mongoDB 鉴权角色权限和相关命令详情

作者 : 开心源码 本文共4674个字,预计阅读时间需要12分钟 发布时间: 2022-05-12 共174人阅读

前言

前一篇文章《mongoDB 启用鉴权设置》中讲了怎样启用 mongoDB 的鉴权设置,并且简单的加了一个 admin 账户,但是对 mogoDB 的权限没有做系统的讲解。所以这里需要详细的形容一下。

mongoDB 内建的角色

mongoDB 的权限体系是基于角色的,客户在哪个角色里,就拥有对应角色的权限。mongoDB 有少量内建的角色体系,也可以建立自己设置的角色。自己设置角色我们先不探讨,这里先详情一下内建的角色。理解了内建的角色后,基本上就够我们日常的使用了。mongoDB 内建的角色形容参考官方的形容文档《mongoDB 内建角色》

  1. 单数据库角色
角色名称权限形容
read提供客户读取指定数据库的非系统集合数据的权限,包括system.indexes,system.js,system.namespaces 这些集合
readWrite除了提供客户 read 权限外,还提供客户修改指定的数据库中非系统集合数据的权限。包括system.js 集合
dbAdmin提供客户执行数据库管理相关任务的权限,例如和 schema 相关的,统计分析相关的权限。这个角色没有客户管理和角色管理的权限
dbOwner提供客户在指定数据库中的所有权限。相当于拥有数据库的 readWrite、dbAdmin、userAdmin 的一律权限
userAdmin提供在指定数据库中创立,修改角色和客户的权限。这个角色允许向任何客户(包括他自己)授予任何权限,所以假如他的作用范围在 admin 或者者集群上,该角色还间接提供了数据库超级客户的访问权限。
  1. 任何数据库角色
角色名称权限形容
readAnyDatabase在所有数据库上提供 read 角色权限,除了 local 和 config。
readWriteAnyDatabase在所有数据库上提供 readWrite 角色权限,除了 local 和 config 。
dbAdminAnyDatabase在所有数据库上提供 dbAdmin 权限,除了 local 和 config。
userAdminAnyDatabase在所有数据库上提供 userAdmin 角色权限,除了 local 和 config 。
  1. 备份恢复角色
角色名称权限形容
backup提供需要备份数据的最小权限。
restore提供数据库的数据恢复权限。
  1. 集群管理角色
角色名称权限形容
clusterAdmin提供最大的集群管理权限。是clusterManager、clusterMonitor、hostManager 角色权限的集合
clusterManager提供集群的管理和健康权限。
clusterMonitor提供集群只读的访问监控工具的权限。
hostManager提供服务器健康和管理服务器的权限。

可以看到,我们平常接触的基本是第一类角色和第二类角色。在文章《mongoDB 启用鉴权设置》中,我们实际上是建立了一个超级客户角色的客户。

mongoDB 鉴权相关的命令

从文章《mongoDB 启用鉴权设置》中建立客户的过程我们可以看出, mongoDB 中的命令或者者操作的参数很多都是 json 格式的,这一点需要适应一下。下面详细形容一下 mongoDB 中和权限相关的命令

db.auth()

用本数据库中的的客户进行鉴权。
假如采用客户名和密码鉴权,则可以有两种格式进行鉴权

  1. db.auth(‘username’,’userpwd’)
  2. db.auth({user:’useranme’,pwd:’userpwd’})

通过这种方式,我们随时可以在使用的过程总切换不同的客户进行操作。\

db.createUser()

在当前数据库创立一个客户,假如数据库中客户已经存在,则返回一个客户重复的错误。他要传入一个客户形容的 json 字符串。这个字符串的语法格式如下所示

{  user: "<name>",  pwd: "<cleartext password>",  customData: { <any information> },  roles: [    { role: "<role>", db: "<database>" } | "<role>",    ...  ],  authenticationRestrictions: [     {       clientSource: ["<IP>" | "<CIDR range>", ...]       serverAddress: ["<IP>" | "<CIDR range>", ...]     },     ...  ],  mechanisms: [ "<SCRAM-SHA-1|SCRAM-SHA-256>", ... ],  passwordDigestor: "<server|client>"}

其余部分我们先不探讨,我们来解释一下 user 、 pwd 和 roles 字段

字段名称字段类型字段形容
user字符串客户名称
pwd字符串客户密码
roles数据组客户授予角色列表,可以是空 []
—role字符串角色名称
—db字符串授予权限的数据库

role 的指定有两种格式,一种是

{ role: "<role>", db: "<database>" }

在这里指定了角色和角色权限对应的数据库
另一种格式直接指定角色字符串

"<role>"

