MongoDB初探系列之三:MongoDB用户权限操作
2017-03-09 15:47
295 查看
经过初探一的配置和初探二的基本了解,下面将在初探三中介绍一下MongoDB的用户权限操作。
一点点简介:
和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。
1.查看当前MongoDB下面都已经存在了哪些数据库
[plain]
view plain
copy
print?
show dbs
由于我本地已经存在了admin库,因此可以直接学习下面的内容。如果各位小伙伴安装好MongoDB后没有
发现admin库,那么可以使用下面的命令来创建admin库并创建一个admin用户,后续我们会用到。
[plain]
view plain
copy
print?
use admin
db.createUser(
{
user: "admin",
pwd: "admin",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
2、进入admin库,我们来查看一下它都包含哪些东西
进入后我们发现他包含索引,用户和版本号三个集合。
3、分别执行集合的find命令,来查看一下这三个集合里面的数据。【注:这里的集合相当于我们平时用的数据库的表】
[plain]
view plain
copy
print?
> db.system.users.find();
{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SC
RAM-SHA-1" : { "iterationCount" : 10000, "salt" : "DDWOrIFkjoeF7mFGNOgsMA==", "s
toredKey" : "Q7JLL0AziNLBtngVJYglQ+lZRvE=", "serverKey" : "qRC3s0HCrmIw2My5s0zAm
HQUzvM=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ]
}
> db.system.indexes.find();
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version"
}
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }
{ "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_d
b_1", "ns" : "admin.system.users" }
> db.system.version.find();
{ "_id" : "authSchema", "currentVersion" : 5 }
4、现在启用 auth
编辑我们在初探一中的写的配置文件mongo.config,然后在最下面加入这么一行。
[plain]
view plain
copy
print?
auth=true
现在我们来重启Mongod服务,此时我们会发现我们没有权限访问了,如下图所示:
刚才在admin库中创建了一个账户 admin ,先来连接admin库(其他db则失败):
[plain]
view plain
copy
print?
> db.auth("admin","admin");
Error: 18 Authentication failed.
0
> use admin;
switched to db admin
> db.auth("admin","admin");
1
0:代表授权失败 1:代表授权成功
为了验证没有授权不能查看对应的集合,我们将库切换至test库,然后执行show collections 命令,结果如下。
事实证明开启了权限认证以后,则必须拥有授权才能访问对应库的相应集合。
[plain]
view plain
copy
print?
> use test
switched to db test
> show collections;
2015-07-19T15:51:59.069+0800 E QUERY Error: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on test to execute command { listCollections:
1.0 }",
"code" : 13
}
at Error (<anonymous>)
at DB._getCollectionInfosCommand (src/mongo/shell/db.js:646:15)
at DB.getCollectionInfos (src/mongo/shell/db.js:658:20)
at DB.getCollectionNames (src/mongo/shell/db.js:669:17)
at shellHelper.show (src/mongo/shell/utils.js:625:12)
at shellHelper (src/mongo/shell/utils.js:524:36)
at (shellhelp2):1:1 at src/mongo/shell/db.js:646
5、对于创建的相关用户进行角色授权
角色授权分两种,一种是直接在当前库中创建用户并授予相关权限。如admin库中创建admin用户。另一种情况是
将在admin中创建的用户授予操作其他库的权限,相关授权命令如下:
[plain]
view plain
copy
print?
#授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
#取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
[plain]
view plain
copy
print?
db.grantRolesToUser( "admin" , [ { role: "dbOwner", db: "test" } ]) ;
然后我们切换到test库,我们惊奇的发现此时admin用户也能执行show collections 命令了。
注意:
通过db.auth("admin","admin") 命令登陆,只能登陆包含这个用户的库。但是成功登陆之后,如果当前用户拥有
访问其他库的权限,可以直接切换到对应的库,执行相关的数据操作命令。
因此,为了方便起见,还是建议每个库在创建的时候,直接在当前库中创建好使用的用户,这样就不用来回切换了。
6、创建自定义角色,并对角色进行授权
[plain]
view plain
copy
print?
#创建角色并授权
db.createRole({
role: "testRole",
privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],
roles: []
})
#添加Privileges给角色
db.grantPrivilegesToRole("testRole",
[{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}
])
[plain]
view plain
copy
print?
#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换
db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })
关于角色,参考官方文档提取总结如下:
OK ,至此简单的权限操作已经介绍完毕。初探四中将介绍一下MongoDB与JDBC的联合使用。
原文地址:http://blog.csdn.net/zgs_shmily/article/details/46955139
一点点简介:
和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。
1.查看当前MongoDB下面都已经存在了哪些数据库
[plain]
view plain
copy
print?
show dbs
show dbs显示结果如下:
由于我本地已经存在了admin库,因此可以直接学习下面的内容。如果各位小伙伴安装好MongoDB后没有
发现admin库,那么可以使用下面的命令来创建admin库并创建一个admin用户,后续我们会用到。
[plain]
view plain
copy
print?
use admin
db.createUser(
{
user: "admin",
pwd: "admin",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
use admin db.createUser( { user: "admin", pwd: "admin", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } )
2、进入admin库,我们来查看一下它都包含哪些东西
进入后我们发现他包含索引,用户和版本号三个集合。
3、分别执行集合的find命令,来查看一下这三个集合里面的数据。【注:这里的集合相当于我们平时用的数据库的表】
[plain]
view plain
copy
print?
