说明
首先,创建mongodb用户验证的过程是:
以不开启用户验证的方式开启mongo—进入mongo创建管理员(如果需要再创建其他管理员)—重启mongo并使用账号访问数据库。
在创建任何用户之前需要创建一个管理员来管控这些账号。例如创建、修改用户的使用权限,都需要通过管理员进行;管理员不用于读写某个数据库,而是用于管理其他的用户账号。
在哪个数据库下创建的账号,就要在哪个数据库下登录。
创建管理员
进入mongo的界面,然后:
use admin
db.createUser(
{ user: "superuser",
pwd: "superuserpwd",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
上面的指令创建了一个管理员superuser,
密码是superuserpwd,
角色是管理员(userAdminAnyDatabase),
是在admin这个数据库下创建的
创建普通用户
> db.createUser({
user:"normal_user",
pwd:"123456",
roles:[
{role:"readWrite",db:"database_name"},
{role:"readWrite",db:"another_database_name"},
'read'// 对其他数据库有只读权限,对db001、db002是读写权限
]
})
角色说明
常用的角色如下:
read:允许用户读取指定数据库;
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限;
readWrite:允许用户读写指定数据库;
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限;
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile;
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限;
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限;
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户;
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限;
root:只在admin数据库中可用。超级账号,超级权限;
如果需要对某个数据库下集合使用find、count函数,需要给这个账号readWrite权限(给read权限是不够的)