https://www.mongodb.com/docs/v4.4/tutorial/enable-authentication/

https://www.mongodb.com/docs/manual/reference/configuration-options/#security-options

1.什么是认证

认证是验证客户端身份的过程。当启用访问控制(即授权)时,MongoDB要求所有客户端进

行身份验证,以确定其访问。

认证方法:为了验证用户,MongoDB提供了该 db.auth()方法。

对于mongoshell和MongoDB工具,可以通过从命令行传入用户身份验证信息来验证用户,认证机制

mongodb不设密码的危险

认证授权命令

db.auth() 将用户验证到数据库。

db.changeUserPassword() 更改现有用户的密码。

db.createUser() 创建一个新用户。

db.dropUser() 删除单个用户。

db.dropAllUsers() 删除与数据库关联的所有用户。

db.getUser() 返回有关指定用户的信息。

db.getUsers() 返回有关与数据库关联的所有用户的信息。

db.grantRolesToUser() 授予用户角色及其特权。

db.removeUser() 已过时。从数据库中删除用户。

db.revokeRolesFromUser() 从用户中删除角色。

db.updateUser() 更新用户数据。

db.createRole() 创建角色并指定其特权。

db.dropRole() 删除用户定义的角色。

db.dropAllRoles() 删除与数据库关联的所有用户定义的角色。

db.getRole() 返回指定角色的信息。

db.getRoles() 返回数据库中所有用户定义角色的信息。

db.grantPrivilegesToRole() 将权限分配给用户定义的角色。

db.revokePrivilegesFromRole() 从用户定义的角色中删除指定的权限

db.grantRolesToRole() 指定用户定义的角色从中继承权限的角色。

db.revokeRolesFromRole() 从角色中删除继承的角色。

db.updateRole() 更新用户定义的角色

创建超级用户、角色

1.账号、密码、认证数据库  

2.三要素,用户是在哪个库下的认证账号。

注意顺序、先创建用户、再修改配置文件开启认证功能,反了就错了。

1.操作流程:

  1.先创建管理员用户

  2.以管理员用户身份创建普通用户及权限

  3.修改配置开启认证

  4.使用普通用户登录验证

https://www.mongodb.com/docs/v4.4/tutorial/enable-authentication/#enable-access-control

2.在未开启认证的情况下创建管理员

https://www.mongodb.com/docs/v4.4/tutorial/enable-authentication/#create-the-user-administrator

use admin

db.createUser(

  {

    user: "yuchao",

    pwd: "www.yuchaoit.cn",

    roles: [ { role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase" ]

  }

)

# 文本密码,也可以加密填写   pwd: "www.yuchaoit.cn",

# userAdminAnyDatabase 所有数据库都有admin权限

# 指定库 admin

# 权限 readWriteAnyDatabase

查询admin库下的用户

> db.getUsers()

[

    {

        "_id" : "admin.yuchao",

        "userId" : UUID("b267ecea-8359-47ff-81a9-235a522a21d4"),

        "user" : "yuchao",

        "db" : "admin",

        "roles" : [

            {

                "role" : "userAdminAnyDatabase",

                "db" : "admin"

            },

            {

                "role" : "readWriteAnyDatabase",

                "db" : "admin"

            }

        ],

        "mechanisms" : [

            "SCRAM-SHA-1",

            "SCRAM-SHA-256"

        ]

    }

]

>

开启mongod服务的认证功能

[root chaoge-linux ~]#vim /opt/mongo_27017/conf/mongodb.conf

vim /opt/mongo_27017/conf/mongodb.conf

security:

    authorization: enabled

重启服务

[root chaoge-linux /data/mongo_27017]#systemctl restart mongod

[root chaoge-linux /data/mongo_27017]#ps -ef|grep mongo

mongo    125381      1  5 12:24 ?        00:00:00 /opt/mongodb/bin/mongod -f /opt/mongo_27017/conf/mongodb.conf

root     125423 124346  0 12:24 pts/0    00:00:00 grep --color=auto mongo

[root chaoge-linux /data/mongo_27017]#

账号密码登录

[root chaoge-linux /data/mongo_27017]#mongo -u yuchao -p www.yuchaoit.cn

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("3baec149-f04b-456f-bb96-c392789c7c26") }

