mongo身份验证和权限管理

最新推荐文章于 2024-03-07 09:59:52 发布
最新推荐文章于 2024-03-07 09:59:52 发布
阅读量1k 收藏
点赞数
分类专栏: Redis + MongoDB 文章标签: mongodb 权限 身份认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010520724/article/details/109763896
版权

备注:
MongoDB 4.2 版本

文章目录

一.身份认证

MongoDB安装完成后,默认是没有权限验证的,默认是不需要输入用户名密码即可登录的,但是往往数据库方面我们会出于安全性的考虑而设置用户名密码。
即任何客户端都可以使用mongo IP:27017/admin命令登录mongo服务
启用访问控制前,请确保在 admin 数据库中拥有 userAdmin 或 userAdminAnyDatabase 角色的用户。
该用户可以管理用户和角色,例如:创建用户,授予或撤销用户角色,以及创建或修改定义角色。

启用验证的方式:
/etc/mongodb.conf 将auth=true前面的注释拿掉,然后重启服务生效。

二.用户权限介绍

  1. mongodb是没有默认管理员账号,所以要先添加管理员账号,在开启权限认证。
  2. 切换到admin数据库,添加的账号才是管理员账号。
  3. 用户只能在用户所在数据库登录,包括管理员账号。
  4. mongo的用户是以数据库为单位来建立的,每个数据库有自己的管理员。
  5. 管理员可以管理所有数据库,但是不能直接管理其他数据库,要先在admin数据库认证后才可以。
    注:帐号是跟着库走的,所以在指定库里授权,必须也在指定库里验证

权限说明:

Built-In Roles(内置角色):
1. 数据库用户角色:read、readWrite; 
2. 数据库管理角色:dbAdmin、dbOwner、userAdmin;
3. 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager; 
4. 备份恢复角色:backup、restore; 
5. 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase 
6. 超级用户角色:root 
// 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
权限描述
Read允许用户读取指定数据库
readWrite允许用户读写指定数据库
dbAdmin允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root只在admin数据库中可用。超级账号,超级权限

三.用户权限维护

3.1 创建用户

3.1.1 创建admin

角色:userAdminAnyDatabase (这是一个账号管理员的角色)
admin用户用于管理账号,不能进行关闭数据库等操作,目标数据库是admin

> use admin
> db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})
另一种格式:
> db.createUser(
{
user: "dba",
pwd: "dba",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)

测试记录:

> use admin
switched to db admin
>  db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})
Successfully added user: {
        "user" : "admin",
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
> 
>

3.1.2 创建root

创建完admin管理员,创建一个超级管理员 root 角色:root
root角色用于 关闭数据库 db.shutdownServer()

> use admin
> db.createUser({user: "root",pwd: "123456",roles: [ { role: "root", db: "admin" } ]})

测试记录:

> use admin
switched to db admin
> db.createUser({user: "root",pwd: "123456",roles: [ { role: "root", db: "admin" } ]})
Successfully added user: {
        "user" : "root",
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ]
}
>

3.1.3 创建普通用户

zqs_user这个账户是zqs这个数据库的管理员

use zqs;
db.createUser({user: "zqs_user",pwd: "123456",roles: [ { role: "dbOwner", db: "zqs" } ]})

测试记录:

> use zqs;
switched to db zqs
> db.createUser({user: "zqs_user",pwd: "123456",roles: [ { role: "dbOwner", db: "zqs" } ]})
Successfully added user: {
        "user" : "zqs_user",
        "roles" : [
                {
                        "role" : "dbOwner",
                        "db" : "zqs"
                }
        ]
}
>

3.2 查看用户

use admin
db.auth('admin','123456')
show users;
db.system.users.find().pretty()

测试记录:

> use admin
switched to db admin
> db.auth('admin','123456')
1
> 
> show users;
{
        "_id" : "admin.admin",
        "userId" : UUID("b350f043-f96d-4caa-89fe-fdb5e8f12bed"),
        "user" : "admin",
        "db" : "admin",
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
{
        "_id" : "admin.root",
        "userId" : UUID("80c4fad0-f344-4fec-aedf-4629d5ffdb47"),
        "user" : "root",
        "db" : "admin",
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
> 
> db.system.users.find().pretty()
{
        "_id" : "admin.admin",
        "userId" : UUID("b350f043-f96d-4caa-89fe-fdb5e8f12bed"),
        "user" : "admin",
        "db" : "admin",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "qOsV0FwaJjz9w3+82nB7tQ==",
                        "storedKey" : "v05BKAFSr4iu4IocuNrFsvrdZOY=",
                        "serverKey" : "rWnzOkLGR0OO60s/O9BzY9KdQBk="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "JLvXPC4h0NE3DhTKAyv0cBSKPCYwyl9sm/EPAw==",
                        "storedKey" : "JdNJU2T8EOCCLbu+PmNMiy5qde2au00Y8z2T2U3h3Y8=",
                        "serverKey" : "X7KLzHWeSS1nb0Z1tGdMBvj/A38subQ2F/j7omstUQc="
                }
        },
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
{
        "_id" : "admin.root",
        "userId" : UUID("80c4fad0-f344-4fec-aedf-4629d5ffdb47"),
        "user" : "root",
        "db" : "admin",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "dYwdSwCFjLi09emO5wQi9w==",
                        "storedKey" : "v6dt6eRcqU2CxzT9MJCx73McWR8=",
                        "serverKey" : "vKu49tEkUSTL6LobFbd/SSpIt24="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "NvjslFU2Dw5vq1UUx8g8tvqVmtzxOj9+blmAuw==",
                        "storedKey" : "9Cqvs2H7k1IhzAPUjS7An21lS3jTftce9PI0ZCrDc/o=",
                        "serverKey" : "iEZSpujFWOwncOh9hLcmYqeFiJJWE/Eq9INQp6GOCUw="
                }
        },
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ]
}
{
        "_id" : "zqs.zqs_user",
        "userId" : UUID("175be7c0-dba2-44d9-a7fd-4b1d82e3e79b"),
        "user" : "zqs_user",
        "db" : "zqs",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "kMf6SSTUnoyPP8OkBg+gLA==",
                        "storedKey" : "3d3ifwhB0o1tWa85UTtiZHkiibM=",
                        "serverKey" : "zGuKawyQ1RxbJb8FYROOj+rHFBE="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "BK4iBrLycA9f/W4T0yb8+VRQBqEMYK4mhuLB0w==",
                        "storedKey" : "ivsStNk5Z+WrnXx4Huq20fomiNcEC5lCRuyKQEW80Hs=",
                        "serverKey" : "1ggF77RaJmQkopxYXyEAWubWteC7fqZhYqrfm1Aqhig="
                }
        },
        "roles" : [
                {
                        "role" : "dbOwner",
                        "db" : "zqs"
                }
        ]
}

3.3 删除用户

-- 根据id删除用户
db.system.users.remove({_id:"XXX.XXX"})
-- 根据用户名删除用户
db.system.users.remove({user:"XXXXXX"})

测试记录:

[root@10-31-1-124 ~]# mongo
MongoDB shell version v4.2.10
connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("4a4cf164-5f27-474c-bc56-07e98ff5c750") }
MongoDB server version: 4.2.10
> 
> use zqs
switched to db zqs
> db.auth('zqs_user','123456')
1
> db.createUser({user: "zqs_user2",pwd: "123456",roles: [ { role: "dbOwner", db: "zqs" } ]})
Successfully added user: {
        "user" : "zqs_user2",
        "roles" : [
                {
                        "role" : "dbOwner",
                        "db" : "zqs"
                }
        ]
}
> db.createUser({user: "zqs_user3",pwd: "123456",roles: [ { role: "dbOwner", db: "zqs" } ]})
Successfully added user: {
        "user" : "zqs_user3",
        "roles" : [
                {
                        "role" : "dbOwner",
                        "db" : "zqs"
                }
        ]
}
> 
-- 普通账户删除把偶从
> db.system.users.remove({_id:"zqs.zqs_user2"})
WriteCommandError({
        "ok" : 0,
        "errmsg" : "not authorized on zqs to execute command { delete: \"system.users\", ordered: true, lsid: { id: UUID(\"4a4cf164-5f27-474c-bc56-07e98ff5c750\") }, $db: \"zqs\" }",
        "code" : 13,
        "codeName" : "Unauthorized"
})
> 

