mongodb关于用户权限的总结-创新互联

官方文档

专注于为中小企业提供网站建设、成都网站建设服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业建平免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了上千余家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。

/tupian/20230521/

/tupian/20230521/

总结

1、mongodb启动的时候加了--auth参数,则mongo命令连接到mongodb数据库后,执行show dbs这样的操作都会报错,需要执行db.auth("user","PWD")验证用户密码正确后,才能执行操作,且该user有什么权限就只能执行什么操作

2、授权操作可以在创建用户db.createUser的时候授权,也可以使用db.grantRolesToUser对已存在用户授权

3、mongodb的用户是放在一个个的数据库里面,比如db.system.users.find()显示_id为db1.user1表示在db1库中创建了一个用户user1,_id为db2.user1表示在db2库中创建了一个用户user1,和mysql用户模式user@host有点类似

4、root、readWriteAnyDatabase等角色的用户必须绑定admin库,不是说root角色的用户只能在admin库中创建,如下在test1库中建立用户名为root的用户,拥有root角色绑定了admin库,以后在test1库中执行auth正常后,可以执行任何操作。当然这个test1库中建立的root用户在admin库中执行auth会报错Error: Authentication failed,因为这个用户并不是admin库中的用户

>use test1
>db.createUser({user:"root",pwd:"123456",roles:[{role:"root",db:"admin" }]})

5、mongodb中admin数据库是一个特别的数据库,一些角色只能在admin库中用,但是不代表admin库中的用户就拥有所有权限,如下在admin库中建立一个用户admin_user,这个用户只在admin库中有读权限,无法读其他数据库。

>use admin
>db.createUser({user:"admin_user",pwd:"123456",roles:["read"]})

6、db.auth("user","PWD")验证时,这个用户user必须存在当前数据库下,如果当前数据库下不存在这样用户则会报错。不能说具有root角色的用户可以在任何数据库中执行db.auth验证,只能说具有root角色的用户1在这个用户1指定的数据库中执行db.auth验证后,可以访问其他所有数据库

7、异机使用mongo命令连接mongodb数据库服务器的数据库时,必须指定该数据库存在的用户名和密码。如下192.168.0.10/test1库存在一个root超级管理员角色的用户root密码是123456,在test1库中执行db.auth("root","123456")后是可以访问所有数据库的,但是192.168.0.10/test123库不存在这样的用户。则前一条语句可以正常连接,后一条语句报错Error: Authentication failed无法连接。

mongo 192.168.0.10/test1 -u root -p "123456"   --正常,可以连接
mongo 192.168.0.10/test123 -u root -p "123456"  --报错,认证失败,无法连接

8、mongodb查看当前用户使用命令db.runCommand({connectionStatus:1}),就像oracle执行show users可以显示当前会话的用户

创建用户的时候授权db.createUser

>use test1
>db.createUser({user:"a1",pwd:"123456",roles:[{role:"clusterAdmin",db:"admin" },{role:"readAnyDatabase",db:"admin" },{role:"readWrite",db:"test"},"readWrite"]})

在test1这个数据库中创建了一个用户a1,这个用户拥有集群管理权限、查询任何数据库的权限、读写test数据库权限、读写test1数据库的权限,最后一个readwrite没有标明数据库表示在本地数据库的权限即在test1这个数据库的权限

这个用户a1,show users时只能在test1这个数据库看到,在admin这个数据库执行show users看不这个用户a1,因为这个用户不是admin下面的用户

readAnyDatabase角色必须绑定admin库,否则报错

>db.createUser({user:"a2",pwd:"123456",roles:[{role:"readAnyDatabase",db:"test" }]})

报错[thread1] Error: couldn't add user: No role named readAnyDatabase@test

readAnyDatabase只在admin中可用,把db:"test"改成db:"admin"即可

授予权限db.grantRolesToUser

>use test1
>db.grantRolesToUser("a1",[{role:"readWrite",db:"test2"}])

对数据库test1中的a1用户授予test2数据库的读写权限

取消权限db.revokeRolesFromUser

>use test1
>db.revokeRolesFromUser("a1",[{role:"readWrite",db:"test2"}])

对数据库test1中的a1用户取消test2数据库的读写权限

查询用户的三种方法

>show users --只能查看当前数据库下的用户
>use admin
>db.system.users.find() --必须进入admin数据库执行,能查询所有数据库下的所有用户
>db.system.users.find().pretty() --必须进入admin数据库执行,能查询所有数据库下的所有用户,结果显示界面比db.system.users.find()友好

如果不是进入admin数据库而是进入其他数据库比如A执行上面两个,没有返回结果,就算这个数据库A下有用户。

删除用户

>db.dropAllUsers();--删除当前库下面的所有用户,其他库的用户不受影响
>db.dropUser('a3');--删除当前库下面的a3用户

验证用户

>use test1
>db.auth("a1","123456")

对数据库test1中的a1用户进行验证,首先在test1库中,a1用户必须存在,其次a1用户的密码必须是123456,才能验证成功

结果返回1表示成功

mongodb启动时没有用--auth参数,mongo命令连接后也可以执行db.auth

use db
db.createUser({user:"admin2",pwd:"123456",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})
db.auth("admin2","admin2")--报错Error: Authentication failed
db.auth("admin2","123456")

角色列表

Read:允许用户读取指定数据库

readWrite:允许用户读写指定数据库

dbAdmin:允许用户拥有指定数据库的的所有权限,如数据库或集合或索引的创建、删除,查看

userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户及角色

clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。

readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限

readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限

userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限

dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。

root:只在admin数据库中可用。超级账号,超级权限


标题名称:mongodb关于用户权限的总结-创新互联
文章位置:http://ybzwz.com/article/shjsp.html