mongoDB 鉴权角色权限和相关命令详情
前言
前一篇文章《mongoDB 启用鉴权设置》中讲了怎样启用 mongoDB 的鉴权设置,并且简单的加了一个 admin 账户,但是对 mogoDB 的权限没有做系统的讲解。所以这里需要详细的形容一下。
mongoDB 内建的角色
mongoDB 的权限体系是基于角色的,客户在哪个角色里,就拥有对应角色的权限。mongoDB 有少量内建的角色体系,也可以建立自己设置的角色。自己设置角色我们先不探讨,这里先详情一下内建的角色。理解了内建的角色后,基本上就够我们日常的使用了。mongoDB 内建的角色形容参考官方的形容文档《mongoDB 内建角色》
- 单数据库角色
角色名称 | 权限形容 |
---|---|
read | 提供客户读取指定数据库的非系统集合数据的权限,包括system.indexes,system.js,system.namespaces 这些集合 |
readWrite | 除了提供客户 read 权限外,还提供客户修改指定的数据库中非系统集合数据的权限。包括system.js 集合 |
dbAdmin | 提供客户执行数据库管理相关任务的权限,例如和 schema 相关的,统计分析相关的权限。这个角色没有客户管理和角色管理的权限 |
dbOwner | 提供客户在指定数据库中的所有权限。相当于拥有数据库的 readWrite、dbAdmin、userAdmin 的一律权限 |
userAdmin | 提供在指定数据库中创立,修改角色和客户的权限。这个角色允许向任何客户(包括他自己)授予任何权限,所以假如他的作用范围在 admin 或者者集群上,该角色还间接提供了数据库超级客户的访问权限。 |
- 任何数据库角色
角色名称 | 权限形容 |
---|---|
readAnyDatabase | 在所有数据库上提供 read 角色权限,除了 local 和 config。 |
readWriteAnyDatabase | 在所有数据库上提供 readWrite 角色权限,除了 local 和 config 。 |
dbAdminAnyDatabase | 在所有数据库上提供 dbAdmin 权限,除了 local 和 config。 |
userAdminAnyDatabase | 在所有数据库上提供 userAdmin 角色权限,除了 local 和 config 。 |
- 备份恢复角色
角色名称 | 权限形容 |
---|---|
backup | 提供需要备份数据的最小权限。 |
restore | 提供数据库的数据恢复权限。 |
- 集群管理角色
角色名称 | 权限形容 |
---|---|
clusterAdmin | 提供最大的集群管理权限。是clusterManager、clusterMonitor、hostManager 角色权限的集合 |
clusterManager | 提供集群的管理和健康权限。 |
clusterMonitor | 提供集群只读的访问监控工具的权限。 |
hostManager | 提供服务器健康和管理服务器的权限。 |
可以看到,我们平常接触的基本是第一类角色和第二类角色。在文章《mongoDB 启用鉴权设置》中,我们实际上是建立了一个超级客户角色的客户。
mongoDB 鉴权相关的命令
从文章《mongoDB 启用鉴权设置》中建立客户的过程我们可以看出, mongoDB 中的命令或者者操作的参数很多都是 json 格式的,这一点需要适应一下。下面详细形容一下 mongoDB 中和权限相关的命令
db.auth()
用本数据库中的的客户进行鉴权。
假如采用客户名和密码鉴权,则可以有两种格式进行鉴权
- db.auth(‘username’,’userpwd’)
- db.auth({user:’useranme’,pwd:’userpwd’})
通过这种方式,我们随时可以在使用的过程总切换不同的客户进行操作。\
db.createUser()
在当前数据库创立一个客户,假如数据库中客户已经存在,则返回一个客户重复的错误。他要传入一个客户形容的 json 字符串。这个字符串的语法格式如下所示
{ user: "<name>", pwd: "<cleartext password>", customData: { <any information> }, roles: [ { role: "<role>", db: "<database>" } | "<role>", ... ], authenticationRestrictions: [ { clientSource: ["<IP>" | "<CIDR range>", ...] serverAddress: ["<IP>" | "<CIDR range>", ...] }, ... ], mechanisms: [ "<SCRAM-SHA-1|SCRAM-SHA-256>", ... ], passwordDigestor: "<server|client>"}
其余部分我们先不探讨,我们来解释一下 user 、 pwd 和 roles 字段
字段名称 | 字段类型 | 字段形容 |
---|---|---|
user | 字符串 | 客户名称 |
pwd | 字符串 | 客户密码 |
roles | 数据组 | 客户授予角色列表,可以是空 [] |
—role | 字符串 | 角色名称 |
—db | 字符串 | 授予权限的数据库 |
role 的指定有两种格式,一种是
{ role: "<role>", db: "<database>" }
在这里指定了角色和角色权限对应的数据库
另一种格式直接指定角色字符串
"<role>"
这里指定角色权限对应的数据库是当前所在数据库
我们用下面的命令在 test 数据库中新建两个客户
use test> db.createUser({user:"test1",pwd:"123",roles:[{role:"readWrite",db:"test"}]});Successfully added user: { "user" : "test1", "roles" : [ { "role" : "readWrite", "db" : "test" } ]}> db.createUser({user:"test2",pwd:"123",roles:[{role:"readWrite",db:"test"}]});Successfully added user: { "user" : "test2", "roles" : [ { "role" : "readWrite", "db" : "test" } ]}>
