MongoDB 用户与权限管理

一、常用权限

权限 说明
read 允许用户读取指定数据库
readWrite 允许用户读写指定数据库
userAdmin 允许用户向 system.users 集合写入,可以在指定数据库里创建、删除和管理用户
dbAdmin 允许用户在指定数据中执行管理函数,如索引创建、删除,查看统计或访问 system.profile
clusterAdmin 必须在 admin 数据库中定义,赋予用户所有分片和复制集相关函数和管理权限
readAnyDatabase 必须在 admin 数据库中定义,赋予用户所有数据库的读取权限
readWriteAnyDatabase 必须在 admin 数据库中定义,赋予用户所有数据库的读写权限
userAdminAnyDatabase 必须在 admin 数据库中定义,赋予用户所有数据库的 userAdmin 权限
dbAdminAnyDatabase 必须在 admin 数据库中定义,赋予用户所有数据库的 dbAdmin 权限
root 必须在 admin 数据库中定义,超级账号,超级权限

二、创建管理用户

    MongoDB 有一个用户管理机制,简单描述为管理用户组,这个组的用户是专门为管理普通用户而设的,暂且称之为管理员。
    管理员通常没有数据库的读写权限,只有操作用户的权限,我们只要赋予管理员`userAdminAnyDatabase`角色即可。另外管理员账户必须在 admin 数据库下创建。
    由于用户被创建在哪个数据库下,就只能在哪个数据库登录,所以把所有的用户都创建在 admin 数据库下。这样我们切换数据库时就不需要频繁进行登录了。
    先 `use admin` 切换至 admin 数据库进行登录,登录后再 use 切换其他数据库进行操作即可。第二次的 use 就不要再次登录了。MongoDB设定 use 第二个数据库时如果登录用户权限比较高就可以直接操作第二个数据库,而不需要登录。

2.1 切换数据库

管理员需要在 admin 数据库下创建,所以我们需要先切换至 admin 数据库。

MongoDB 用户与权限管理

2.2 查看用户

通过 db.system.users.find() 函数查看 admin 数据库中所有用户信息,目前 admin 数据库中并没有用户,所以查无结果。

MongoDB 用户与权限管理

2.3 创建用户

在 MongoDB 中可使用 db.createUser({用户信息})函数创建用户

db.createUser({
    user: "<name>",
    pwd: "<cleartext password>",
    customData: { <any information> },
    roles: [
        { role: "<role>", db: "<database>" } | "<role>",
        ...
    ]
});
  • user: 用户名
  • pwd: 密码
  • customData: 存放用户相关的自定义数据,该属性也可忽略
  • roles: 数组类型,配置用户的权限

实例如下:

db.createUser({user:"uadd",pwd:"uadd",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})

MongoDB 用户与权限管理

2.4 重启服务

管理员账户创建完成后,需要重启 MongoDB,并开启身份验证功能。
先通过db.shutdownServer()函数关闭服务

MongoDB 用户与权限管理

$ mongod -f /opt/mongodb/bin/mongodb.conf --auth

或者在原先的mongodb.conf文件中进行追加配置

# 数据存放目录
dbpath = /opt/mongodb/data/db
# 日志文件存放目录
logpath = /opt/mongodb/logs/mongodb.log
# 以追加的方式记录日志
logappend = true
# 端口默认为 27017
port = 27017
# 对访问 IP 地址不做限制,默认为本机地址
bind_ip = 0.0.0.0
# 以守护进程的方式启动,即在后台运行
fork = true
# 开启身份认证
auth = true

使用 db.auth(“用户名”,”密码”)进行身份认证,返回结果 1,表示认证成功,0 表示失败。

MongoDB 用户与权限管理

三、创建普通用户

需求:创建一个 test 数据库,给这个数据库添加一个用户,用户名为 testuser,密码为 123456,并授予该用户对 test 数据库的读写操作权限。

3.1 管理员登录数据库

普通用户需要由管理员创建,所以先使用管理员用户登录数据库。

>use admin
switched to db admin
>db.auth("uadd","uadd")
1

3.2 创建数据库

MongoDB 没有特定创建数据库的语法,在使用 use 切换数据库时,如果对应的数据库不存在,则直接创建并切换。

>use test
switched to db test

3.3 创建用户

$ db.createUser({user:"testuser",pwd:"123456",roles:[{role:"readWrite",db:"test"}]})

MongoDB 用户与权限管理

3.4 身份认证

登录成功后即可进行该用户所拥有的角色对应的权限的其他操作,执行以下语句测试该用户的读写权限是否可用。

>db.user.insert({"name":"zhangsan"})

MongoDB 用户与权限管理

四、更新用户

    如果我们需要对已存在的用户进行角色修改,可以使用 db.updateUser() 函数来更新用户角色。注意:执行该函数需要当前用户具有 userAdmin 或 userAdminAnyDatabase 或 root 角色。
db.updateUser("用户名",{"roles":[{"roles":"角色名称",db:"数据库"},{"更新项2":"更新内容"}]})

比如给刚才的 `uadd` 用户再添加 `readWriteAnyDatabase``dbAdminAnyDatabase`权限。
>db.updateUser("uadd",{"roles":[{role:"userAdminAnyDatabase",db:"admin"},{role:"readWriteAnyDatabase",db:"admin"},{role:"dbAdminAnyDatabase",db:"admin"}]})
>show users

MongoDB 用户与权限管理

更新密码

更新用户密码有以下两种方式,更新密码时需要切换懂啊该用户所在的数据库。注意:需要使用具有 userAdmin 或 userAdminAnyDatabase 或 root 角色的用户执行
使用 db.updateUser("用户名",{"pwd":"新密码"}) 函数更新密码
使用 db.changeUserPassword("用户名","新密码") 函数更新密码

删除用户

通过 db.dropUser()  函数可以删除指定用户,删除成功以后会返回 true。删除用户时需要切换到该用户所在的数据库。注意:需要使用具有 userAdmin 或 userAdminAnyDatabase 或 root 角色的用户才可以删除其他用户。

MongoDB 用户与权限管理

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!