> db.system.users.find();
{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SC
RAM-SHA-1" : { "iterationCount" : 10000, "salt" : "DDWOrIFkjoeF7mFGNOgsMA==", "s
toredKey" : "Q7JLL0AziNLBtngVJYglQ+lZRvE=", "serverKey" : "qRC3s0HCrmIw2My5s0zAm
HQUzvM=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ]
}
> db.system.indexes.find();
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version"
}
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }
{ "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_d
b_1", "ns" : "admin.system.users" }
> db.system.version.find();
{ "_id" : "authSchema", "currentVersion" : 5 }
> db.system.users.find(); { "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SC RAM-SHA-1" : { "iterationCount" : 10000, "salt" : "DDWOrIFkjoeF7mFGNOgsMA==", "s toredKey" : "Q7JLL0AziNLBtngVJYglQ+lZRvE=", "serverKey" : "qRC3s0HCrmIw2My5s0zAm HQUzvM=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] } > db.system.indexes.find(); { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" } { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" } { "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_d b_1", "ns" : "admin.system.users" } > db.system.version.find(); { "_id" : "authSchema", "currentVersion" : 5 }
4、现在启用 auth
编辑我们在初探一中的写的配置文件mongo.config,然后在最下面加入这么一行。
[plain]
view plain
copy
print?
auth=true
auth=true
现在我们来重启Mongod服务,此时我们会发现我们没有权限访问了,如下图所示:
刚才在admin库中创建了一个账户 admin ,先来连接admin库(其他db则失败):
[plain]
view plain
copy
print?
> db.auth("admin","admin");
Error: 18 Authentication failed.
0
> use admin;
switched to db admin
> db.auth("admin","admin");
1
> db.auth("admin","admin"); Error: 18 Authentication failed. 0 > use admin; switched to db admin > db.auth("admin","admin"); 1
0:代表授权失败 1:代表授权成功
为了验证没有授权不能查看对应的集合,我们将库切换至test库,然后执行show collections 命令,结果如下。
事实证明开启了权限认证以后,则必须拥有授权才能访问对应库的相应集合。
[plain]
view plain
copy
print?
> use test
switched to db test
> show collections;
2015-07-19T15:51:59.069+0800 E QUERY Error: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on test to execute command { listCollections:
1.0 }",
"code" : 13
}
at Error (<anonymous>)
at DB._getCollectionInfosCommand (src/mongo/shell/db.js:646:15)
at DB.getCollectionInfos (src/mongo/shell/db.js:658:20)
at DB.getCollectionNames (src/mongo/shell/db.js:669:17)
at shellHelper.show (src/mongo/shell/utils.js:625:12)
at shellHelper (src/mongo/shell/utils.js:524:36)
at (shellhelp2):1:1 at src/mongo/shell/db.js:646
> use test switched to db test > show collections; 2015-07-19T15:51:59.069+0800 E QUERY Error: listCollections failed: { "ok" : 0, "errmsg" : "not authorized on test to execute command { listCollections: 1.0 }", "code" : 13 } at Error (<anonymous>) at DB._getCollectionInfosCommand (src/mongo/shell/db.js:646:15) at DB.getCollectionInfos (src/mongo/shell/db.js:658:20) at DB.getCollectionNames (src/mongo/shell/db.js:669:17) at shellHelper.show (src/mongo/shell/utils.js:625:12) at shellHelper (src/mongo/shell/utils.js:524:36) at (shellhelp2):1:1 at src/mongo/shell/db.js:646
5、对于创建的相关用户进行角色授权
角色授权分两种,一种是直接在当前库中创建用户并授予相关权限。如admin库中创建admin用户。另一种情况是
将在admin中创建的用户授予操作其他库的权限,相关授权命令如下:
[plain]
view plain
copy
print?
#授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
#取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
#授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ]) #取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])下面我们在admin库中执行以下命令:
[plain]
view plain
copy
print?
db.grantRolesToUser( "admin" , [ { role: "dbOwner", db: "test" } ]) ;
db.grantRolesToUser( "admin" , [ { role: "dbOwner", db: "test" } ]) ;
然后我们切换到test库,我们惊奇的发现此时admin用户也能执行show collections 命令了。
注意:
通过db.auth("admin","admin") 命令登陆,只能登陆包含这个用户的库。但是成功登陆之后,如果当前用户拥有
访问其他库的权限,可以直接切换到对应的库,执行相关的数据操作命令。
因此,为了方便起见,还是建议每个库在创建的时候,直接在当前库中创建好使用的用户,这样就不用来回切换了。
6、创建自定义角色,并对角色进行授权
[plain]
view plain
copy
print?
