MongoDB已经定义了一些内建角色,同时还提供了用户自定义角色的功能,以满足用户千差万别的需求。

官文User-Defined Roles中对其有简略介绍,但要熟悉怎么创建角色,还需要了解下面的这些概念:

-(数据库)操作(Privilege Actions)

-(数据库)资源(Resource)

-Scope

-权限(Privileges)

-权限继承(Inherited Privileges)

-

上面的概念可以参考下面的官文:

Role-Based Access Control

Privilege Actions

Resource Document

官文中下面几句话孤以为是重点:

1.When adding a role, you create the role in a specific database.

在添加角色时,是将角色添加到某个数据库下。

2.MongoDB uses the combination of the database and the role name to uniquely define a role.

MongoDB使用 数据库和角色名 作为 角色的 唯一标识。

3.MongoDB stores all role information in the system.roles collection in the admin database.

MongoDB将所有角色信息存储到 admin数据库下的名为system.roles的集合 中。

4.A MongoDB privilege comprises a resource and the permitted actions.

一个MongoDB权限 包含一个资源上允许的操作,即可以对某个资源做什么。

5.a user-defined role scoped for a non-admin database VS. User-defined roles scoped for the admin database

自定义在非admin数据库上的角色 对比 自定义在admin数据库上的角色

上面两种角色 孤的翻译或许不准确,请读者提供意见,后者有用更多能力——创建、更新、继承等方面。

怎么创建角色呢?

本文的重点。更准确的说法应该是 怎么创建某个数据库的角色?使用db.createRole()!

官文db.createRole()中给出了其具体使用方法:

db.createRole(role, writeConcern)

参数role是必须的,定义了角色名称及其权限定义;参数writeConcern是可选的,暂不熟悉其用法及意义,请参考官文Write Concern

官文db.createRole()中给出的role参数(document)的规范:

其中,

role为角色名称;

privileges为 权限(资源上的操作)列表;

roles为 需要继承的 某些角色 在 某个数据库上的权限 的列表;

authenticationRestrictions为 服务器对该角色 强制要求的认证限制,可选项,比如,只允许某些IP地址的拥有该角色的用户的连接请求(很有用啊!)。

当然,具体细节请参考官文db.createRole()及其它官文。

疑问:角色名称 可以使用哪些字符?是否能用点号(.)等?是否可以用中文?长度限制?加上数据库名后的长度限制(唯一标识)?每个数据库可以创建多少个角色?整个服务器呢?整个Replica Set呢?更大规模的呢?

提示:本文涉及到单例MongoDB服务器,而没有涉及到Replica Set、集群等更大规模的角色管理,还需要继续dig(以后项目用到了再dig也不迟,近期可以考虑熟悉Replica Set的相关操作)。

提示:在创建角色前,请确认当前用户是否在目标资源上拥有createRole、grantRole、setAuthenticationRestriction等操作的权力。否则,创建失败。

下面是官文db.createRole()中的一个示例(JavaScript格式?):

 use admin
db.createRole(
{
role: "myClusterwideAdmin",
privileges: [
{ resource: { cluster: true }, actions: [ "addShard" ] },
{ resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
{ resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
{ resource: { db: "", collection: "" }, actions: [ "find" ] }
],
roles: [
{ role: "read", db: "admin" }
]
},
{ w: "majority" , wtimeout: 5000 }
)

更多示例请参考官文Manage Users and Roles(下午孤也会去看看这个)。

提示:示例 真的很重要!可以加快学习的进程和效率!节约时间(生命)!

【角色管理】

对了,除了创建角色,MongoDB还允许修改角色、更新角色、删除角色等,请在官文mongo Shell Methods - Role Management查看更多信息:

后记

怎么为不同规模的MongoDB应用创建角色呢?策略是什么?

做了MongoDB里面的相关安全操作,可以保证多大程度的安全?

模糊地记得,数据库文件会被锁住,这个又该怎么办?提高操作系统、网络等的安全性?

MongoDB源码漏洞出现时,怎么第一时间发现并解决?保证数据的安全性、保证基于MongoDB的应用的稳定性?

额,还有好多要做的。

当然,知识的内容很多,普通程序员、高级程序员、架构师需要了解的东西不一样,需要循序渐进才是!

要是精通MongoDB了,直接做MongoDB管理员好了!