-- 此处改用root权限来删除
[root@10-31-1-124 ~]# mongo
MongoDB shell version v4.2.10
connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("b5fbac38-ccb4-4d7c-919d-e994fdd2536c") }
MongoDB server version: 4.2.10
> 
> use admin
switched to db admin
> db.auth('root','123456')
1
-- 授权给admin用户对system.version表执行命令的权限
> db.grantRolesToUser ( "root", [ { role: "__system", db: "admin" } ] )
> 
> db.system.users.remove({_id:"zqs.zqs_user2"})
WriteResult({ "nRemoved" : 1 })
> db.system.users.remove({user:"zqs_user3"})
WriteResult({ "nRemoved" : 1 })
> 
> use zqs;
switched to db zqs
> show users;
{
        "_id" : "zqs.zqs_user",
        "userId" : UUID("175be7c0-dba2-44d9-a7fd-4b1d82e3e79b"),
        "user" : "zqs_user",
        "db" : "zqs",
        "roles" : [
                {
                        "role" : "dbOwner",
                        "db" : "zqs"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
>

2.4 修改用户

对于分片集群,用户的更改将在命令运行的 mongos 上即时生效。但是,对于群集中的其他mongos 实例,用户缓存可能会等待10分钟才能刷新。

-- 回收权限
db.revokeRolesFromUser(
"zqs_user2",
[
{ role: "readWrite", db: "zqs" }
]
)
-- 修改密码
db.changeUserPassword("zqs_user3", "abc123")

测试记录:

> db.revokeRolesFromUser(
... "zqs_user2",
... [
... { role: "readWrite", db: "zqs" }
... ]
... )
> db.changeUserPassword("zqs_user3", "abc123")
> 
> db.auth('zqs_user3','abc123')
1
>

4.通过认证登陆

-- 认证方式1 先登陆再验证
use zqs
db.auth('zqs_user3','abc123')

测试记录

> use zqs
switched to db zqs
> db.auth('zqs_user3','abc123')
1
> 

-- 认证方式2  登陆的时候配置用户名、密码 及登陆的db
mongo -u zqs_user -p 123456 --authenticationDatabase "zqs"

测试记录:

[root@10-31-1-124 ~]# mongo -u zqs_user -p 123456 --authenticationDatabase "zqs"
MongoDB shell version v4.2.10
connecting to: mongodb://127.0.0.1:27017/?authSource=zqs&compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("52ebde76-917b-42bc-a8fc-a473aafabfd0") }
MongoDB server version: 4.2.10
> 
> show tables;
Warning: unable to run listCollections, attempting to approximate collection names by parsing connectionStatus
> 
> use zqs
switched to db zqs
> show tables
emp
test1

