mongo-用户及角色管理

已于 2023-06-12 14:57:05 修改
阅读量2.1k 收藏 7
点赞数
分类专栏: mongodb 文章标签: 数据库
于 2021-04-07 11:39:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/line_on_database/article/details/114919266
版权

一、简介

之前写了下mongo的部署,mongo部署可以说是比较简单的,因为我的配置文件里写了免密认证,所以我们登录是不需要验证的,但是为了安全,还是要做验证比较好

二、用户

1.用户管理命令

方法名描述
db.getUsers()获取用户信息
db.dropAllUsers()删除所有用户
db.updateUser()修改用户信息
db.createUser()创建用户
db.revokeRolesFromUser()删除用户角色
db.removeUser()删除用户(已经废弃)
db.grantRolesToUser()授予用户角色
db.getUser()查看指定用户信息
db.changeUserPassword()修改用户密码
db.auth()数据库认证、安全模式
db.dropUser() 删除用户

1.1 简介

MongoDB默认情况下不启用访问控制。您可以使用--auth或 security.authorization设置启用授权。启用内部身份验证也会启用客户端授权。

启用访问控制后,用户必须进行身份验证

1.2 相关命令演示

use admin
# 1.创建用户
db.createUser(
  {
    user: "myUserAdmin",
    pwd: passwordPrompt(), // 这里也可以直接写密码
    roles: [ { role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase" ]
  }
)
# 这时候会让你输入密码,输入你想给admin用户设置的密码即可
db.createUser(
  {
    user: "myUserAdmin",
    pwd: '123', // 这里也可以直接写密码
    roles: [ { role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase" ]
  }
)


# 2.查看用户信息(该语句会列出所有用户信息)
db.getUsers();|show users;(两个语句都行)
[
	{
		"_id" : "admin.admin",
		"userId" : UUID("8c02adf8-14a8-4b66-8a1f-780dc1e929b5"),
     。。。

# 3.查看指定用户信息
db.getUser('admin')
{
	"_id" : "admin.admin",
	"userId" : UUID("8c02adf8-14a8-4b66-8a1f-780dc1e929b5"),
     。。。

# 4.删除指定用户
db.dropUser('admin')


# 5.删除所有用户
db.dropAllUsers()

# 6.修改用户密码
db.changeUserPassword('admin','456')

# 7.非用户登录mongo后再进行认证
 db.auth('admin','456')

# 8.更改用户信息
db.updateUser(
   "admin",
   {
     mechanisms: [ "SCRAM-SHA-256" ]
   }
)

# 9.给用户授权
db.grantRolesToUser(
   "admin",
   [ "readWrite" , { role: "read", db: "stock" } ],
   { w: "majority" , wtimeout: 4000 }
)

# 10.回收用户权限
db.revokeRolesFromUser( "admin",
                        [ { role: "read", db: "stock" }, "readWrite" ],
                        { w: "majority" }
                      )

三、角色

1.内部角色

角色类别角色名能执行的操作解释
数据库用户角色readchangeStream,collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections允许用户读取指定数据库

readWrite

collStats,convertToCapped,createCollection,dbHash,dbStats,dropCollection,createIndex,dropIndex,
find,insert,killCursors,listIndexes,listCollections,remove,renameCollectionSameDB,update		允许用户读写指定数据库
数据库管理角色dbAdmin

系统权限:changeStream,collStats,convertToCapped,createCollection,dbHash,dbStats,dropCollection,find,
killCursors,listIndexes,listCollections,planCacheRead
数据库权限:

bypassDocumentValidation,collMod,collStats,convertToCapped,createCollection,createIndex,dbStats,dropCollection,

dropDatabase,dropIndex,enableProfiler,listIndexes,listCollections,planCacheIndexFilter,planCacheRead,planCacheWrite,

reIndex,renameCollectionSameDB,storageDetails,validate

允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
dbOwner实际是readWrite, dbAdmin和userAdmin的角色之和
userAdminchangeCustomData,changePassword,createRole,createUser,dropRole,dropUser,grantRole,revokeRole,
setAuthenticationRestriction,viewRole,viewUser		允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
集群管理角色clusterAdmin