路漫漫~

角色创建成功后,就可以考虑建立基于角色的用户了。

MongoDB安全:创建角色(User-Defined Roles)的更多相关文章

  1. MongoDB的内置角色 Built-In Roles

    关于芒果的权限控制说白了就是定义 Role(角色) 来控制对数据库进行的操作(调用的方法比如查询方法find). 系统内置的Role分为 以下几大类: Database User Roles 这个是针 ...

  2. [Config]Zabbix的Mongodb插件安装,centos

    1.yum install php-devel php-pear httpd-devel 2.安装mongo php驱动,pecl install mongo 3.pecl install mongo ...

  3. Codeigniter MongoDB类库

    安装方法:1.将mongodb.php 放到config目录2.将Mongo_db.php放到library目录 使用方法: $this->mongo_db->where_gte('age ...

  4. ECOS-Ecstore mongodb大数据 读写效率优化

    转自同功BBS 拆表存取kv <?php /* 经过拆变优化的ECStore mongodb 类 base/lib/kvstore/mongodb.php*/ class base_kvstor ...

  5. A Framework for Programme Management

    In business today organisations manage multiple projects concurrently with shared or overlapping res ...

  6. Linux_Oracle命令大全

     一,启动 1.#su - oracle              切换到oracle用户且切换到它的环境 2.$lsnrctl status           查看监听及数据库状态 3.$ls ...

  7. 【Ansible】Playbook实例

    Learn to build Ansible playbooks with our guide, one step at a time In our previous posts, we introd ...

  8. [EXT JS]"hasMany" association on ExtJS 4.1.1a

    ExtJS uses "hasMany" association to support nested json. However the sencha docs lacks wel ...

  9. Linux_oracle命令大全(转)

    Linux_oracle命令大全 一,启动 1.#su - oracle              切换到oracle用户且切换到它的环境 2.$lsnrctl status           查看 ...

随机推荐

  1. wazuh官方安装指南(中文译版本)

      安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上.最常见安装在Linux上.如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单. 通 ...

  2. linux内核分析 第六周读书笔记

    第三章 进程管理 3.1 进程 进程:处于执行期的程序 线程是在进程活动中的对象:内核调度的对象是线程而不是进程,在Linux系统中,并不区分线程和进程 在现代操作系统中, 进程提供两种虚拟机制:虚拟 ...

  3. 解题:洛谷 p1858 多人背包

    题面 设$dp[i][j]$表示容量为$i$时的第$j$优解,因为是优解,肯定$dp[i][j]$是随着$j$增大不断递减的,这样的话对于一个新加进来的物品,它只可能从两个容量的转移的前$k$优解中转 ...

  4. Luogu 1220 关路灯(动态规划)

    Luogu 1220 关路灯(动态规划) Description 某一村庄在一条路线上安装了n盏路灯,每盏灯的功率有大有小(即同一段时间内消耗的电量有多有少).老张就住在这条路中间某一路灯旁,他有一项 ...

  5. python基础之函数进阶之函数作为返回值/装饰器

    因为装饰器需要用到返回函数的知识,所以在这里将返回函数和装饰器合并讲解. 什么是返回函数? 我们知道,一个函数中return可以返回一个或者多个值,但其实,return不仅可以返回值,还可以返回函数. ...

  6. PHP判断变量类型和类型转换的三种方式

    前言: PHP 在变量定义中不需要(不支持)明确的类型定义.变量类型是根据使用该变量的上下文所决定的.所以,在面对页码跳转.数值计算等严格的格式需求时,就要对变量进行类型转换. 举例如下: $foo ...

  7. Java基础-IO流对象之转换流(InputStreamReader与OutoutStreamWriter)

    Java基础-IO流对象之转换流(InputStreamReader与OutoutStreamWriter) 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.转换流概述 我们之前 ...

  8. UIScrollView增加回弹效果

    项目中经常要增加上下滑动回弹的效果: self.scrollView.alwaysBounceVertical = YES;

  9. Jenkins + jmeter + ant + git 自动化集成

     背景: 目前测试组项目多,手头任务紧,且回归测试任务量较大,经过组内讨论采用相对快速高效的方式(自动化接口测试类型),在迭代任务中把主要精力集中在新需求测试:而回归测试时,主要采用自动化测试,提高测 ...

  10. js截取字符串substr和substring的区别

    定义substr() 方法可在字符串中抽取从 start 下标开始的指定数目的字符.substring() 方法用于提取字符串中介于两个指定下标之间的字符. 语法substr()        str ...