MongoDB server version: 4.2.22

>

> db.user_info.insertOne({"name":"chaoge"})

{

    "acknowledged" : true,

    "insertedId" : ObjectId("634cda8767c5177eda761fdb")

}

>

> db.user_info.find()

{ "_id" : ObjectId("634cda8767c5177eda761fdb"), "name" : "chaoge" }

>

查询库用户信息

> use admin;

switched to db admin

> db.getUser("yuchao")

{

    "_id" : "admin.yuchao",

    "userId" : UUID("0eb3ba85-0217-4229-8158-1cae17932430"),

    "user" : "yuchao",

    "db" : "admin",

    "roles" : [

        {

            "role" : "userAdminAnyDatabase",

            "db" : "admin"

        },

        {

            "role" : "readWriteAnyDatabase",

            "db" : "admin"

        }

    ],

    "mechanisms" : [

        "SCRAM-SHA-1",

        "SCRAM-SHA-256"

    ]

}

> 

> db.getUsers()

[

    {

        "_id" : "admin.yuchao",

        "userId" : UUID("0eb3ba85-0217-4229-8158-1cae17932430"),

        "user" : "yuchao",

        "db" : "admin",

        "roles" : [

            {

                "role" : "userAdminAnyDatabase",

                "db" : "admin"

            },

            {

                "role" : "readWriteAnyDatabase",

                "db" : "admin"

            }

        ],

        "mechanisms" : [

            "SCRAM-SHA-1",

            "SCRAM-SHA-256"

        ]

    }

]

> 

# userAdminAnyDatabase 内置的管理员权限

# 解释文档

https://www.mongodb.com/docs/v4.4/reference/built-in-roles/#mongodb-authrole-userAdminAnyDatabase

查看内置所有角色

https://www.mongodb.com/docs/v4.4/reference/built-in-roles/

未认证的登录,无法操作

[root chaoge-linux /data/mongo_27017]#mongo

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("909f1db0-b677-407e-8b37-ad6fb55f2789") }

MongoDB server version: 4.2.22

> db.user_info.insertOne({"name":"chaoge"})

2022-10-17T12:28:19.179+0800 E  QUERY    [js] uncaught exception: WriteCommandError({

    "ok" : 0,

    "errmsg" : "command insert requires authentication",

    "code" : 13,

    "codeName" : "Unauthorized"

}) :

WriteCommandError({

    "ok" : 0,

    "errmsg" : "command insert requires authentication",

    "code" : 13,

    "codeName" : "Unauthorized"

})

WriteCommandError@src/mongo/shell/bulk_api.js:417:48

executeBatch@src/mongo/shell/bulk_api.js:915:23

Bulk/this.execute@src/mongo/shell/bulk_api.js:1163:21

DBCollection.prototype.insertOne@src/mongo/shell/crud_api.js:264:9

@(shell):1:1

>

创建普通库用户



要在MongoDB部署中创建用户,请连接到部署,然后使用db.createUser()方法或createUser命令添加用户。

MongoDB是一个nosql数据库服务器。

默认安装提供使用mongo命令通过命令行访问数据库而不进行身份验证。下面我们来学习如何在具有适当身份验证的Mongodb服务器中创建用户。

use crm;

> db.createUser(

  {

    user: "chaoge",

   pwd:  "www.yuchaoit.cn",

    roles: ["readWrite"]

  }

 )

Successfully added user: { "user" : "chaoge", "roles" : [ "readWrite" ] }

>

> 

> db.getUsers()

[

    {

        "_id" : "crm.chaoge",

        "userId" : UUID("c1e62274-4144-4c0d-b055-d7389bf2f674"),

        "user" : "chaoge",

        "db" : "crm",

        "roles" : [

            {

                "role" : "readWrite",

                "db" : "crm"

            }

        ],

        "mechanisms" : [

            "SCRAM-SHA-1",

            "SCRAM-SHA-256"

        ]

    }

]

# 验证数据库用户

> db.auth("chaoge","www.yuchaoit.cn")

1

验证失败

> db.auth("chaoge","www.yuchaoit.cnc")

Error: Authentication failed.