整个集群上:

addShard,appendOplogNote,applicationMessage,cleanupOrphaned,flushRouterConfig,listSessions (版本3.6中的新功能),listShards,removeShard,replSetConfigure,replSetGetConfig,replSetGetStatus,replSetStateChange,resync

,setFeatureCompatibilityVersion,setFreeMonitoring

所有数据库:

clearJumboFlag (4.2.3和4.0.15中的新功能),enableSharding,moveChunk,splitChunk,splitVector

config库的非系统集合:

collStats,dbHash,dbStats,enableSharding,find,insert,killCursors,listCollections,listIndexes,moveChunk,planCacheRead,remove,

splitChunk,splitVector,update

config库的系统集合:

collStats,dbHash,dbStats,find,killCursors,listCollections,listIndexes,planCacheRead

local库的非系统集合:

enableSharding,insert,moveChunk,remove,splitChunk,splitVector,update

local库的系统集合:

collStats,dbHash,dbStats,find,killCursors,listCollections,listIndexes,planCacheRead

只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限
clusterManager

整个集群上:

checkFreeMonitoringStatus (版本4.0中的新增功能),connPoolStats,getCmdLineOpts,getLog,getParameter,getShardMap,hostInfo,inprog,listDatabases,listSessions (版本3.6中的新功能),listShards,netstat,replSetGetConfig,replSetGetStatus,serverStatus,setFreeMonitoring (版本4.0中的新增功能),shardingState,top

所有数据库:

collStats,dbStats,getShardVersion,indexStats,useUUID (版本3.6中的新功能)

config库的非系统集合:

collStats,dbHash,dbStats,find,getShardVersion,indexStats,killCursors,listCollections,listIndexes,planCacheRead

config库的系统集合:

collStats,dbHash,dbStats,find,killCursors,listCollections,listIndexes,planCacheRead

clusterMoniter
hostManager
备份恢复角色backup
store
所有数据库角色readAnyDatabase只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
超级用户角色root只在admin数据库中可用。超级账号,超级权限
内部角色__system

2.角色相关命令

方法名

描述

db.createRole()

创建一个角色并制定其权限

db.dropRole()

删除用户定义的角色

db.dropAllRoles()

删除用户定义的所有角色

db.getRole()

返回指定角色信息

db.getRoles()

返回一个库的所有用户定义角色信息

db.grantPrivilegesToRole()

将权限分配给用户定义的角色

db.revokePrivilegesFromRole()

从用户定义的角色中删除指定权限

db.grantRolesToRole()

从用户指定的角色中继承权限

db.revokeRolesFromRole()

从角色中删除继承的角色

db.updateRole()

修改一个用户自定义角色

2.1 角色相关命令演示

use admin
# 1.创建角色
db.createRole(
   {
     role: "myClusterwideAdmin",
     privileges: [
       { resource: { cluster: true }, actions: [ "addShard" ] },
       { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
       { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
       { resource: { db: "", collection: "" }, actions: [ "find" ] }
     ],
     roles: [
       { role: "read", db: "admin" }
     ]
   },
   { w: "majority" , wtimeout: 4000 }
)

# 利用上面的特性可以做到把权限粒度控制在集合上,注意这里下面的roles不要给任何权限,只通过peivileges来控制,然后把col_ro的角色赋给对应的用户即可
# privileges中的actions操作可以通过官网查看:https://www.mongodb.com/docs/v4.4/reference/privilege-actions/#std-label-security-user-actions
db.createRole(
   {
     role: "col_ro", 
     privileges: [
       { resource: { db: "db_name", collection: "col_name" }, actions: [ "find" ] }
     ],
     roles: []
   }
)

db.createUser(
  {
    user: "app_col_ro",
    pwd: 'password',
    roles: [ { role: "col_ro", db: "db_name"} ]
  }
)

