MongoDB 权限管理
前言上一篇 《MongoDB 单机安装摆设》 文章中,为 MongoDB 设置了授权功能,当时只介绍了创建一个高权限账户,没有详细介绍 MongoDB 的权限相关的内容,本篇文章将详细 MongoDB 的权限控制。
1. 权限控制
MongoDB 权限控制是基于脚色分别的,脚色是一部分权限的组合。在创建用户时,需要指定用户所属的脚色,一个用户可拥有多种脚色,每个脚色又可以包含多种权限。MongoDB 提供了多种默认脚色,当然也支持用户自定义脚色。
1.1 MongoDB 默认脚色
刚才提到 MongoDB 可以自定义脚色,也为用户提供了部分默认脚色。关于默认脚色,不同的脚色范例,它的作用范围也不一样,例如 readWrite 脚色,它的作用范围就是一个特定的数据库。
1.1.1 读写脚色
读写权限的作用域是特定的数据库,默认脚色又 read 和 readWrite 两种:
[*]read:表示用户针对数据库中所有非体系聚集具有 “读” 操作权限。
[*]readWrite:表示用户针对数据中所有非体系聚集具有 “读/写” 操作权限。
授权案例,为 test 库创建一个 test_user 用户,具有只读权限。
use test;
db.createUser({user: "test_user", pwd: "1234", roles: [{role: "read", db: "test"}]});
进行登岸测试。
mongo -utest_user -p1234 --authenticationDatabase test
https://i-blog.csdnimg.cn/blog_migrate/36d6fae7763fe6ac96176ece193eecc0.png
1.1.2 管理脚色
MongoDB 提供以下默认的数据库管理脚色:
[*]dbAdmin:该脚色可以管理数据库中的聚集与索引,具有创建和删除的权限,但不能为数据库创建新脚色和用户,也不能管理其他脚色。
[*]userAdmin:该脚色可以管理数据库中的其他用户和脚色,可以进行授权或者采取权限。
[*]dbOwner:该脚色可以管理数据库中的所有聚集和索引,也可以管理数据库中的用户和权限,相当于是 readWrite、dbAdmin、userAdmin 三种脚色的组合权限。
1.1.3 其他脚色
前面介绍的脚色,都作用于特定的数据库,接下来介绍的脚色,可以作用于所有的数据库(local 与 config 数据库除外)进行管理和操作。
针对所有数据库(可以理解为所有由用户创建的数据库)进行管理操作的权限如下:
[*]readAnyDatabase:该脚色可以对所有数据库进行读操作,相当于是 read 脚色的全局范围脚色。
[*]readWriteAnyDatabase:该脚色可以对所有数据库进行读写操作,相当于是 readWrite 脚色的全局范围脚色。
[*]dbAdminAnyDatabase:该脚色可以管理所有数据库中的聚集和索引,相当于是 dbAdmin 脚色的全局范围脚色。
[*]userAdminAnyDatabase:该脚色可以管理所有数据库中的脚色和用户的权限,相当于是 userAdmin 脚色的全局范围脚色。
授权案例,创建一个全局只读的脚色。
use admin;
db.createUser({user: "test_admin1", pwd: "1234", roles: [{role: "readAnyDatabase", db: "admin"}]});
使用全局的脚色时 db 需要填写为 admin 负责会创建失败。
1.1.4 超等用户脚色
MongoDB 默认提供了一个 root 超等用户脚色,当为一个用户分配 root 脚色后,该用户将同时拥有刚才介绍的所有脚色的权限,别的还有 clussterAdmin、restore、backup 的脚色权限。
root 脚色,创建示例:
use admin
db.createUser({user: "root",pwd: "admin123",roles: [{role: "root", db: "admin"}]})
1.2 用户管理
本末节介绍如何对 MongoDB 中的用户进行管理,例如创建、删除、修改暗码等。
1.2.1 查看用户
查看数据库中所有的用户,可以使用如下下令:
db.getUsers();
1.2.2 创建新用户
授权案例,为 test 库创建一个 test_user 用户,具有只读权限。
use test;
db.createUser({user: "test_user", pwd: "1234", roles: [{role: "read", db: "test"}]});
1.2.3 调整脚色
通过实行如下下令,可以修改用户的脚色。
db.grantRolesToUser()
例如,将刚才创建的 test_user 只有 read 脚色,无法查看用户相关的信息:
myReplSet:PRIMARY> db.getUsers();
2024-02-20T16:08:50.236+0800 EQUERY uncaught exception: Error: not authorized on test to execute command { usersInfo: 1.0, lsid: { id: UUID("3cd3d4c7-cc42-447d-b782-b2773b7193c2") }, $clusterTime: { 使用高权限账户,为其添加一个 userAdmin 脚色:
db.grantRolesToUser( "test_user", [{role: "userAdmin", db: "test"}])
再次使用 test_user 查看用户相关信息,没有报错:
>>> mongo -utest_user -p1234 --authenticationDatabase test
MongoDB shell version v4.2.25myReplSet:PRIMARY> db.getUsers()[{ "_id" : "test.test_admin", "userId" : UUID("753e07d3-7f32-4f69-b53a-10a0d33d0d02"), "user" : "test_admin", "db" : "test", "roles" : [ { "role" : "dbAdmin", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ]}] 1.2.4 删除用户
删除单个用户的语法如下:
db.dropUser("username")
删除一个 db 下,所有的用户:
use test;
db.dropAllUsers();
1.2.4 修改暗码
例如,将 user123 用户暗码修改为 112233 的语法如下:
db.updateUser("user123",
{
pwd: '112233'
}
)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]