0

# 删除用户

> db.dropUser("chaoge")

true

普通用户读写数据



# 重新用普通用户登录,管理数据库

[root chaoge-linux /data/mongo_27017]#mongo -u chaoge -p www.yuchaoit.cn --authenticationDatabase crm

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?authSource=crm&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("20605a27-3798-4146-8bc3-e31bebb18cf9") }

MongoDB server version: 4.2.22

> 

# 可以删除库下的集合,库也就没了。

# 测试写入数据

[root chaoge-linux /data/mongo_27017]#mongo -u chaoge -p www.yuchaoit.cn --authenticationDatabase crm

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?authSource=crm&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("30d82bf0-5f5c-45e9-b780-e28160cee0a0") }

MongoDB server version: 4.2.22

>

> show dbs

>

> use crm

switched to db crm

> 

> show collections

ops

> db.ops.find()

{ "_id" : ObjectId("634cf4396446be98e247fb4e"), "name" : "chaoge" }

{ "_id" : ObjectId("634cf43e6446be98e247fb4f"), "name" : "sanpang" }

>

创建只读普通用户

[root chaoge-linux /data/mongo_27017]#mongo -u yuchao -p www.yuchaoit.cn

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("544fb8fa-96a1-47f4-9d16-1b79d2ca1b1a") }

MongoDB server version: 4.2.22

> use blog;

> db.createUser(

 {"user":"ergou","pwd":"123456",roles:[{role:"read",db:"blog"}]}

)

Successfully added user: {

    "user" : "ergou",

    "roles" : [

        {

            "role" : "read",

            "db" : "blog"

        }

    ]

}

>

> 

> db.blog.insertOne({"title":"超哥带你学linux www.yuchaoit.cn"})

{

    "acknowledged" : true,

    "insertedId" : ObjectId("634cf5a00173482abfaf36ed")

}

> exit

bye

# 普通用户测试

[root chaoge-linux /data/mongo_27017]#mongo -u ergou -p 123456 --authenticationDatabase blog

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/?authSource=blog&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("c9c60742-e12c-438b-8dfd-61c669a11d63") }

MongoDB server version: 4.2.22

> db

test

> show dbs

blog  0.000GB

> use blog

switched to db blog

> show collections

blog

> db.blog.find()

{ "_id" : ObjectId("634cfc5a3850780b4798e2e5"), "title" : "超哥带你学linux www.yuchaoit.cn" }

{ "_id" : ObjectId("634cfc693850780b4798e2e6"), "title" : "超哥带你学linux www.yuchaoit.cn" }

无法写入数据,权限不足。

普通用户只能看到自己有权限的数据库

[root chaoge-linux /data/mongo_27017]#mongo 127.0.0.1:27017  -u ergou -p 123456 --authenticationDatabase blog

MongoDB shell version v4.2.22

connecting to: mongodb://127.0.0.1:27017/test?authSource=blog&compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("7a737e3f-ac15-4163-b898-b1becbc0182f") }

MongoDB server version: 4.2.22

> show dbs

blog  0.000GB

>

mongodb基于角色的访问控制的更多相关文章

  1. MongoDB基础之 用户和数据库基于角色的访问控制

    mongod 关键字参数:--auth 默认值是不需要验证,即 --noauth,该参数启用用户访问权限控制:当mongod 使用该参数启动时,MongoDB会验证客户端连接的账户和密码,以确定其是否 ...

  2. .Net Core实战之基于角色的访问控制的设计

    前言 上个月,我写了两篇微服务的文章:<.Net微服务实战之技术架构分层篇>与<.Net微服务实战之技术选型篇>,微服务系列原有三篇,当我憋第三篇的内容时候一直没有灵感,因此先 ...

  3. RBAC基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  4. RBAC(Role-Based Access Control,基于角色的访问控制)

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  5. YIi 权限管理和基于角色的访问控制

    验证和授权(Authentication and Authorization) 定义身份类 (Defining Identity Class) 登录和注销(Login and Logout) 访问控制 ...

