Mongodb如何开启用户访问控制详解

 更新时间:2017年01月25日 09:04:08   作者:不争  
默认启动 MongoDB 服务时没有任何参数,可以对数据库任意操 作,而且可以远程访问数据库,所以推荐开发阶段可以不设置任何参数,但对于生产环境还是要仔细考虑一下安全方面的因素,下面就介绍了Mongodb开启用户访问控制的相关资料。

前言

Mongodb 数据库默认情况下是没有访问控制的,整个数据库对外是开发的,只要能连上数据库,则可以进行任何操作,这会对数据带来很大的风险。当然,我们可以启用mongodb的访问控制,只让通过认证的用户才能对数据库进行角色范围内的操作。

启用访问控制可以通过在启动 mongodb 时指定 --auth 参数来设置,另外还涉及到创建用户 db.createUser 操作以及一些角色的定义,我们先来看这部分内容。

db.createUser() 用法

db.createUser({
 user: "$USERNAME",
 pwd: "$PASSWROD",
 roles: [
 { role: "$ROLE_NAME", db: "$DBNAME"}
 ]
})

参数说明:

  • user 是用户名
  • pwd 是密码
  • role 来指定用户的角色
  • db 来指定所属的数据库
  • roles 是用户所有角色的集合

Mongodb 预定义角色

Mongodb 中预定义了一些角色,把这些角色赋予给适当的用户上,用户就只能进行角色范围内的操作。

1、数据库用户角色 (所有数据库都有)

  • read 用户可以读取当前数据库的数据
  • readWrite 用户可以读写当前数据库的数据

2、数据库管理角色(所有数据库都有)

  1. dbAdmin 管理员用户但不能对用户和角色管理授权
  2. dbOwner 数据库所有者可进行任何管理任务
  3. userAdmin 可以管理当前数据的用户和角色

3、集群管理角色(admin数据库可用)

  1. clusterAdmin 集群所有管理权限,是 clusterManager , clusterMonitor, hostManager 合集
  2. clusterManager 集群管理和监控
  3. clusterMonitor 集群监控,只读的
  4. hostManager 监控和管理服务器

4、备份和恢复角色(admin数据库可用)

  1. backup
  2. restore

5、所有数据库角色(admin数据库可用)

  1. readAnyDatabase 读取所有数据库
  2. readWriteAnyDatabase 读写所有数据库
  3. userAdminAnyDatabase 所有数据库的 userAdmin 权限
  4. dbAdminAnyDatabase 所有数据库的 dbAdmin 权限

6、超级角色(admin数据库可用)

  1. root 超级用户

7、内部角色

  • __system 所有操作权限

更多预定于角色的信息请参看:https://docs.mongodb.com/manual/core/security-built-in-roles/

启用访问控制的步骤

1, 启动 mongodb 实例,关闭 访问控制

不带 --auth

./mongod

2, 连接上 mongodb 实例

./mongo

3,创建用户管理员

在 admin 数据库中添加一个 具有 userAdminAnyDatabase 角色的用户作为用户管理用户。下面的例子中创建了 admin 为用户管理员。

> use admin
switched to db admin
> db.createUser({
... user: "admin",
... pwd: "admin",
... roles: [
... { role: "userAdminAnyDatabase", db: "admin"}
... ]
... })
Successfully added user: {
 "user" : "admin",
 "roles" : [
  {
   "role" : "userAdminAnyDatabase",
   "db" : "admin"
  }
 ]
}
>

退出连接

4,重启数据库启用访问控制

命令行启动,只需要添加 --auth 参数

./mongo --auth

5,使用管理用户连接,有两种方法

  1. 使用命令行 ./mongo -u "$USERNAME" -p "$PASSWROD" --authenticationDatabase "admin"
  2. 使用 db.auth()

我们使用第二种

> 
> use admin
switched to db admin
> db.auth("admin", "admin")
1
>

1 表示认证成功

6, 为某个数据库创建独立用户

以下为 test 数据库 创建具有读写权限的用户 test

admin 用户由于只有 userAdminAnyDatabase 权限,所以没有 test 数据的读写权限,所以,为了读写 test 数据库,我们需要创建一个用户。先看一下直接用 admin 会报什么错误

