https://www.mongodb.com/docs/v4.4/tutorial/enable-authentication/

https://www.mongodb.com/docs/manual/reference/configuration-options/#security-options

1.什么是认证

认证是验证客户端身份的过程。当启用访问控制(即授权)时,MongoDB要求所有客户端进

行身份验证,以确定其访问。

认证方法:为了验证用户,MongoDB提供了该 db.auth()方法。

对于mongoshell和MongoDB工具,可以通过从命令行传入用户身份验证信息来验证用户,认证机制

mongodb不设密码的危险

认证授权命令

db.auth() 将用户验证到数据库。

db.changeUserPassword() 更改现有用户的密码。

db.createUser() 创建一个新用户。

db.dropUser() 删除单个用户。

db.dropAllUsers() 删除与数据库关联的所有用户。

db.getUser() 返回有关指定用户的信息。

db.getUsers() 返回有关与数据库关联的所有用户的信息。

db.grantRolesToUser() 授予用户角色及其特权。

db.removeUser() 已过时。从数据库中删除用户。

db.revokeRolesFromUser() 从用户中删除角色。

db.updateUser() 更新用户数据。

db.createRole() 创建角色并指定其特权。

db.dropRole() 删除用户定义的角色。

db.dropAllRoles() 删除与数据库关联的所有用户定义的角色。

db.getRole() 返回指定角色的信息。

db.getRoles() 返回数据库中所有用户定义角色的信息。

db.grantPrivilegesToRole() 将权限分配给用户定义的角色。

db.revokePrivilegesFromRole() 从用户定义的角色中删除指定的权限

db.grantRolesToRole() 指定用户定义的角色从中继承权限的角色。

db.revokeRolesFromRole() 从角色中删除继承的角色。

db.updateRole() 更新用户定义的角色

创建超级用户、角色

1.账号、密码、认证数据库  

2.三要素,用户是在哪个库下的认证账号。

注意顺序、先创建用户、再修改配置文件开启认证功能,反了就错了。

1.操作流程:

  1.先创建管理员用户

  2.以管理员用户身份创建普通用户及权限

  3.修改配置开启认证

  4.使用普通用户登录验证

https://www.mongodb.com/docs/v4.4/tutorial/enable-authentication/#enable-access-control

2.在未开启认证的情况下创建管理员

https://www.mongodb.com/docs/v4.4/tutorial/enable-authentication/#create-the-user-administrator

use admin

db.createUser(

  {

    user: "yuchao",

    pwd: "www.yuchaoit.cn",

    roles: [ { role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase" ]

  }

)

# 文本密码,也可以加密填写   pwd: "www.yuchaoit.cn",

# userAdminAnyDatabase 所有数据库都有admin权限

# 指定库 admin

# 权限 readWriteAnyDatabase

查询admin库下的用户

> db.getUsers()

[

    {

        "_id" : "admin.yuchao",

        "userId" : UUID("b267ecea-8359-47ff-81a9-235a522a21d4"),

        "user" : "yuchao",

        "db" : "admin",

        "roles" : [

            {

                "role" : "userAdminAnyDatabase",

                "db" : "admin"

            },

            {

                "role" : "readWriteAnyDatabase",

                "db" : "admin"

            }

        ],

        "mechanisms" : [

            "SCRAM-SHA-1",

            "SCRAM-SHA-256"

        ]

    }

]

>

开启mongod服务的认证功能

[root chaoge-linux ~]#vim /opt/mongo_27017/conf/mongodb.conf

vim /opt/mongo_27017/conf/mongodb.conf

security:

    authorization: enabled

重启服务

[root chaoge-linux /data/mongo_27017]#systemctl restart mongod

[root chaoge-linux /data/mongo_27017]#ps -ef|grep mongo

mongo    125381      1  5 12:24 ?        00:00:00 /opt/mongodb/bin/mongod -f /opt/mongo_27017/conf/mongodb.conf

root     125423 124346  0 12:24 pts/0    00:00:00 grep --color=auto mongo

[root chaoge-linux /data/mongo_27017]#

账号密码登录

[root chaoge-linux /data/mongo_27017]#mongo -u yuchao -p www.yuchaoit.cn

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("3baec149-f04b-456f-bb96-c392789c7c26") }