这里指定角色权限对应的数据库是当前所在数据库
我们用下面的命令在 test 数据库中新建两个客户

use test> db.createUser({user:"test1",pwd:"123",roles:[{role:"readWrite",db:"test"}]});Successfully added user: {        "user" : "test1",        "roles" : [                {                        "role" : "readWrite",                        "db" : "test"                }        ]}> db.createUser({user:"test2",pwd:"123",roles:[{role:"readWrite",db:"test"}]});Successfully added user: {        "user" : "test2",        "roles" : [                {                        "role" : "readWrite",                        "db" : "test"                }        ]}> 

db.changeUserPassword()

改变一个当前数据库的客户的密码。通常需要管理员权限。例如,下面的命令改变 test 数据库中 test1 客户的密码为 123456

use testswitched to db test> db.changeUserPassword('test1','123456')> 

db.getUser()

查看当前数据库中某个客户的信息。例如,如下的命令查看 test 数据库中 test1 客户的信息

> use testswitched to db test> db.getUser('test1'){        "_id" : "test.test1",        "user" : "test1",        "db" : "test",        "roles" : [                {                        "role" : "readWrite",                        "db" : "test"                }        ],        "mechanisms" : [                "SCRAM-SHA-1",                "SCRAM-SHA-256"        ]}> 

db.getUsers()

查看当前数据库所有客户信息。例如,下面的命令查看 test 数据库中所有客户的信息。

> use testswitched to db test> db.getUsers()[        {                "_id" : "test.test1",                "user" : "test1",                "db" : "test",                "roles" : [                        {                                "role" : "readWrite",                                "db" : "test"                        }                ],                "mechanisms" : [                        "SCRAM-SHA-1",                        "SCRAM-SHA-256"                ]        },        {                "_id" : "test.test2",                "user" : "test2",                "db" : "test",                "roles" : [                        {                                "role" : "readWrite",                                "db" : "test"                        }                ],                "mechanisms" : [                        "SCRAM-SHA-1",                        "SCRAM-SHA-256"                ]        }]> 

db.grantRolesToUser()

在当前数据库,给客户授予某个角色。例如,下面的命令给 test 数据库中的 test2 客户授予 dbAdmin 和 userAdmin 角色权限

> use testswitched to db test> db.grantRolesToUser('test2',[{role:'dbAdmin',db:'test'},'userAdmin'])> db.getUser('test2'){        "_id" : "test.test2",        "user" : "test2",        "db" : "test",        "roles" : [                {                        "role" : "dbAdmin",                        "db" : "test"                },                {                        "role" : "userAdmin",                        "db" : "test"                },                {                        "role" : "readWrite",                        "db" : "test"                }        ],        "mechanisms" : [                "SCRAM-SHA-1",                "SCRAM-SHA-256"        ]}>  

db.revokeRolesFromUser()

从当前数据库的客户收回权限。例如,下面的命令从 test 数据库的 test2 客户收回 userAdmin 和 dbAdmin 角色权限

> use testswitched to db test>  db.revokeRolesFromUser('test2',['dbAdmin','userAdmin'])> db.getUser('test2'){        "_id" : "test.test2",        "user" : "test2",        "db" : "test",        "roles" : [                {                        "role" : "readWrite",                        "db" : "test"                }        ],        "mechanisms" : [                "SCRAM-SHA-1",                "SCRAM-SHA-256"        ]}

db.updateUser()

修改当前数据库一个客户的信息。例如,下面的命令修改 test 数据库中 test2 客户的密码和角色

> use testswitched to db test> db.updateUser('test2',{pwd:"123456",roles:[{role:"userAdmin",db:"test"}]});> db.getUser('test2'){        "_id" : "test.test2",        "user" : "test2",        "db" : "test",        "roles" : [                {                        "role" : "userAdmin",                        "db" : "test"                }        ],        "mechanisms" : [                "SCRAM-SHA-1",                "SCRAM-SHA-256"        ]}> 

从结果可以看出,对客户角色的修改会覆盖掉以前的角色设置。

db.dropUser()

从当前数据库中删除一个客户。例如,下面的命令从 test 数据库中删除 test2 客户

> use testswitched to db test> db.dropUser('test2')true> db.getUsers()[        {                "_id" : "test.test1",                "user" : "test1",                "db" : "test",                "roles" : [                        {                                "role" : "readWrite",                                "db" : "test"                        }                ],                "mechanisms" : [                        "SCRAM-SHA-1",                        "SCRAM-SHA-256"                ]        }]> 

db.dropAllUsers()

从当前数据库中删除所有的客户。例如,下面的命令从 test 数据库中删除所有的客户

> use testswitched to db test> db.dropAllUsers()NumberLong(1)> db.getUsers()[ ]> 

后记

这样,我们和 mongoDB 权限相关的内容就讲述得差不多了。后续,随着使用的加深,我再来记录少量更深入的内容。

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » mongoDB 鉴权角色权限和相关命令详情

发表回复