> use test
> show collections
2017-01-13T13:49:17.691+0800 E QUERY [thread1] Error: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on test to execute command { listCollections: 1.0, filter: {} }",
"code" : 13
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
DB.prototype._getCollectionInfosCommand@src/mongo/shell/db.js:773:1
DB.prototype.getCollectionInfos@src/mongo/shell/db.js:785:19
DB.prototype.getCollectionNames@src/mongo/shell/db.js:796:16
shellHelper.show@src/mongo/shell/utils.js:754:9
shellHelper@src/mongo/shell/utils.js:651:15
@(shellhelp2):1:1

我们直接使用 show collections , 则报错:not authorized on test to execute command ,意思是没有权限。

> use test
switched to db test
> db.createUser({
... user: "test",
... pwd: "test",
... roles: [
... { role: "readWrite", db: "test"}
... ]
... })
Successfully added user: {
 "user" : "test",
 "roles" : [
  {
   "role" : "readWrite",
   "db" : "test"
  }
 ]
}
>

然后我们使用 db.auth(“test”, “test”) , 再执行命令 则没有报错

> db.auth("test", "test")
1
> 
> show collections

试着写入一条数据,也是正常的。

> db.t.insert({name:"buzheng"});
WriteResult({ "nInserted" : 1 })
> db.t.find();
{ "_id" : ObjectId("58786c84bf5dd606ddfe1144"), "name" : "buzheng" }
>

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

相关文章

  • MongoDB常用数据类型分享

    MongoDB常用数据类型分享

    这篇文章主要介绍了MongoDB常用数据类型,   JSON是一种简单的数据表示方式,它易于理解、易于解析、易于记忆, BSON是一种类JSON的二进制形式的存储格,更多类型需要的小伙伴可以参考下文详细介绍
    2022-04-04
  • MongoDB账户密码设置的方法详解

    MongoDB账户密码设置的方法详解

    这篇文章主要给大家介绍了关于MongoDB账户密码设置的相关资料,我们知道mysql在安装的时候需要我们设置一个数据库默认的用户名和密码,mongodb也不例外,需要的朋友可以参考下
    2023-09-09
  • Mongo管理用户相关操作总结

    Mongo管理用户相关操作总结

    这篇文章主要介绍了Mongo管理用户相关操作总结,本文讲解了列出所有用户、禁用认证模式、创建用户、特定数据库管理权限的用户、一般用户、删除用户等常用操作技巧、操作示例,需要的朋友可以参考下
    2015-07-07
  • 关于单台MongoDB实例开启Oplog的过程详解

    关于单台MongoDB实例开启Oplog的过程详解

    这篇文章主要给大家介绍了关于单台MongoDB实例开启Oplog的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2018-09-09
  • mongodb数据库迁移变更的解决方案

    mongodb数据库迁移变更的解决方案

    众所周知mongodb数据库是一个非关系类型的数据,有着非常灵活和高性能的特点得到了开发者的喜爱,这篇文章主要给大家介绍了关于mongodb数据库迁移变更的相关资料,需要的朋友可以参考下
    2021-09-09
  • mongose 模糊检索实现方法示例详解

    mongose 模糊检索实现方法示例详解

    这篇文章主要为大家介绍了mongose 模糊检索实现方法示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-08-08
  • MongoDB中对文档的增删查改基本操作方法总结

    MongoDB中对文档的增删查改基本操作方法总结

    MongoDB是一个NoSQL数据库,其中document文档就相当于关系型数据库中的行,这里我们初步整理了MongoDB中对文档的增删查改基本操作方法总结,需要的朋友可以参考下:
    2016-06-06
  • Mongodb启动命令参数中文说明

    Mongodb启动命令参数中文说明

    这篇文章主要介绍了Mongodb启动命令参数中文说明,本文包括基本配置、主/从参数、Sharding(分片)选项等内容,需要的朋友可以参考下
    2014-10-10
  • MongoDB性能篇之创建索引,组合索引,唯一索引,删除索引和explain执行计划

    MongoDB性能篇之创建索引,组合索引,唯一索引,删除索引和explain执行计划

    这篇文章主要介绍了MongoDB性能篇之创建索引,组合索引,唯一索引,删除索引和explain执行计划的相关资料,需要的朋友可以参考下
    2016-02-02
  • 如何对 MongoDB 进行性能优化(五个简单步骤)

    如何对 MongoDB 进行性能优化(五个简单步骤)

    MongoDB一直是最流行的NoSQL,而根据DB-Engines Ranking最新的排行,时下MongoDB已经击败PostgreSQL跃居数据库总排行的第四位,仅次于Oracle、MySQL和Microsoft SQL Server。本文给大家介绍MongoDB性能优化的简单总结。
    2015-10-10

最新评论