1. 遇到Public Key Retrieval错误时别慌最近在用DataGrip连接MySQL数据库时突然弹出一个让人头疼的错误提示[08001] Public Key Retrieval is not allowed。这个错误我遇到过好几次刚开始也是一头雾水后来慢慢摸索出了解决方法。其实这个问题很常见特别是当你使用较新版本的MySQL驱动时。简单来说这个错误是因为MySQL的安全机制在作祟。MySQL 8.0之后默认启用了更严格的安全策略其中就包括禁止客户端随意获取服务器的公钥。这本来是个好事能防止中间人攻击但有时候反而给我们开发带来了麻烦。DataGrip作为一款优秀的数据库管理工具默认遵循这个安全策略所以才会报错。我刚开始遇到这个问题时第一反应是检查用户名密码对不对然后确认网络连接是否正常。折腾了半天才发现原来问题出在JDBC连接参数上。后来我发现不只是DataGrip其他使用JDBC连接MySQL的工具也可能会遇到类似问题。2. 快速解决方案修改JDBC URL2.1 找到连接设置入口打开DataGrip后在左侧的Database面板里找到你配置的MySQL连接。右键点击这个连接选择Properties属性。这里有个小技巧如果你找不到这个选项可以试试直接双击连接名称通常也能打开配置界面。在弹出的配置窗口中你会看到几个选项卡重点关注General和Advanced这两个。在General选项卡里有个URL字段这就是我们要修改的地方。默认情况下URL大概是这样的格式jdbc:mysql://localhost:3306/your_database2.2 添加关键参数在URL的末尾我们需要添加一个重要的参数allowPublicKeyRetrievaltrue。注意要在原URL后面先加个问号(?)这是URL参数的起始符号。修改后的URL应该长这样jdbc:mysql://localhost:3306/your_database?allowPublicKeyRetrievaltrue这里有个容易踩的坑参数名一定要拼写正确。我见过有人写成allowPublicKeyRetrival少了个e或者allowPublicKeyRetrieve这样都不会生效。另外参数值必须是小写的trueTrue或TRUE都不行。2.3 测试连接并保存修改完URL后别急着关闭窗口。先点击底部的Test Connection按钮测试一下。如果看到绿色的成功提示说明问题解决了。这时候再点击Apply和OK保存设置。如果测试还是失败建议检查以下几点确认数据库服务确实在运行检查用户名密码是否正确确认端口号是否匹配3306是MySQL默认端口看看网络连接是否正常3. 为什么需要这个参数3.1 MySQL的安全机制MySQL 8.0引入了一个叫caching_sha2_password的新认证插件这是默认的认证方式。相比之前的mysql_native_password它更安全但也更严格。其中一个安全措施就是默认不允许客户端获取服务器的公钥。这个机制的本意是好的可以防止潜在的安全风险。但在某些情况下比如开发环境或者内部网络中这种严格的安全检查反而成了障碍。特别是当你的MySQL服务器配置了SSL但客户端没有正确配置时就容易出现这个错误。3.2 参数的作用原理allowPublicKeyRetrievaltrue这个参数实际上是告诉JDBC驱动如果服务器需要公钥认证你可以去获取公钥。它相当于在安全性和便利性之间做了一个折中。开启这个参数后驱动会在必要时从服务器获取公钥而不会因为安全限制而拒绝连接。需要注意的是这确实会降低一点安全性所以生产环境中要谨慎使用。但在开发测试环境特别是本地开发时这个风险是可以接受的。4. 其他可能的解决方案4.1 修改MySQL用户认证方式如果你有权限修改MySQL服务器配置可以考虑将用户的认证插件改回旧的mysql_native_password。这样就不需要设置allowPublicKeyRetrieval参数了。具体操作如下首先登录MySQL然后执行ALTER USER 你的用户名localhost IDENTIFIED WITH mysql_native_password BY 你的密码;这个方法的好处是一劳永逸修改后所有客户端连接都不需要特殊配置了。但缺点是安全性稍低而且如果是共享的数据库可能没有权限做这个修改。4.2 使用SSL连接更安全的做法是配置SSL连接。这样即使允许公钥获取通信也是加密的。在DataGrip的连接配置中可以在SSL选项卡里启用SSL并配置相关证书。不过这个方法配置起来比较复杂适合对安全性要求高的生产环境。4.3 更新JDBC驱动有时候这个问题可能是因为使用了较旧的JDBC驱动。可以尝试更新到最新版本的MySQL Connector/J。在DataGrip中可以在驱动配置页面检查当前使用的驱动版本并选择更新。5. 生产环境中的注意事项虽然allowPublicKeyRetrievaltrue能快速解决问题但在生产环境中使用要格外小心。