MongoDB权限管理

前几天网友问MongoDB数据库权限方面的问题.当时大致的了解了一下,这周仔细了解了一下.对于一个数据库不可能随意的拜访,肯定要有写拜访限制.

在了解这个之前首先熟悉下shell客户端.前面的博客也有些打开shell客户端的办法:mongo.关闭数据库引擎的话可以使用db.shutdownServer().

一、shell命令

MongoDB的shell提供了一些命令,可以从shell提示符执行它们.

help<option>：用于为MongoDB的shell命令显示语法赞助.option参数允许指定你想得到赞助的特定领域.

use<database>:变动当前database句柄.数据库操作将在当前数据库句柄上处理.

show<option>:根据option参数显示清单.

dbs：显示数据库清单.

collections:显示当前数据库的集合清单.

profile:显示时间跨越1毫秒的最新的system.profile条目.

log[name]:显示登录记忆的最后一段.如果没指定name,那么使用global.

exit:退出数据库.

二、shell办法

MongoDB中的shell提供了许多用于执行管理功能的办法.

load(script):在shell内部加载和运行Javascript文件.要对数据库脚本操作,使用它是一种最好的方式.

UUID(string):把一个32字节的十六进制字符串转换成BSON的UUID.

db.auth(username,password):在当前数据库进行身份认证.

三、使用shell编写脚本

命令、办法和MongoDB shell的数据结构都是基于交互式Javascript的.管理MongoDB的一个很好的办法是创建可以运行多次的脚本,或者可以随时在特定的时间运行的脚本,如在升级时运行的脚本.脚本文件可以包含任意数量的MongoDB命令,使用javascript代码,如条件语句和循环.有两种运行MongoDB shell脚本的方式.

1.使用--eval

该--eval参数接受一个Javascript字符串或Javascript文件并启动MongoDB的shell,并立即执行Javascript.

2.使用load(script_path)办法运行MongoDB脚本.

四、管理用户账号

1.创立用户账号

不管是创建用户管理员账号还是数据库管理员账号都是用addUser()方法添加用户账户,MongoDB 3.0之后用createUser()代替,再用adduser()会提示adduser()不是function,下面的截图能看到提示,该方法接受一个document对象,允许指定该用户的用户名、角色和暗码.下面是document对象可以指定的字段:

user string 指定一个唯一的用户名

roles array 指定用户角色的数组.MongoDB提供了大量可以分配给用户的角色.角色分歧对应的权限也不一样,这篇主要还是在角色上

pwd hashorstring (可选)指定用户的暗码.在创建用户时,这可能是一个散列值或字符串,然而它以散列值被存储在数据库中.

userSource <database> (可选)代替pwd字段,指向具有相同的用户定义的另一个数据库.pwd或那个数据库的userSource然后被用作该用户的凭据.userSource字段和pwd字段是相互排斥的,一个文档不能同时包括两者.

otherDBRoles {<database>:[array],<database>:[array]} :(可选) 允许指定这个用户在其他数据库中的拥有的角色.它的格式是一个文档,该文档用数据库名称作为键,包含那个数据库适用于该用户的角色的数组.

2.角色

用户和角色是多对多的关系,一个用户可以对应多个角色,一个角色可以拥有多个用户.用户角色的分歧对应的权限也是不一样的.下面是一些分配给用户的常见的角色.

read 允许用户从数据库的任何集合中读取数据

readAnyDatabase 同read,但针对所有数据库

readwrite 提供read的所有功能,并允许用户写数据库中的任何集合,包含插入、删除和更新文件,以及创建、重命名和删除集合

readWriteAnyDatabase 同readWrite,只是针对所有数据库

dbAdmin 允许用户读取和写入数据库,以及清理、修改、压缩、得到统计概要,并进行验证

dbAdminAnyDatabase 同dbadmin,但针对所有数据库

clusterAdmin 允许用户对MongoDB执行一般的管理,包含连接、集群、复制、列出数据库、创建数据库和删除数据库

userAdmin 允许用户创立和修改数据库的用户账号

userAdminAnyDatabase 同userAdmin,但针对所有的数据库

3.删除用户账号

可以使用removeUser(<username>)办法删除MongoDB的用户.需要先切换到该用户所在的数据库.在MongoDB 3.0后使用dropUser(<username>),下面配置时截图就能看到提示.

五、配置拜访控制

MongoDB提供在数据库级别上的验证和授权,意味着用户存在于单个数据库的上下文中.为了实现基本的身份验证,MongoDB把用户凭据存储在每个数据中名为system.users的集合中.

当还没在admin数据库中定义用户时,MongoDB允许在本地主机上的连接有对数据库的完全管理拜访.因此,设置新的MongoDB实例的第一步是创建用户管理员和数据库管理员账户.用户管理员具有在admin和其他数据库中创建用户账户的功能.还需要创建一个可以当作超级用户使用的数据库管理员账户,用来管理数据库、集群、复制和MongoDB的其他方面.

1.创立用户管理员

用户管理员账号应只有创立用户的权限,而没有管理数据库或其他管理功能.使数据库管理和用户账户管理完全分离.用户管理账户应该以userAdminAnyDatabase作为唯一的角色来创立.

上面截图可以看到使用用户管理员账户来查询collection是报错,这是因为用户管理员账户只是用来管理用户的,不克不及管理数据库.

2.打开身份验证

用户管理员账户已经创建必要使用--auth参数重启MongoDB数据库

3.创立数据库管理员

上面截图中创立了一个admin数据库的数据库管理员,使用数据库管理员显示collections是可以显示的,而使用用户管理员显示时报错.