和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。

https://docs.mongodb.com/manual/reference/method/db.dropAllUsers/

https://docs.mongodb.com/v2.6/tutorial/add-user-to-database/

以下测试理解

查看数据库:

  1. > show dbs

发现 admin 竟然没有!~

找了好久,找不到相关说明,于是直接创建用户admin

  1. use admin
  2. db.createUser(
  3. {
  4. user: "admin",
  5. pwd: "admin",
  6. roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  7. }
  8. )

成功创建,再查询admin中的集合,有数据了!

  1. > show collections
  2. system.indexes
  3. system.users
  4. system.version

查看3个集合的信息:

  1. > db.system.users.find();
  2. { "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }
  3. >
  4. > db.system.indexes.find();
  5. { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }
  6. { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }
  7. { "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }
  8. >
  9. > db.system.version.find();
  10. { "_id" : "authSchema", "currentVersion" : 5 }
  11. >

现在启用 auth:
[root@localhost ~]# vi /etc/mongod.conf

  1. auth=true

重启 mongod 服务:

[root@localhost ~]# service mongod restart

直接默认登录,查看集合,发现无权操作了:

[root@localhost ~]# mongo

  1. [root@localhost ~]# mongo
  2. MongoDB shell version: 3.0.2
  3. connecting to: test
  4. > show dbs
  5. 2015-05-09T21:57:03.176-0700 E QUERY    Error: listDatabases failed:{
  6. "ok" : 0,
  7. "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }",
  8. "code" : 13
  9. }
  10. at Error (<anonymous>)
  11. at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)
  12. at shellHelper.show (src/mongo/shell/utils.js:630:33)
  13. at shellHelper (src/mongo/shell/utils.js:524:36)
  14. at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47
  15. >

刚才在数据库 admin 创建了一个账户 admin ,先到数据admin进来连接(其他db则失败):

  1. [root@localhost ~]# mongo
  2. MongoDB shell version: 3.0.2
  3. connecting to: test
  4. >
  5. > db.auth("admin","admin")
  6. Error: 18 Authentication failed.
  7. 0
  8. > use mydb
  9. switched to db mydb
  10. > db.auth("admin","admin")
  11. Error: 18 Authentication failed.
  12. 0
  13. > use admin
  14. switched to db admin
  15. > db.auth("admin","admin")
  16. 1
  17. >

db.auth("admin","admin") 返回值为1,说明登录成功!~db.auth("admin","admin") 记录是不存在的,执行完后这一行在shell中不会记录历史。

所以现在创建另一个用户"myuser"

  1. db.createUser(
  2. {
  3. user: "myuser",
  4. pwd: "myuser",
  5. roles: [ { role: "readWrite", db: "mydb" } ]
  6. }
  7. )

也可以增删角色:

  1. #授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
  2. db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])
  3. #取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
  4. db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])

因为在admin数据库创建的,只能在 admin 数据库中登录:

  1. > db.auth("myuser","myuser")
  2. Error: 18 Authentication failed.
  3. 0
  4. >
  5. > db
  6. mydb
  7. > use admin
  8. switched to db admin
  9. > db.auth("myuser","myuser");
  10. 1
  11. >

此时是可以切换到所在的数据库进行相关操作:

  1. > use mydb
  2. switched to db mydb
  3. >
  4. > db.tab.save({"id":999});
  5. WriteResult({ "nInserted" : 1 })
  6. >
  7. > db.tab.find({"id":999});
  8. { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
  9. >
  10. > show collections
  11. system.indexes
  12. tab
  13. >

在创建用户时可以在其数据库中创建,这样不用每次都进入admin数据库登录后再切换。如在数据库"mydb"创建用户"userkk"。

  1. use admin
  2. db.auth("admin","admin")
  3. use mydb
  4. db.createUser(
  5. {
  6. user: "userkk",
  7. pwd: "userkk",
  8. roles: [ { role: "dbOwner", db: "mydb" } ]
  9. }
  10. )
  11. db.auth("userkk","userkk")

------------------------------------------------------------------------------------------------------------------

华丽分割

------------------------------------------------------------------------------------------------------------------

现在授权测试:

#先访问到admin数据库

  1. use admin
  2. db.auth("admin","admin")

#切换到 mydb ,在数据库 mydb 中创建角色
#roles: 创建角色"testRole"在数据库 "mydb" 中
#privileges: 该角色可查看"find"数据库"mydb"的所有集合
#db.dropRole("testRole")

  1. use mydb
  2. db.createRole({
  3. role: "testRole",
  4. privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],
  5. roles: []
  6. })