#创建角色并授权
db.createRole({
role: "testRole",
privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],
roles: []
})
#添加Privileges给角色
db.grantPrivilegesToRole("testRole",
[{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}
])
#创建角色并授权 db.createRole({ role: "testRole", privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }], roles: [] }) #添加Privileges给角色 db.grantPrivilegesToRole("testRole", [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]} ])
[plain]
view plain
copy
print?
#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换
db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })
#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换 db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })
关于角色,参考官方文档提取总结如下:
角色分类 | 角色 | 权限及角色 (本文大小写可能有些变化,使用时请参考官方文档) |
Database User Roles | read | CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections |
readWrite | CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats, DropCollection,CreateIndex,DropIndex,Emptycapped,Find, Insert,KillCursors,ListIndexes,ListCollections,Remove, RenameCollectionSameDB,update | |
Database Administration Roles | dbAdmin | collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections, dropCollection 和 createCollection 在 system.profile |
dbOwner | 角色:readWrite, dbAdmin,userAdmin | |
userAdmin | ChangeCustomData,ChangePassword,CreateRole,CreateUser, DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser | |
Cluster Administration Roles | clusterAdmin | 角色:clusterManager, clusterMonitor, hostManager |
clusterManager | AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig, ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus, ReplSetStateChange,Resync, EnableSharding,MoveChunk,SplitChunk,splitVector | |
clusterMonitor | connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter, getShardMap,hostInfo,inprog,listDatabases,listShards,netstat, replSetGetStatus,serverStatus,shardingState,top collStats,dbStats,getShardVersion | |
hostManager | applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler, diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop, logRotate,resync,setParameter,shutdown,touch,unlock | |
Backup and Restoration Roles | backup | 提供在admin数据库mms.backup文档中insert,update权限 列出所有数据库:listDatabases 列出所有集合索引:listIndexes 对以下提供查询操作:find *非系统集合 *系统集合:system.indexes, system.namespaces, system.js *集合:admin.system.users 和 admin.system.roles |
restore | 非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限: collMod,createCollection,createIndex,dropCollection,insert 列出所有数据库:listDatabases system.users :find,remove,update | |
All-Database Roles | readAnyDatabase | 提供所有数据库中只读权限:read 列出集群所有数据库:listDatabases |
readWriteAnyDatabase | 提供所有数据库读写权限:readWrite 列出集群所有数据库:listDatabases | |
userAdminAnyDatabase | 提供所有用户数据管理权限:userAdmin Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases admin.system.users和admin.system.roles: collStats,dbHash,dbStats,find,killCursors,planCacheRead createIndex,dropIndex | |
dbAdminAnyDatabase | 提供所有数据库管理员权限:dbAdmin 列出集群所有数据库:listDatabases | |
Superuser Roles | root | 角色:dbOwner,userAdmin,userAdminAnyDatabase readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase,clusterAdmin |
Internal Role | __system | 集群中对任何数据库采取任何操作 |
原文地址:http://blog.csdn.net/zgs_shmily/article/details/46955139
相关文章推荐
- MongoDB初探系列之三:MongoDB用户权限操作
- MongoDB系列教程(四):设置用户访问权限
- mongodb带用户权限操作
- MongoDB用户权限操作
- Linux七天系列(第一天:文件操作、用户权限 、软链接与硬链接 、文件压缩与解压、通信命令、命令链接符 、输入/输出重定向)
- 超越之MongDB系列教程(三)MongoDB 用户权限管理
- mongodb查看操作记录方法以及用户添加删除权限修改密码
- MongoDB系列教程(四):设置用户访问权限
- MongoDB用户权限基本操作
- MongoDB用户权限基本操作
- Delphi实现软件中登录用户的操作权限
- 检查用户是否有操作权限
- 一步步教你如何用疯狂.NET架构中的通用权限系统 -- (用户 - 角色 - 操作权限 - 模块菜单)之间的关联关系
- oracle中给用户增加导入数据权限的操作
- Oracle用户的创建及权限的操作
- 一步步教你如何用疯狂.NET架构中的通用权限系统 -- (用户 - 角色 - 操作权限 - 模块菜单)之间的关联关系
- 开发日志:使用Asp.Net中的"Forms"验证方式,操作用户权限
- RHCE课程-RH033Linux基础笔记七之文件的搜索及高级文件权限和用户、组操作
- 黄聪:Delphi实现软件中登录用户的操作权限
- 在sqlserver中,给新添加的用户付所有表的操作权限