# 2.查看单库角色
db.getRoles()
# 因为我们是在admin创建的库,所以都可以看到,可以试试如下演示
use config
db.createRole(
   {
     role: "test_config",
     privileges: [
       { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] }
     ],
     roles: [
       { role: "read", db: "config" }
     ]
   },
   { w: "majority" , wtimeout: 4000 }
)
use admin
db.getRoles()



# 3.查看指定角色信息
db.getRole('test')

# 4.查看所有角色,包括内置角色
show roles

# 5.删除指定自建角色
db.dropRole('test')

# 6.删除所有自建角色
db.dropAllRoles()

# 7.将权限分配给用户定义的角色
db.grantPrivilegesToRole(
  "test_config",
  [
    {
      resource: { db: "config", collection: "test" },
      actions: [ "find" ]
    }
  ],
  { w: "majority" }
)

# 8.从用户定义的角色中删除指定权限
db.revokePrivilegesFromRole(
  "test_config",
  [
    {
      resource: { db: "config", collection: "test" },
      actions: [ "find" ]
    }
  ],
  { w: "majority" }
)

# 9.从用户指定的角色中继承权限
db.grantRolesToRole(
    "test_config",
    [ "readWrite" ],
    { w: "majority" , wtimeout: 5000 }
)

# 10.从角色中删除继承的角色
db.revokeRolesFromRole(
    "test_config",
    [ "readWrite" ],
    { w: "majority" , wtimeout: 5000 }
)

# 11.修改一个用户自定义角色
db.updateRole(
    "test_config",
    {
      privileges:
          [
            {
              resource: { db:"config", collection:"test1" },
              actions: [ "update", "createCollection", "createIndex"]
            }
          ],
      roles:
          [
            {
              role: "readWrite",
              db: "config"
            }
          ]
    },
    { w:"majority" }
)

四、writeConcern文档

1.格式

{ w: <value>, j: <boolean>, wtimeout: <number> }

2.选项详解

2.1 w: 数据写入到number个节点才向用客户端确认

  1. {w: 0} 对客户端的写入不需要发送任何确认,适用于性能要求高,但不关注正确性的场景
  2. {w: 1} 默认的writeConcern,数据写入到Primary就向客户端发送确认
  3. {w: “majority”} 数据写入到副本集大多数成员后向客户端发送确认,适用于对数据安全性要求比较高的场景,该选项会降低写入性能

2.2 j: 写入操作的journal持久化后才向客户端确认

  1. 默认为”{j: false},如果要求Primary写入持久化了才向客户端确认,则指定该选项为true

2.3 wtimeout: 写入超时时间,仅w的值大于1时有效。

当指定{w: }时,数据需要成功写入number个节点才算成功,如果写入过程中有节点故障,可能导致这个条件一直不能满足,从而一直不能向客户端发送确认结果,针对这种情况,客户端可设置wtimeout选项来指定超时时间,当写入过程持续超过该时间仍未结束,则认为写入失败。

3.{w: “majority”}解析

{w: 1}、{j: true}等writeConcern选项很好理解,Primary等待条件满足发送确认;但{w: “majority”}则相对复杂些,需要确认数据成功写入到大多数节点才算成功,而MongoDB的复制是通过Secondary不断拉取oplog并重放来实现的,并不是Primary主动将写入同步给Secondary,那么Primary是如何确认数据已成功写入到大多数节点的?