#在admin数据库生成集合system.roles。查看角色。

  1. > use admin
  2. switched to db admin
  3. >
  4. > show collections
  5. system.indexes
  6. system.roles
  7. system.users
  8. system.version
  9. >
  10. > db.system.roles.find();
  11. { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }
  12. >

#回到mydb,在数据库mydb中创建用户并授予角色"testRole"
#db.dropUser("userkk")

  1. use mydb
  2. db.createUser(
  3. {
  4. user: "userkk",
  5. pwd: "userkk",
  6. roles: [ { role: "testRole", db: "mydb" } ]
  7. }
  8. )

退出mongodb,重新登录进行操作。发现只能使用find
>exit

  1. [root@localhost ~]# mongo
  2. MongoDB shell version: 3.0.2
  3. connecting to: test
  4. > use mydb
  5. switched to db mydb
  6. >
  7. > db.auth("userkk","userkk")
  8. 1
  9. >
  10. > db.tab.find({"id":999})
  11. { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
  12. >
  13. > db.tab.insert({"id":1000})
  14. WriteResult({
  15. "writeError" : {
  16. "code" : 13,
  17. "errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"
  18. }
  19. })
  20. >

给角色 "testRole"  添加3个 “Privileges”权限: "update", "insert", "remove"。再重新操作。

  1. use admin
  2. db.auth("admin","admin")
  3. use mydb
  4. #添加Privileges给角色
  5. db.grantPrivilegesToRole("testRole",
  6. [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}
  7. ])
  8. exit #退出mongodb重新登录
  9. use mydb
  10. db.auth("userkk","userkk")
  11. #增删数据可以操作了!~
  12. db.tab.insert({"id":1000})
  13. db.tab.find({"id":1000})
  14. db.tab.remove({"id":1000})
  15. #此时admin的角色记录为:
  16. > db.system.roles.find();
  17. { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }
  18. >

#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换!~

  1. use admin
  2. db.auth("admin","admin")
  3. use mydb
  4. db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })
  5. db.auth("userkk","userkk")
  6. show dbs

关于角色,参考官方文档提取总结如下:

角色分类

角色

权限及角色

(本文大小写可能有些变化,使用时请参考官方文档)

Database User Roles

read

CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections

readWrite

CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats,

DropCollection,CreateIndex,DropIndex,Emptycapped,Find,

Insert,KillCursors,ListIndexes,ListCollections,Remove,

RenameCollectionSameDB,update

Database Administration Roles

dbAdmin

collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections,

dropCollection 和 createCollection 在 system.profile

dbOwner

角色:readWrite, dbAdmin,userAdmin

userAdmin

ChangeCustomData,ChangePassword,CreateRole,CreateUser,

DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser

Cluster Administration Roles

clusterAdmin

角色:clusterManager, clusterMonitor, hostManager

clusterManager

AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig,

ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus,

ReplSetStateChange,Resync,

EnableSharding,MoveChunk,SplitChunk,splitVector

clusterMonitor

connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter,

getShardMap,hostInfo,inprog,listDatabases,listShards,netstat,

replSetGetStatus,serverStatus,shardingState,top

collStats,dbStats,getShardVersion

hostManager

applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler,

diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop,

logRotate,resync,setParameter,shutdown,touch,unlock

Backup and Restoration Roles

backup

提供在admin数据库mms.backup文档中insert,update权限

列出所有数据库:listDatabases

列出所有集合索引:listIndexes

对以下提供查询操作:find

*非系统集合

*系统集合:system.indexes, system.namespaces, system.js

*集合:admin.system.users 和 admin.system.roles

restore

非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限:

collMod,createCollection,createIndex,dropCollection,insert

列出所有数据库:listDatabases

system.users :find,remove,update

All-Database Roles

readAnyDatabase

提供所有数据库中只读权限:read

列出集群所有数据库:listDatabases

readWriteAnyDatabase

提供所有数据库读写权限:readWrite

列出集群所有数据库:listDatabases

userAdminAnyDatabase

提供所有用户数据管理权限:userAdmin

Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases

admin.system.users和admin.system.roles:

collStats,dbHash,dbStats,find,killCursors,planCacheRead

createIndex,dropIndex

dbAdminAnyDatabase

提供所有数据库管理员权限:dbAdmin

列出集群所有数据库:listDatabases

Superuser Roles

root

角色:dbOwner,userAdmin,userAdminAnyDatabase

readWriteAnyDatabase, dbAdminAnyDatabase,

userAdminAnyDatabase,clusterAdmin

Internal Role

__system

集群中对任何数据库采取任何操作

参考:mongo Shell Methods  , Built-In RolesSecurity Methods in the mongo Shell

MongoDB 基础 -安全性-(权限操作)的更多相关文章

  1. MongoDB基础命令及操作

    MongoDB:NoSQL数据库 MongoDB中的重要指示点 MongoDB中的三要素 数据库 集合 文档 MongoDB中的数据存储是以Bson的形式存储的,Bson是二进制的json,所以看上去 ...