MongoDB server version: 4.2.22

>

> db.user_info.insertOne({"name":"chaoge"})

{

    "acknowledged" : true,

    "insertedId" : ObjectId("634cda8767c5177eda761fdb")

}

>

> db.user_info.find()

{ "_id" : ObjectId("634cda8767c5177eda761fdb"), "name" : "chaoge" }

>

查询库用户信息

> use admin;

switched to db admin

> db.getUser("yuchao")

{

    "_id" : "admin.yuchao",

    "userId" : UUID("0eb3ba85-0217-4229-8158-1cae17932430"),

    "user" : "yuchao",

    "db" : "admin",

    "roles" : [

        {

            "role" : "userAdminAnyDatabase",

            "db" : "admin"

        },

        {

            "role" : "readWriteAnyDatabase",

            "db" : "admin"

        }

    ],

    "mechanisms" : [

        "SCRAM-SHA-1",

        "SCRAM-SHA-256"

    ]

}

> 

> db.getUsers()

[

    {

        "_id" : "admin.yuchao",

        "userId" : UUID("0eb3ba85-0217-4229-8158-1cae17932430"),

        "user" : "yuchao",

        "db" : "admin",

        "roles" : [

            {

                "role" : "userAdminAnyDatabase",

                "db" : "admin"

            },

            {

                "role" : "readWriteAnyDatabase",

                "db" : "admin"

            }

        ],

        "mechanisms" : [

            "SCRAM-SHA-1",

            "SCRAM-SHA-256"

        ]

    }

]

> 

# userAdminAnyDatabase 内置的管理员权限

# 解释文档

https://www.mongodb.com/docs/v4.4/reference/built-in-roles/#mongodb-authrole-userAdminAnyDatabase

查看内置所有角色

https://www.mongodb.com/docs/v4.4/reference/built-in-roles/

未认证的登录,无法操作

[root chaoge-linux /data/mongo_27017]#mongo

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("909f1db0-b677-407e-8b37-ad6fb55f2789") }

MongoDB server version: 4.2.22

> db.user_info.insertOne({"name":"chaoge"})

2022-10-17T12:28:19.179+0800 E  QUERY    [js] uncaught exception: WriteCommandError({

    "ok" : 0,

    "errmsg" : "command insert requires authentication",

    "code" : 13,

    "codeName" : "Unauthorized"

}) :

WriteCommandError({

    "ok" : 0,

    "errmsg" : "command insert requires authentication",

    "code" : 13,

    "codeName" : "Unauthorized"

})

WriteCommandError@src/mongo/shell/bulk_api.js:417:48

executeBatch@src/mongo/shell/bulk_api.js:915:23

Bulk/this.execute@src/mongo/shell/bulk_api.js:1163:21

DBCollection.prototype.insertOne@src/mongo/shell/crud_api.js:264:9

@(shell):1:1

>

创建普通库用户



要在MongoDB部署中创建用户,请连接到部署,然后使用db.createUser()方法或createUser命令添加用户。

MongoDB是一个nosql数据库服务器。

默认安装提供使用mongo命令通过命令行访问数据库而不进行身份验证。下面我们来学习如何在具有适当身份验证的Mongodb服务器中创建用户。

use crm;

> db.createUser(

  {

    user: "chaoge",

   pwd:  "www.yuchaoit.cn",

    roles: ["readWrite"]

  }

 )

Successfully added user: { "user" : "chaoge", "roles" : [ "readWrite" ] }

>

> 

> db.getUsers()

[

    {

        "_id" : "crm.chaoge",

        "userId" : UUID("c1e62274-4144-4c0d-b055-d7389bf2f674"),

        "user" : "chaoge",

        "db" : "crm",

        "roles" : [

            {

                "role" : "readWrite",

                "db" : "crm"

            }

        ],

        "mechanisms" : [

            "SCRAM-SHA-1",

            "SCRAM-SHA-256"

        ]

    }

]

# 验证数据库用户

> db.auth("chaoge","www.yuchaoit.cn")

1

验证失败

> db.auth("chaoge","www.yuchaoit.cnc")

Error: Authentication failed.