  1. Client向Primary发起请求,指定writeConcern为{w: “majority”},Primary收到请求,本地写入并记录写请求到oplog,然后等待大多数节点都同步了这条/批oplog(Secondary应用完oplog会向主报告最新进度)。
  2. Secondary拉取到Primary上新写入的oplog,本地重放并记录oplog。为了让Secondary能在第一时间内拉取到主上的oplog,find命令支持一个awaitData的选项,当find没有任何符合条件的文档时,并不立即返回,而是等待最多maxTimeMS(默认为2s)时间看是否有新的符合条件的数据,如果有就返回;所以当新写入oplog时,备立马能获取到新的oplog。
  3. Secondary上有单独的线程,当oplog的最新时间戳发生更新时,就会向Primary发送replSetUpdatePosition命令更新自己的oplog时间戳。
  4. 当Primary发现有足够多的节点oplog时间戳已经满足条件了,向客户端发送确认。

官网地址:Role Management Methods — MongoDB Manual

与数据交流的路上
关注
专栏目录
MongoDb db.createUser用户权限
04-30
MongoDb数据db.createUser的使用详解. 1、介绍官方文档; 2、实际应用举例。
Mongodb3.0 新增用户身份验证db.createUser()
weixin_34250709的博客
01-04 939
定义:创建一个数据库用户用db.createUser()方法,如果用户存在则返回一个用户重复错误。语法:db.createUser(user, writeConcern)    user这个文档创建关于用户的身份认证和访问信息;    writeConcern这个文档描述保证MongoDB提供写操作的成功报告。· user文档,定义了用户的以下形式:{ user: "&lt;name&gt;",...
数据库MongoDB 查看当前用户角色和权限
最新发布
颜淡慕潇
09-30 2820
MongoDB 中,可以通过一些简单的命令查看当前用户角色和权限。这对于理解用户的访问能力和管理用户权限至关重要。
mongodb 设置用户密码权限
yuguang的博客
12-30 1589
mongodb 设置用户密码权限 1 设置管理员账户 use admin db.createUser({ user: "useradmin", pwd: "adminpassword", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] }) mongodb中的用户是基于身份role的,该管理员账户的 role是 userAdminAnyDatabase。 ‘userAdmin’代表用户管理身份,’AnyDatabase’ 代表可以管理任何
mongodb使用db.createUser(时使用文件
weixin_35751194的博客
01-03 531
MongoDB 中,可以使用 db.createUser() 方法来创建用户。 这个方法的参数是一个文档,里面包含了用户的相关信息,例如用户名、密码、角色等。例如,下面的命令可以创建一个名为 "testuser" 的用户,密码为 "testpassword",角色为 "readWrite" 的用户: db.createUser({ user: "testuser", pwd: "tes...
Mongodb创建用户角色
weixin_44834554的博客
09-08 1万+
mongodb用户角色划分
mango-panel:mongo-orm项目的管理面板
03-16
- 权限控制:根据角色和权限设置,实现对不同用户的访问和操作限制,保证数据安全。 5. **开发与部署** "Mango Panel-main"可能包含了项目的主要源代码,开发者可以下载并根据需求进行定制。使用Vue CLI等工具,...
Mongo-News-Scraper
04-30
在新闻抓取过程中,Cheerio扮演了关键角色,它可以解析网页内容,高效地选择和提取所需的信息,如新闻链接、文章标题等。开发者可以编写Cheerio脚本来定位特定的HTML元素,进而提取和存储新闻数据。 总的来说,...
express-mongo-app
04-22
1. **路由管理**:Express允许定义URL与特定的处理函数之间的映射,这样当用户访问特定URL时,相应的处理函数会被调用。这在创建动态Web应用时非常关键,因为它使得你可以根据请求类型(GET、POST等)执行不同的操作...
Mongo-Scrape
05-09
Mongo-Scrape是一个基于JavaScript和Node.js的项目,旨在教授用户如何从网页抓取数据并存储到MongoDB数据库中。这个项目使用了Handlebars框架来处理模板引擎,从而能够生成动态HTML页面,同时结合MongoDB作为后端...
mongo-mysql-db
02-04