  2. mongodb基础学习14-mapReduce操作

    mapReduce随着大数据的兴起而流行,相当于传统数据库的group操作,强项在于分布式计算. map:将一组记录的相关信息映射到一个数组 reduce:对map得到的数组数据进行处理得到一个结果 ...

  3. mongodb基础系列——数据库查询数据返回前台JSP(一)

    经过一段时间停顿,终于提笔来重新整理mongodb基础系列博客了. 同时也很抱歉,由于各种原因,没有及时整理出,今天做了一个demo,来演示,mongodb数据库查询的数据在JSP显示问题. 做了一个 ...

  4. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限

    上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...

  5. windows下mongodb基础玩法系列二CURD操作(创建、更新、读取和删除)

    windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) windows下 ...

  6. Mongodb基础与入门

    一:基本了解                1. 特点                        基于分布式文件存储的NoSql数据库.能为WEB应用提供可扩展的高性能数据存储解决方案.      ...

  7. Mongodb 笔记01 MongoDB 简介、MongoDB基础知识、启动和停止MongoDB

    MongoDB 简介 1. 易于使用:没有固定的模式,根据需要添加和删除字段更加容易 2. 易于扩展:MongoDB的设计采用横向扩展.面向文档的数据模型使它能很容易的再多台服务器之间进行分割.自动处 ...

  8. MongoDB基础

    1.概念及特点 说明:由于部分语句中$ 符号无法正常显示,使用¥代表 概念 MongoDB是一个基于文档的分布式的开源的NoSQL数据库,文档的结构为BSON形式,每一个文档都有一个唯一的Object ...

  9. MongoDB学习笔记—权限管理

    1.MongoDB权限介绍 a 上篇文章中,我们在Linux下配置了MongoDB环境并且将其设置为服务随机器启动而启动,那么接下来这篇文章我们就来简单说一下MongoDB下对登录用户权限的管理. b ...

随机推荐

  1. UI第六节——UINavigationController 详解

    1. UINavigationController 是一个容器类.里面盛放的是UIViewController. 容器的意思是,如果你不放入UIViewController,里面就是空的,什么也没有. ...

  2. 【PHP面向对象(OOP)编程入门教程】22.把对象串行化serialize()方法,__sleep()方法,__wakeup()方法

    有时候需要把一个对象在网络上传输,为了方便传输,可以把整个对象转化为二进制串,等到达另一端时,再还原为原来的对象,这个过程称之为串行化(也叫序列化), 就像我们现在想把一辆汽车通过轮船运到美国去,因为 ...

  3. 【C语言入门教程】4.9 指向指针的指针

    指针变量可以指向另一个指针变量,这种操作并不是将一个指针变量所指向的内存地址传递给另一个指针变量,而是定义一种指向指针类型的指针变量,可将其称为双重指针.双重指针的定义形式为: 数据类型 **变量名: ...

  4. WPF:类型转换器的实现

    类型转换器提供字符串文本到值的转换方法来帮助WPF设计时在XAML中配置属性.具体用法可以参考MSDN的文档:如何:实现类型转换器. 下面是一个Demo,参考自<葵花宝典--WPF自学手册> ...

  5. C++之通用队列模版

    功能:在qtcreator上用模版的方式实现队列数据格式存储多样化. 模版实现的两种方式: 1.模版的实现直接在头文件里声明并定义,别的类通过#include"*.h"进行包含,则 ...

  6. javascript小技巧(非常全)

    事件源对象 event.srcElement.tagName event.srcElement.type 捕获释放 event.srcElement.setCapture();  event.srcE ...

  7. IE6对png图片的处理

    在学习phpcms系统搜索模块的时候,发现下面这段代码: <!--[if IE 6]> <script type="text/javascript" src=&q ...

  8. MongoDB的索引(三)

    MongoDB的索引: 1. _id索引 该索引是大多数集合默认创建的索引,也就是说用户每插入一个数据,MongoDB会自动生成一条唯一的_id字段. 2. 单键索引 单键索引是最普通的索引,它不会自 ...

  9. UIMenuController使用

    - (void)bubbleDidLongPress:(UILongPressGestureRecognizer *)gestureRecognizer { if(gestureRecognizer. ...

  10. [lintcode 14] First Position of Target

    For a given sorted array (ascending order) and a target number, find the first index of this number ...