这个参数会降低连接的安全性特别是在公网环境中。如果必须使用建议配合其他安全措施限制数据库的访问IP只允许特定的应用服务器连接使用VPN或内网专线避免数据库暴露在公网定期更换数据库密码启用数据库的审计日志监控异常连接在开发环境中为了方便可以临时开启这个参数但在部署到生产环境前最好还是采用更安全的连接方式比如配置完整的SSL/TLS加密。6. 常见问题排查6.1 修改后仍然连接失败如果添加参数后还是报错可能是其他问题导致的。建议按以下步骤排查检查MySQL服务是否正常运行确认连接字符串中的主机名、端口、数据库名都正确尝试用命令行工具如mysql命令连接看是否能成功查看MySQL的错误日志可能有更详细的错误信息6.2 参数加了但被忽略有时候会发现明明加了参数但好像没起作用。这可能是因为参数拼写错误参数位置不对应该加在URL最后其他参数之前DataGrip缓存了旧的连接配置可以尝试重启DataGrip6.3 连接时快时慢开启allowPublicKeyRetrieval后有时会发现连接速度不稳定。这是因为每次连接时驱动都需要获取公钥网络状况会影响这个过程。如果遇到这个问题可以考虑改用mysql_native_password认证或者配置SSL连接。7. 深入理解JDBC连接参数MySQL的JDBC驱动支持很多连接参数了解这些参数能帮助我们更好地处理各种连接问题。除了allowPublicKeyRetrieval还有几个常用的参数值得关注useSSL控制是否使用SSL加密连接serverTimezone设置服务器时区避免时间转换问题autoReconnect连接断开后是否自动重连connectTimeout连接超时时间毫秒这些参数都可以像allowPublicKeyRetrieval一样加在JDBC URL后面多个参数之间用分隔。例如jdbc:mysql://localhost:3306/your_db?allowPublicKeyRetrievaltrueuseSSLfalseserverTimezoneUTC掌握这些参数的用法能让你在遇到各种连接问题时快速找到解决方案。我在实际项目中就经常需要根据环境调整这些参数特别是在不同网络条件下测试时。
DataGrip连接MySQL时Public Key Retrieval问题的快速修复指南
发布时间:2026/6/21 0:24:18
1. 遇到Public Key Retrieval错误时别慌最近在用DataGrip连接MySQL数据库时突然弹出一个让人头疼的错误提示[08001] Public Key Retrieval is not allowed。这个错误我遇到过好几次刚开始也是一头雾水后来慢慢摸索出了解决方法。其实这个问题很常见特别是当你使用较新版本的MySQL驱动时。简单来说这个错误是因为MySQL的安全机制在作祟。MySQL 8.0之后默认启用了更严格的安全策略其中就包括禁止客户端随意获取服务器的公钥。这本来是个好事能防止中间人攻击但有时候反而给我们开发带来了麻烦。DataGrip作为一款优秀的数据库管理工具默认遵循这个安全策略所以才会报错。我刚开始遇到这个问题时第一反应是检查用户名密码对不对然后确认网络连接是否正常。折腾了半天才发现原来问题出在JDBC连接参数上。后来我发现不只是DataGrip其他使用JDBC连接MySQL的工具也可能会遇到类似问题。2. 快速解决方案修改JDBC URL2.1 找到连接设置入口打开DataGrip后在左侧的Database面板里找到你配置的MySQL连接。右键点击这个连接选择Properties属性。这里有个小技巧如果你找不到这个选项可以试试直接双击连接名称通常也能打开配置界面。在弹出的配置窗口中你会看到几个选项卡重点关注General和Advanced这两个。在General选项卡里有个URL字段这就是我们要修改的地方。默认情况下URL大概是这样的格式jdbc:mysql://localhost:3306/your_database2.2 添加关键参数在URL的末尾我们需要添加一个重要的参数allowPublicKeyRetrievaltrue。注意要在原URL后面先加个问号(?)这是URL参数的起始符号。修改后的URL应该长这样jdbc:mysql://localhost:3306/your_database?allowPublicKeyRetrievaltrue这里有个容易踩的坑参数名一定要拼写正确。我见过有人写成allowPublicKeyRetrival少了个e或者allowPublicKeyRetrieve这样都不会生效。另外参数值必须是小写的trueTrue或TRUE都不行。2.3 测试连接并保存修改完URL后别急着关闭窗口。先点击底部的Test Connection按钮测试一下。如果看到绿色的成功提示说明问题解决了。这时候再点击Apply和OK保存设置。