0

# 删除用户

> db.dropUser("chaoge")

true

普通用户读写数据



# 重新用普通用户登录,管理数据库

[root chaoge-linux /data/mongo_27017]#mongo -u chaoge -p www.yuchaoit.cn --authenticationDatabase crm

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?authSource=crm&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("20605a27-3798-4146-8bc3-e31bebb18cf9") }

MongoDB server version: 4.2.22

> 

# 可以删除库下的集合,库也就没了。

# 测试写入数据

[root chaoge-linux /data/mongo_27017]#mongo -u chaoge -p www.yuchaoit.cn --authenticationDatabase crm

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?authSource=crm&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("30d82bf0-5f5c-45e9-b780-e28160cee0a0") }

MongoDB server version: 4.2.22

>

> show dbs

>

> use crm

switched to db crm

> 

> show collections

ops

> db.ops.find()

{ "_id" : ObjectId("634cf4396446be98e247fb4e"), "name" : "chaoge" }

{ "_id" : ObjectId("634cf43e6446be98e247fb4f"), "name" : "sanpang" }

>

创建只读普通用户

[root chaoge-linux /data/mongo_27017]#mongo -u yuchao -p www.yuchaoit.cn

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("544fb8fa-96a1-47f4-9d16-1b79d2ca1b1a") }

MongoDB server version: 4.2.22

> use blog;

> db.createUser(

 {"user":"ergou","pwd":"123456",roles:[{role:"read",db:"blog"}]}

)

Successfully added user: {

    "user" : "ergou",

    "roles" : [

        {

            "role" : "read",

            "db" : "blog"

        }

    ]

}

>

> 

> db.blog.insertOne({"title":"超哥带你学linux www.yuchaoit.cn"})

{

    "acknowledged" : true,

    "insertedId" : ObjectId("634cf5a00173482abfaf36ed")

}

> exit

bye

# 普通用户测试

[root chaoge-linux /data/mongo_27017]#mongo -u ergou -p 123456 --authenticationDatabase blog

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?authSource=blog&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("c9c60742-e12c-438b-8dfd-61c669a11d63") }

MongoDB server version: 4.2.22

> db

test

> show dbs

blog  0.000GB

> use blog

switched to db blog

> show collections

blog

> db.blog.find()

{ "_id" : ObjectId("634cfc5a3850780b4798e2e5"), "title" : "超哥带你学linux www.yuchaoit.cn" }

{ "_id" : ObjectId("634cfc693850780b4798e2e6"), "title" : "超哥带你学linux www.yuchaoit.cn" }

无法写入数据,权限不足。

普通用户只能看到自己有权限的数据库

[root chaoge-linux /data/mongo_27017]#mongo 127.0.0.1:27017  -u ergou -p 123456 --authenticationDatabase blog

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/test?authSource=blog&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("7a737e3f-ac15-4163-b898-b1becbc0182f") }

MongoDB server version: 4.2.22

> show dbs

blog  0.000GB

>

mongodb基于角色的访问控制的更多相关文章

  1. MongoDB基础之 用户和数据库基于角色的访问控制

    mongod 关键字参数:--auth 默认值是不需要验证,即 --noauth,该参数启用用户访问权限控制:当mongod 使用该参数启动时,MongoDB会验证客户端连接的账户和密码,以确定其是否 ...

  2. .Net Core实战之基于角色的访问控制的设计

    前言 上个月,我写了两篇微服务的文章:<.Net微服务实战之技术架构分层篇>与<.Net微服务实战之技术选型篇>,微服务系列原有三篇,当我憋第三篇的内容时候一直没有灵感,因此先 ...

  3. RBAC基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  4. RBAC(Role-Based Access Control,基于角色的访问控制)

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  5. YIi 权限管理和基于角色的访问控制

    验证和授权(Authentication and Authorization) 定义身份类 (Defining Identity Class) 登录和注销(Login and Logout) 访问控制 ...

