MongoDB 用户与权限管理

一、常用权限

二、创建管理用户

    MongoDB 有一个用户管理机制，简单描述为管理用户组，这个组的用户是专门为管理普通用户而设的，暂且称之为管理员。
    管理员通常没有数据库的读写权限，只有操作用户的权限，我们只要赋予管理员`userAdminAnyDatabase`角色即可。另外管理员账户必须在 admin 数据库下创建。
    由于用户被创建在哪个数据库下，就只能在哪个数据库登录，所以把所有的用户都创建在 admin 数据库下。这样我们切换数据库时就不需要频繁进行登录了。
    先 `use admin` 切换至 admin 数据库进行登录，登录后再 use 切换其他数据库进行操作即可。第二次的 use 就不要再次登录了。MongoDB设定 use 第二个数据库时如果登录用户权限比较高就可以直接操作第二个数据库，而不需要登录。

2.1 切换数据库

管理员需要在 admin 数据库下创建，所以我们需要先切换至 admin 数据库。

2.2 查看用户

通过 db.system.users.find() 函数查看 admin 数据库中所有用户信息，目前 admin 数据库中并没有用户，所以查无结果。

2.3 创建用户

在 MongoDB 中可使用 db.createUser({用户信息})函数创建用户

db.createUser({
    user: "<name>",
    pwd: "<cleartext password>",
    customData: { <any information> },
    roles: [
        { role: "<role>", db: "<database>" } | "<role>",
        ...
    ]
});

• user: 用户名
• pwd: 密码
• customData: 存放用户相关的自定义数据，该属性也可忽略
• roles: 数组类型，配置用户的权限

实例如下：

db.createUser({user:"uadd",pwd:"uadd",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})

2.4 重启服务

管理员账户创建完成后，需要重启 MongoDB，并开启身份验证功能。
先通过db.shutdownServer()函数关闭服务

$ mongod -f /opt/mongodb/bin/mongodb.conf --auth

或者在原先的mongodb.conf文件中进行追加配置

# 数据存放目录
dbpath = /opt/mongodb/data/db
# 日志文件存放目录
logpath = /opt/mongodb/logs/mongodb.log
# 以追加的方式记录日志
logappend = true
# 端口默认为 27017
port = 27017
# 对访问 IP 地址不做限制，默认为本机地址
bind_ip = 0.0.0.0
# 以守护进程的方式启动，即在后台运行
fork = true
# 开启身份认证
auth = true

使用 db.auth(“用户名”,”密码”)进行身份认证，返回结果 1，表示认证成功，0 表示失败。

三、创建普通用户

需求：创建一个 test 数据库，给这个数据库添加一个用户，用户名为 testuser，密码为 123456，并授予该用户对 test 数据库的读写操作权限。

3.1 管理员登录数据库

普通用户需要由管理员创建，所以先使用管理员用户登录数据库。

>use admin
switched to db admin
>db.auth("uadd","uadd")
1

3.2 创建数据库

MongoDB 没有特定创建数据库的语法，在使用 use 切换数据库时，如果对应的数据库不存在，则直接创建并切换。

>use test
switched to db test

3.3 创建用户

$ db.createUser({user:"testuser",pwd:"123456",roles:[{role:"readWrite",db:"test"}]})

3.4 身份认证

登录成功后即可进行该用户所拥有的角色对应的权限的其他操作，执行以下语句测试该用户的读写权限是否可用。

>db.user.insert({"name":"zhangsan"})

四、更新用户

    如果我们需要对已存在的用户进行角色修改，可以使用 db.updateUser() 函数来更新用户角色。注意：执行该函数需要当前用户具有 userAdmin 或 userAdminAnyDatabase 或 root 角色。

db.updateUser("用户名",{"roles":[{"roles":"角色名称",db:"数据库"},{"更新项2":"更新内容"}]})

比如给刚才的 `uadd` 用户再添加 `readWriteAnyDatabase`和`dbAdminAnyDatabase`权限。

>db.updateUser("uadd",{"roles":[{role:"userAdminAnyDatabase",db:"admin"},{role:"readWriteAnyDatabase",db:"admin"},{role:"dbAdminAnyDatabase",db:"admin"}]})
>show users

更新密码

更新用户密码有以下两种方式，更新密码时需要切换懂啊该用户所在的数据库。注意：需要使用具有 userAdmin 或 userAdminAnyDatabase 或 root 角色的用户执行
使用 db.updateUser("用户名",{"pwd":"新密码"}) 函数更新密码
使用 db.changeUserPassword("用户名","新密码") 函数更新密码

删除用户

通过 db.dropUser()  函数可以删除指定用户，删除成功以后会返回 true。删除用户时需要切换到该用户所在的数据库。注意：需要使用具有 userAdmin 或 userAdminAnyDatabase 或 root 角色的用户才可以删除其他用户。

Windows 配置

首先,在你的 mongodb 目录下新建两个文件夹，一个存放数据的data文件夹，一个存放日志的logs文件夹。然后在logs文件夹下再建一个mongod.log文件。

方法一

打开命令行，进入到mongodb的bin文件夹下执行指令

mongod.exe --dbpath="D:\mongodb\data" --logpath="D:\mongodb\logs\mongod.log" --install

方法二

在mongodb目录下创建一个config的文件夹，然后在config的文件夹下再创建一个mongod.cfg文件（注：文件编码为UTF-8格式） ，文件内容如下：

systemLog:
    destination: file
    path: D:\mongodb\logs\mongod.log
    logAppend: true
storage:
    dbPath: D:\mongodb\data

回到命令行，输入指令：

mongod.exe --config "D:\mongodb\config\mongod.cfg" --install

参数解释：
--dbpath : 数据存放的路径；
--logpath：日志存放的路径；
--config : 配置文件存放的路径
--install : 配置windows服务的必要参数

打开windows服务你会发现多了一个MongoDB的服务在里面
启动MongoDB的指令：

net start MongoDB

关闭MongoDB的指令：

net stop MongoDB

设置密码

首先，连接到MongoDB创建管理员

use admin
db.createUser(
  {
    user: "root",
    pwd: "123456",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

创建成功之后，把刚刚配的windows MongoDB服务干掉
net stop MongoDB
sc delete MongoDB

删除成功后，重新配置一下windows MongoDB服务

mongod.exe --auth --config "D:\mongodb\config\mongod.cfg" --install

参数解析：
--auth: 安全验证

启动一下MongoDB服务
net start MongoDB

则需验证之后才能操作了

use admin
db.auth("root","123456")

本作品采用《CC 协议》，转载必须注明作者和本文链接