参考

1.https://www.cnblogs.com/pl-boke/p/10063351.html

只是甲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mongodb常用的身份验证方式
12-16
身份验证是实现这一目标的关键步骤,它可以防止未经授权的访问,确保只有经过验证的用户才能执行特定的操作。 开启 MongoDB身份验证是通过在启动数据库时添加 `--auth` 参数来完成的。默认情况下,如果没有启用...
MongoDB用户管理
高手兄
03-07 266
MongoDB用户管理 用户管理 MongoDB是没有默认管理员账号,所以要先添加管理员账号,再开启权限认证。 切换到admin数据库,添加的账号才是管理员账号。 用户只能在用户所在数据库登录,包括管理员账号。 管理员可以管理所有数据库,但是不能直接管理其他数据库,要先在admin数据库认证后才可以。 角色分类 角色分类 角色名称 数据库用户角色 read、readWrite ...
mongoDB复制搭建
weixin_63118253的博客
07-02 91
mongoDB的复制集搭建方法
mongoDB创建账号
IT菜鸟
03-01 5771
内置角色:MongoDB 包含一组内置角色,这些角色是预定义的角色,可以用于访问和管理数据库。要创建管理员账户,您需要使用具有超级用户权限的用户登录 MongoDB,并在 admin 数据库中创建管理员账户。特殊角色:MongoDB 包含一些特殊的角色,例如 角色,该角色具有 MongoDB 中最高级别的权限,可以访问所有数据库和执行所有操作。自定义角色:除了内置角色之外,您还可以创建自定义角色,以控制用户对数据库和集合的访问权限。在 MongoDB 中,用户角色用于控制用户对数据库和集合的访问权限
MongoDB忘记密码、修改密码总结
眼中星辰的博客
09-09 2万+
一、修改密码: 切换至mongo的bin目录下,登录mongo mongo 登陆成功后,切换至admin表 (mongodb的所有用户都会存储在admin表中,所以需要切换至admin表再进行用户的修改) use admin db.changeUserPassword('用户名','新密码'); db.auth('用户名','新密码'); 可以退出exit验证 ,再次登录 二、忘记密码,重置密码: 步骤如下: 1、找到mongodb的配置文件 通过 ps -ef|grep mongod 找到
mongoDBmongodb权限验证 || mongodb重启 || mongodb常用命令
此人太懒,没有任何简介
05-14 684
mongoDB刚开始无需密码登录mongoDB有3默认数据库,分别为:admin 超级用户,能对所有数据库操作,执行管理员命令config 分片集群配置的数据库local 分片集群锁信息的集合test 这个数据库一般是隐式创建的,没有显示出来。若你进入到数据库,默认进入test数据库,若你没有指定数据库,直接添加数据,会添加到test数据库名称角色数据库用户角色数据库管理角色集群管理角色所有数据库角色备份恢复角root超级用户角色__system内部角色。
mongo主从带权限配置说明
02-17
命令 `mongod --dbpath /data/db --auth --keyFile /data/config/mongo-keyfile --master` 指定了数据路径、启用身份验证、使用keyfile进行安全连接,并声明为主服务器。 对于从服务器(mongo_slave),配置与主...
docker-mongo-auth:具有身份验证,多个用户和一个数据库的Dockerized MongoDB
05-16
启用身份验证 超级用户和密码 管理员用户和密码 默认数据库 缺省数据库用户(dbUser)和密码 这是从官方的MongoDB映像构建的。 当变量 MONGO_INITDB_ROOT_USERNAME MONGO_INITDB_ROOT_PASSWORD 使用时,将自动...
imicros-auth:用于身份验证,授权和ACL的分子服务
05-02
imicros身份验证 身份验证的服务 安装 $ npm install imicros-auth --save 依存关系 需要一个正在运行的Mongo实例。 需要正在运行的服务,可以调用该服务来处理 requestVerificationMail requestPasswordReset ...
mongodb基础之用户权限管理实例教程
09-09
默认情况下,MongoDB 允许所有操作,但为了增强安全性,我们通常会在配置文件中启用身份验证(`auth = true`)。 在创建和管理用户之前,了解 MongoDB 提供的内置角色是非常必要的。这些角色定义了用户对数据库的...
MongoDB 安全认证
weixin_49107940的博客