  6. RBAC(Role-Based Access Control)基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  7. 移动服务和 Azure Active Directory 中基于角色的访问控制

    编辑人员注释:本文章由 Matthew Henderson撰写 去年 11月,我们发布了 Azure Active Directory (AAD) 预览版作为移动服务身份提供程序.此举旨在为企业开 ...

  8. Azure ARM (16) 基于角色的访问控制 (Role Based Access Control, RBAC) - 使用默认的Role

    <Windows Azure Platform 系列文章目录> 今天上午刚刚和客户沟通过,趁热打铁写一篇Blog. 熟悉Microsoft Azure平台的读者都知道,在老的Classic ...

  9. 基于角色的访问控制 (RBAC)权限管理

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  10. 普通程序员看k8s基于角色的访问控制(RBAC)

    一.知识准备 ● 上一节描述了k8s的账户管理,本文描述基于角色的访问控制 ● 网上RBAC的文章非常多,具体概念大神们也解释得很详细,本文没有站在高屋建瓴的角度去描述RBAC,而是站在一个普通程序员 ...

随机推荐

  1. 连续两年入选Gartner公共云容器,阿里云在边缘容器方面做了什么?

    最近,Gartner发布了2020年公共云容器报告,阿里云连续两年成为唯一入选的中国企业.报告显示,阿里云容器服务在中国市场表现强劲,产品形态丰富,在 Serverless 容器.服务网格.安全沙箱容 ...

  2. 基于 Serverless 打造如 Windows 体验的个人专属家庭网盘

    ​简介:虽然现在市面上有些网盘产品, 如果免费试用,或多或少都存在一些问题, 可以参考文章<2020 国内还能用的网盘推荐>.本文旨在使用较低成本打造一个 "个人专享的.无任何限 ...

  3. Kubernetes 稳定性保障手册 -- 可观测性专题

    简介: 伴随大家对稳定性重视程度的不断提升.社区可观测性项目的火热,可观测性成为了一个很热门的话题,站在不同的角度会产生不同的理解. 我们从软件开发的生命周期出发,尝试形成对可观测性的一个宏观理解,并 ...

  4. Datastream 开发打包问题

    ​简介:Datastream作业开发时往往会遇到一些jar包冲突等问题,本文主要讲解作业开发时需要引入哪些依赖以及哪些需要被打包进作业的jar中,从而避免不必要的依赖被打入了作业jar中以及可能产生的 ...

  5. 记 dotnet 8.0.4 修复的 WPF 的触摸模块安全问题

    本文记录 dotnet 8.0.4 版本修复的 WPF 的触摸模块安全问题,此问题影响所有的 .NET 版本,修复方法是更新 SDK 和运行时 宣布安全漏洞地址: https://github.com ...

  6. FileStream 的 FlushAsync 方法在 .NET Framework 与 .NET Core 行为的不同

    本文记录 FileStream 的 FlushAsync 方法在 .NET Framework 与 .NET Core 行为的不同 在使用 HID 设备进行 IO 通讯时,可以采用 FileStrea ...

  7. 2018-8-10-win10-uwp-如何开始写-uwp-程序

    title author date CreateTime categories win10 uwp 如何开始写 uwp 程序 lindexi 2018-08-10 19:16:50 +0800 201 ...

  8. 2018-8-29-dotnet-core-添加-SublimeText-编译插件

    title author date CreateTime categories dotnet core 添加 SublimeText 编译插件 lindexi 2018-08-29 08:53:47 ...

  9. 从原始边列表到邻接矩阵Python实现图数据处理的完整指南

    本文分享自华为云社区<从原始边列表到邻接矩阵Python实现图数据处理的完整指南>,作者: 柠檬味拥抱. 在图论和网络分析中,图是一种非常重要的数据结构,它由节点(或顶点)和连接这些节点的 ...

  10. IPv6 — 地址格式与寻址模式

    目录 文章目录 目录 前文列表 IPv6 的地址格式 站点前缀 地址生成方式 IPv6 地址的分类以及寻址模式 单播(Unicast)地址 Interface ID 全球唯一地址(Global Uni ...