db.changeUserPassword()
改变一个当前数据库的客户的密码。通常需要管理员权限。例如,下面的命令改变 test 数据库中 test1 客户的密码为 123456
use testswitched to db test> db.changeUserPassword('test1','123456')>
db.getUser()
查看当前数据库中某个客户的信息。例如,如下的命令查看 test 数据库中 test1 客户的信息
> use testswitched to db test> db.getUser('test1'){ "_id" : "test.test1", "user" : "test1", "db" : "test", "roles" : [ { "role" : "readWrite", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ]}>
db.getUsers()
查看当前数据库所有客户信息。例如,下面的命令查看 test 数据库中所有客户的信息。
> use testswitched to db test> db.getUsers()[ { "_id" : "test.test1", "user" : "test1", "db" : "test", "roles" : [ { "role" : "readWrite", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ] }, { "_id" : "test.test2", "user" : "test2", "db" : "test", "roles" : [ { "role" : "readWrite", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ] }]>
db.grantRolesToUser()
在当前数据库,给客户授予某个角色。例如,下面的命令给 test 数据库中的 test2 客户授予 dbAdmin 和 userAdmin 角色权限
> use testswitched to db test> db.grantRolesToUser('test2',[{role:'dbAdmin',db:'test'},'userAdmin'])> db.getUser('test2'){ "_id" : "test.test2", "user" : "test2", "db" : "test", "roles" : [ { "role" : "dbAdmin", "db" : "test" }, { "role" : "userAdmin", "db" : "test" }, { "role" : "readWrite", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ]}>
db.revokeRolesFromUser()
从当前数据库的客户收回权限。例如,下面的命令从 test 数据库的 test2 客户收回 userAdmin 和 dbAdmin 角色权限
> use testswitched to db test> db.revokeRolesFromUser('test2',['dbAdmin','userAdmin'])> db.getUser('test2'){ "_id" : "test.test2", "user" : "test2", "db" : "test", "roles" : [ { "role" : "readWrite", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ]}
db.updateUser()
修改当前数据库一个客户的信息。例如,下面的命令修改 test 数据库中 test2 客户的密码和角色
> use testswitched to db test> db.updateUser('test2',{pwd:"123456",roles:[{role:"userAdmin",db:"test"}]});> db.getUser('test2'){ "_id" : "test.test2", "user" : "test2", "db" : "test", "roles" : [ { "role" : "userAdmin", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ]}>
从结果可以看出,对客户角色的修改会覆盖掉以前的角色设置。
db.dropUser()
从当前数据库中删除一个客户。例如,下面的命令从 test 数据库中删除 test2 客户
> use testswitched to db test> db.dropUser('test2')true> db.getUsers()[ { "_id" : "test.test1", "user" : "test1", "db" : "test", "roles" : [ { "role" : "readWrite", "db" : "test" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ] }]>
db.dropAllUsers()
从当前数据库中删除所有的客户。例如,下面的命令从 test 数据库中删除所有的客户
> use testswitched to db test> db.dropAllUsers()NumberLong(1)> db.getUsers()[ ]>
后记
这样,我们和 mongoDB 权限相关的内容就讲述得差不多了。后续,随着使用的加深,我再来记录少量更深入的内容。
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » mongoDB 鉴权角色权限和相关命令详情