07-18 1816
默认情况下,MongoDB实例启动运行时是没有启用用户访问权限控制的,也就是说,在实例本机服务器上都可以随意连接到实例进行各种作,MongoDB不会对连接客户端进行用户验证,这是非常危险的。使用新的端口,默认的27017端口如果一旦知道了ip就能连接上,不太安全。设置mongodb的网络环境,最好将mongodb部署到公司服务器内网,这样外网是访问不到的。公司内部访问使用vpn等。开启安全认证认证要同时设置服务器之间的内部认证方式,同时要设置客户端连接到集群的账号密码认证方式。...
当vector中存储的类型为指针时,vector.clear()的执行结果
cyd_shuihan的博客
05-28 4万+
#include #include using namespace std; class A { private : int nId; public: A(int n) { nId = n; cout << nId << " contructor" << endl; } ~A( ) {cout << nId << " destructor" << endl; } };
Linux技巧
abc123098098的博客
03-17 1万+
0001 修改主机名(bjchenxu) vi /etc/sysconfig/network,修改HOSTNAME一行为"HOSTNAME=主机名"(没有这行?那就添加这一行吧),然后运行命令 " hostname 主机名"。一般还要修改/etc/hosts文件中的主机名。这样,无论你是否重启,主机名都修改成功。 0002 Ret Hat Linux启动到文字界面(不启动xw...
http://www.htsjpt.com/admin.php,webshell/php/xiao.php.txt at f875e7b78085777b8a10c3456478dbd192d851a...
热门推荐
weixin_39980575的博客
03-13 60万+
eval(gzuncompress(base64_decode("eJzsvfl3G8eROP6z/J7/h9GYK4AmiIP3IVDiTUq8RJA6qceHY0BABDDQAOAhW/u/MNpNvLJ2I0qkLoq6SJsUZVEUSUmOnnP4WCeO1slGzsd2rDjvW9XHTA8wACnFye7nky9tkUAf1dXV1dXV1dXViqap2rCmJFUtHU2M2Ku...
MongoDB高阶操作
清沙
07-12 337
MongoDB常规高阶操作
Mysql语法大全
huiqin08的博客
05-07 1万+
先尽量全面记录一下,后期再完善记录一下语法,便于以后查询用户管理 新建用户及密码:foo为名,123为密码,locahost为固定地址登录 # 以下为两种创建方式 CREATE USER foo@localhost IDENTIFIED BY ‘123’ insert into mysql.user(Host,User,Password) values("localhost","test",pass
MongoDB系列之角色权限验证
最新发布
jxinlina的博客
03-07 725
MongoDB中,每个数据库的实例都可拥有任意多个用户。安全检查开启后,只有通过身份验证的用户才能够进行数据的读写操作。
本地项目上传到github
H.R
11-27 2万+
很早就创建了github账号,而且早在两年前也使用过git,当时的感觉就是麻烦! 各种对分布式系统的不理解,当时用的时候特别担心出问题(老被我搞的乱七八糟的)。 最近也感受到了云的好处,也渐渐的习惯去把一些资料放在云端。 今天把自己写的一个string类,放到了github上,下面折腾的过程。 首先,我本地已经有string工程了。 然后返回到上一层目录,鼠标放在文件夹H
MongoDB的安全认证详解
qq_60175070的博客
03-09 3758
内置角色只能控制User在DB级别上执行的操作,管理员可以创建自定义角色,控制用户在集合级别(Collection-Level)上执行的操作,即,控制User在当前DB的特定集合上执行特定的操作。Scope:角色作用的范围,创建在Admin中的角色,能够在其他DB中使用;在其他DB中创建的角色,只能在当前DB中使用;Resource:角色控制的资源,表示授予在该资源上执行特定操作的权限
Mongo shell中插入验证说明
09-19
4. 退出管理员账户,再次登录以管理员身份验证是否成功,例如: mongo -u admin -p password --authenticationDatabase admin 5. 切换到要进行验证的数据库,例如: use mydatabase 6. 创建用户并授予角色权限,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值