  6. RBAC(Role-Based Access Control)基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  7. 移动服务和 Azure Active Directory 中基于角色的访问控制

    编辑人员注释:本文章由 Matthew Henderson撰写 去年 11月,我们发布了 Azure Active Directory (AAD) 预览版作为移动服务身份提供程序.此举旨在为企业开 ...

  8. Azure ARM (16) 基于角色的访问控制 (Role Based Access Control, RBAC) - 使用默认的Role

    <Windows Azure Platform 系列文章目录> 今天上午刚刚和客户沟通过,趁热打铁写一篇Blog. 熟悉Microsoft Azure平台的读者都知道,在老的Classic ...

  9. 基于角色的访问控制 (RBAC)权限管理

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  10. 普通程序员看k8s基于角色的访问控制(RBAC)

    一.知识准备 ● 上一节描述了k8s的账户管理,本文描述基于角色的访问控制 ● 网上RBAC的文章非常多,具体概念大神们也解释得很详细,本文没有站在高屋建瓴的角度去描述RBAC,而是站在一个普通程序员 ...

随机推荐

  1. 力扣237(java&python)-删除链表中的节点(中等)

    题目: 有一个单链表的 head,我们想删除它其中的一个节点 node. 给你一个需要删除的节点 node .你将 无法访问 第一个节点  head. 链表的所有值都是 唯一的,并且保证给定的节点 n ...

  2. MaxCompute湖仓一体介绍

    ​简介:本篇内容分享了MaxCompute湖仓一体介绍. 分享人:孟硕 阿里云 MaxCompute产品专家 视频链接:数据智能实战营-北京站 专题回顾 正文: 本篇内容将通过两个部分来介绍MaxCo ...

  3. 殷浩详解DDD:领域层设计规范

    简介: 在一个DDD架构设计中,领域层的设计合理性会直接影响整个架构的代码结构以及应用层.基础设施层的设计.但是领域层设计又是有挑战的任务,特别是在一个业务逻辑相对复杂应用中,每一个业务规则是应该放在 ...

  4. 所有前端都要看的2D游戏化互动入门基础知识

    简介: 在非游戏环境中将游戏的思维和游戏的机制进行整合运用,以引导用户互动和使用 本文作者:淘系前端团队-Eva.js作者-明非 背景 现在越来越多的公司和 App 开始使用游戏化的方式去做产品了,所 ...

  5. 什么是 objdump 命令

    objdump 是在类 Unix 操作系统上显示关于目标文件的各种信息的命令行程序. 它以一种可阅读的格式让你更多地了解二进制文件可能带有的附加信息. 简单来说,和 IDA 这类软件都可用于反汇编. ...

  6. WPF 如何在静态资源定义字体大小

    默认的 WPF 的字体大小的单位是像素,如果想要将字体大小使用 pt 点表示,写在 xaml 里面是直接添加 pt 后缀.但是此时如果在静态资源尝试定义的时候写上了 pt 将会在运行的时候提示无法转换 ...

  7. Raft 共识算法1-Raft基础

    Raft 共识算法1-Raft基础 Raft算法中译版地址:http://www.redisant.cn/etcd/contact 英原论文地址:https://raft.github.io/raft ...

  8. 【AI新趋势期刊#2】AI发明计算机算法,如何给大模型排行,照片秒变二维码,视频一键动漫风

    前言 每天都要浏览大量AI相关新闻,是不是感到信息量爆炸,有效信息少? 这么多新产品和新工具,到底哪些是真正是有价值的,哪些只是浮躁的一时热点? 想参与AI产品和工具的开发,从哪里能够获得大量的灵感和 ...

  9. Linux中的find

    find命令在硬盘上进行文件的查找,比起whereis与locate会比较耗时. 与时间有关的选项 在Linux当中一个文件有mtime,ctime,atime,find在搜索时可以配置这3种时间. ...

  10. 美团一面问我i++跟++i的区别是什么

    美团一面问我i++跟++i的区别是什么 面试官:"i++跟++i的区别是什么?" 我:"i++是先使用然后再执行+1的操作,++i是先执行+1的操作然后再去使用i&quo ...