创建一个管理用户 db.createUser( { user: "andrea", pwd: "abc123", roles: [{ role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase"] } ) 检查当前登录的用户 db.runCommand({...
MongoDB角色、权限介绍
m0_37642477的博客
09-04 3406
mongodb角色、权限介绍
解决 Error: couldn’t add user: No role named userAdminAnyDatabase@ 异常问题
kwame211的博客
07-17 2万+
最近在使用 MongoDB,在创建用户时遇到了 Error: couldn't add user: No role named userAdminAnyDatabase@xttblog : 异常问题。今天把这个问题的解决办法分享给大家! 整个错误异常信息如下: Error: couldn't add user: No role named userAdminAnyDatabase@xttblo...
MongoDB 查看所有用户账号信息
热门推荐
独一无二的小个性
11-10 10万+
查看全局所有账户 查看当前库下的账户 在 MongoDB 中创建了很多帐号,怎么查看所有帐号信息?查看全局所有账户 :> use admin switched to db admin > db.auth('admin','123456') 1 > db.system.users.find().pretty() { "_id" : "admin.root", "user" : "
MongoDB教程:创建用户并添加角色
学亮编程手记
08-24 1304
例如,有一个“read role”仅允许对数据库进行只读访问,然后有一个“ readwrite”角色提供了对数据库的读写访问,这意味着用户可以发出插入,删除和更新该数据库中集合的命令。在上面的示例中,他被授予对“ Marketing”数据库的只读权限,对“ Sales”数据库具有readWrite权限。结果显示创建了一个名为“ Employeeadmin”的用户,并且该用户仅对“ Employee”数据库具有权限。显示创建了一个名为“ Guru99”的用户,该用户MongoDB中的所有数据库具有权限。
Mongo 用户创建及权限管理
张冲andy的博客
09-26 711
Mongo版本3.0之前使用的是db.addUser(),但3.0之后使用的是db.createUser() 内建的角色数据库用户角色:read、readWrite;  数据库管理角色:dbAdmin、dbOwner、userAdmin;  集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;  备份恢复角色:bac...
MongoDB(二):访问与用户管理
欧阳方超的专栏
03-22 2955
MongoDB默认没有管理员账号,需要在admin库中添加,然后在配置文件中开启权限认证后,给MongoDB设置的账号才可用;添加普通账号在非admin库进行即可;用户只能直接连接到创建该用户时所在的数据库(包括管理员),然后使用use切换到其他库,至于能否操作数据视有无权限而定。
MongoDB认证与授权(表、用户角色
qq_43783527的博客
05-28 4416
目录 前言 一、服务端auth认证与客户端auth验证 1、服务端开启auth认证的方式 2、客户端进行auth验证的方式 二、管理所有数据库角色管理指定数据库角色 1、mongdb内置了哪些角色 2、用户角色创建案例 1.管理员 - root角色权限 2.普通用户 3、用户CURD操作 1.创建用户 2.查询用户 3.删除用户 4.修改密码 前言 1、生产环境,不建议MongDB开启auth认证。 联想自己公司,确实在登录mongdb的时候不需要用户名和密码。
MongoDB报错Error: couldn’t add user: No role named userAdminAnyDatabase
Oliver尹的博客
10-27 2794
问题: MongoDB新建了一个数据库,添加用户事报错 描述: 阿里云的服务器里面,进入MongoDB后,新建了一个数据库,为这个数据库创建用户时,报错:Error: couldn’t add user: No role named userAdminAnyDatabase 解决: 是不是新建的用户权限是:userAdminAnyDatabase,除了admin数据库别的数据库貌似无法赋予这个权限,可以改成别的权限,比如读写的readWrite权限 //使用 db.createUser( { u
mongo用户密码的格式登入
09-15
4. 用户角色和权限:用户可以被分配不同的角色,这些角色定义了用户数据库中可以执行的操作。例如,`read`角色允许用户读取数据,而`readWrite`角色允许用户读写数据。MongoDB提供了很多内置的角色,可以用来满足...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值