IDENTIFIED WITH を指定すると、サーバーは指定されたプラグインを割り当てますが、そのアカウントにパスワードはありません。

IDENTIFIED BY を指定すると、サーバーはプラグインを暗黙的に割り当て、さらに指定されたパスワードを割り当てます。

IDENTIFIED WITH と IDENTIFIED BY のどちらも指定しない場合、サーバーはプラグインを暗黙的に割り当てますが、そのアカウントにパスワードはありません。

MySQL 5.6.6 の時点では、サーバーはそのアカウントにデフォルトのプラグインを割り当てます。このプラグインが、そのアカウントの mysql.user テーブル行内の plugin カラムの値になります。デフォルトのプラグインは、サーバーの起動時に --default-authentication-plugin オプションがほかの値に設定されないかぎり、mysql_native_password です。

MySQL 5.6.6 より前は、サーバーはそのアカウントにプラグインを割り当てません。そのアカウントの mysql.user テーブル行内の plugin カラムが空のままになります。

サーバーは、指定されたプラグインを使用してクライアントの接続試行を認証します。

SET PASSWORD を PASSWORD() とともに使用したアカウントのパスワードへの変更は、PASSWORD() で適切なパスワードハッシュ方式が使用されるように、old_passwords システム変数が認証プラグインに必要な値に設定された状態で実行する必要があります。プラグインが mysql_old_password である場合は、SET PASSWORD を、old_passwords の値には関係なく 4.1 より前のパスワードハッシュを使用する OLD_PASSWORD() とともに使用してパスワードを変更することもできます。

サーバーは、Password カラムに格納されているパスワードのハッシュ形式に応じて、mysql_native_password または mysql_old_password 認証プラグインを使用してクライアントの接続試行を認証します。

SET PASSWORD を使用したアカウントのパスワードへの変更は、old_passwords が 4.1 または 4.1 より前のパスワードハッシュを示す、それぞれ 0 または 1 に設定された状態で PASSWORD() とともに、あるいは old_passwords の値には関係なく 4.1 より前のパスワードハッシュを使用する OLD_PASSWORD() とともに実行できます。

アカウントの認証プラグインを指定するには、IDENTIFIED WITH auth_plugin を使用します。プラグイン名は、引用符で囲まれた文字列リテラルまたは引用符で囲まれていない名前にすることができます。'auth_string' は、プラグインに渡すオプションの引用符で囲まれた文字列リテラルです。その文字列の意味はプラグインによって解釈されるため、その形式はプラグイン固有です。特定のプラグインが受け入れる認証文字列の値 (存在する場合) については、そのプラグインのドキュメントを参照してください。

CREATE USER 'jeffrey'@'localhost' IDENTIFIED WITH mysql_native_password;

サーバーは、そのアカウントに指定された認証プラグインを割り当てますが、パスワードは割り当てません。クライアントは、接続時にパスワードを指定する必要がありません。ただし、パスワードのないアカウントはセキュアではありません。アカウントが確実に特定の認証プラグインを使用し、かつ対応するハッシュ形式を持つパスワードが設定されるようにするには、IDENTIFIED WITH でプラグインを明示的に指定したあと、SET PASSWORD を使用してパスワードを設定します。

CREATE USER 'jeffrey'@'localhost' IDENTIFIED WITH mysql_native_password;
SET old_passwords = 0;
SET PASSWORD FOR 'jeffrey'@'localhost' = PASSWORD('mypass');

SET PASSWORD を PASSWORD() とともに使用したアカウントのパスワードへの変更は、PASSWORD() で適切なパスワードハッシュ方式が使用されるように、old_passwords システム変数がアカウントの認証プラグインに必要な値に設定された状態で実行する必要があります。そのため、代わりに sha256_password または mysql_old_password プラグインを使用するには、CREATE USER ステートメントでそのプラグインを指定し、SET PASSWORD を使用する前に old_passwords をそれぞれ 2 または 1 に設定します。(mysql_old_password の使用はお勧めできません。これは非推奨であり、そのサポートは将来の MySQL リリースで削除される予定です。)

アカウントの作成時にアカウントのパスワードを指定するには、IDENTIFIED BY をプレーンテキストのパスワードのリテラル値とともに使用します。

CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';

サーバーは、前に説明したようにそのアカウントに認証プラグインを暗黙的に割り当て、さらに特定のパスワードを割り当てます。クライアントは、接続時に特定のパスワードを指定する必要があります。

暗黙的に割り当てられたプラグインが mysql_native_password である場合は、old_passwords システム変数が 0 に設定されている必要があります。そうでない場合、CREATE USER はそのプラグインに必要な形式でパスワードをハッシュしないため、エラーが発生します。

mysql> SET old_passwords = 1;
mysql> CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';
ERROR 1827 (HY000): The password hash doesn't have the expected
format. Check if the correct password algorithm is being used with
the PASSWORD() function.

mysql> SET old_passwords = 0;
mysql> CREATE USER 'jeffrey'@'localhost' IDENTIFIED BY 'mypass';
Query OK, 0 rows affected (0.00 sec)

パスワードのハッシュ値 (パスワードに対して PASSWORD() が返す値) がわかっている場合にプレーンテキストのパスワードを指定しないようにするには、そのハッシュ値の前にキーワード PASSWORD を指定します。

CREATE USER 'jeffrey'@'localhost'
IDENTIFIED BY PASSWORD '*90E462C37378CED12064BB3388827D2BA3A9B689';

サーバーは、前に説明したようにそのアカウントに認証プラグインを暗黙的に割り当て、さらに特定のパスワードを割り当てます。このパスワードハッシュは、割り当てられたプラグインに必要な形式である必要があります。クライアントは、接続時にそのパスワードを指定する必要があります。

ユーザーがパスワードなしで接続できるようにするには、IDENTIFIED BY 句を含めないようにします。

CREATE USER 'jeffrey'@'localhost';

サーバーは、前に説明したようにそのアカウントに認証プラグインを暗黙的に割り当てますが、パスワードは割り当てません。クライアントは、接続時にパスワードを指定する必要がありません。ただし、パスワードのないアカウントはセキュアではありません。これを回避するには、SET PASSWORD を使用してアカウントのパスワードを設定します。