如果测试还是失败建议检查以下几点确认数据库服务确实在运行检查用户名密码是否正确确认端口号是否匹配3306是MySQL默认端口看看网络连接是否正常3. 为什么需要这个参数3.1 MySQL的安全机制MySQL 8.0引入了一个叫caching_sha2_password的新认证插件这是默认的认证方式。相比之前的mysql_native_password它更安全但也更严格。其中一个安全措施就是默认不允许客户端获取服务器的公钥。这个机制的本意是好的可以防止潜在的安全风险。但在某些情况下比如开发环境或者内部网络中这种严格的安全检查反而成了障碍。特别是当你的MySQL服务器配置了SSL但客户端没有正确配置时就容易出现这个错误。3.2 参数的作用原理allowPublicKeyRetrievaltrue这个参数实际上是告诉JDBC驱动如果服务器需要公钥认证你可以去获取公钥。它相当于在安全性和便利性之间做了一个折中。开启这个参数后驱动会在必要时从服务器获取公钥而不会因为安全限制而拒绝连接。需要注意的是这确实会降低一点安全性所以生产环境中要谨慎使用。但在开发测试环境特别是本地开发时这个风险是可以接受的。4. 其他可能的解决方案4.1 修改MySQL用户认证方式如果你有权限修改MySQL服务器配置可以考虑将用户的认证插件改回旧的mysql_native_password。这样就不需要设置allowPublicKeyRetrieval参数了。具体操作如下首先登录MySQL然后执行ALTER USER 你的用户名localhost IDENTIFIED WITH mysql_native_password BY 你的密码;这个方法的好处是一劳永逸修改后所有客户端连接都不需要特殊配置了。但缺点是安全性稍低而且如果是共享的数据库可能没有权限做这个修改。4.2 使用SSL连接更安全的做法是配置SSL连接。这样即使允许公钥获取通信也是加密的。在DataGrip的连接配置中可以在SSL选项卡里启用SSL并配置相关证书。不过这个方法配置起来比较复杂适合对安全性要求高的生产环境。4.3 更新JDBC驱动有时候这个问题可能是因为使用了较旧的JDBC驱动。可以尝试更新到最新版本的MySQL Connector/J。在DataGrip中可以在驱动配置页面检查当前使用的驱动版本并选择更新。5. 生产环境中的注意事项虽然allowPublicKeyRetrievaltrue能快速解决问题但在生产环境中使用要格外小心。这个参数会降低连接的安全性特别是在公网环境中。如果必须使用建议配合其他安全措施限制数据库的访问IP只允许特定的应用服务器连接使用VPN或内网专线避免数据库暴露在公网定期更换数据库密码启用数据库的审计日志监控异常连接在开发环境中为了方便可以临时开启这个参数但在部署到生产环境前最好还是采用更安全的连接方式比如配置完整的SSL/TLS加密。6. 常见问题排查6.1 修改后仍然连接失败如果添加参数后还是报错可能是其他问题导致的。建议按以下步骤排查检查MySQL服务是否正常运行确认连接字符串中的主机名、端口、数据库名都正确尝试用命令行工具如mysql命令连接看是否能成功查看MySQL的错误日志可能有更详细的错误信息6.2 参数加了但被忽略有时候会发现明明加了参数但好像没起作用。这可能是因为参数拼写错误参数位置不对应该加在URL最后其他参数之前DataGrip缓存了旧的连接配置可以尝试重启DataGrip6.3 连接时快时慢开启allowPublicKeyRetrieval后有时会发现连接速度不稳定。这是因为每次连接时驱动都需要获取公钥网络状况会影响这个过程。如果遇到这个问题可以考虑改用mysql_native_password认证或者配置SSL连接。7. 深入理解JDBC连接参数MySQL的JDBC驱动支持很多连接参数了解这些参数能帮助我们更好地处理各种连接问题。除了allowPublicKeyRetrieval还有几个常用的参数值得关注useSSL控制是否使用SSL加密连接serverTimezone设置服务器时区避免时间转换问题autoReconnect连接断开后是否自动重连connectTimeout连接超时时间毫秒这些参数都可以像allowPublicKeyRetrieval一样加在JDBC URL后面多个参数之间用分隔。例如jdbc:mysql://localhost:3306/your_db?allowPublicKeyRetrievaltrueuseSSLfalseserverTimezoneUTC掌握这些参数的用法能让你在遇到各种连接问题时快速找到解决方案。我在实际项目中就经常需要根据环境调整这些参数特别是在不同网络条件下测试时。
![[智能体-477]:Coze:在线可视化 API 调试控制台,替代本地 Postman/Apifox、curl 命令](http://pic.xiahunao.cn/yaotu/[智能体-477]:Coze:在线可视化 API 调试控制台,替代本地 Postman/Apifox、curl 命令)
