plugin_dir 系統變數所指定。

FEDERATED 資料表： FEDERATED 資料表只能透過遠端伺服器上使用原生驗證的帳戶來存取遠端資料表。

未進行任何變更的現有連接器會使用原生驗證，且使用該連接器的用戶端只能透過使用原生驗證的帳戶連線到伺服器。 但是，您應該針對最新版本的伺服器測試連接器，以驗證此類連線是否仍能正常運作。

例外情況：如果連接器是動態（而不是靜態）連結到 libmysqlclient，並且它會載入已安裝的目前版本 libmysqlclient，則連接器可能無需任何變更即可使用可插拔驗證。

為了利用可插拔驗證功能，基於 libmysqlclient 的連接器應重新連結到目前版本的 libmysqlclient。這樣做可以使連接器支援透過需要目前內建於 libmysqlclient 的用戶端外掛程式（例如，PAM 驗證所需的明文外掛程式和 Windows 原生驗證所需的 Windows 外掛程式）的帳戶進行連線。連結到目前的 libmysqlclient 也可以使連接器存取安裝在預設 MySQL 外掛程式目錄（通常是本機伺服器的 plugin_dir 系統變數的預設值所指定的目錄）中的用戶端外掛程式。

如果連接器是動態連結到 libmysqlclient，則必須確保在用戶端主機上安裝了較新版本的 libmysqlclient，並且連接器在執行時載入它。

連接器支援特定驗證方法的另一種方式是在用戶端/伺服器協定中直接實作。Connector/NET 使用這種方法來提供 Windows 原生驗證的支援。

如果連接器應能夠從與預設外掛程式目錄不同的目錄載入用戶端外掛程式，則必須實作一些方式，供用戶端使用者指定目錄。可能的選項包括命令列選項或環境變數，連接器可以從這些選項或環境變數取得目錄名稱。標準 MySQL 用戶端程式（例如 mysql 和 mysqladmin）會實作 --plugin-dir 選項。另請參閱C API 用戶端外掛程式介面。

如同本節前面所述，連接器的 Proxy 使用者支援取決於其支援的驗證方法是否允許 Proxy 使用者。