MongoDB添加用戶

MongoDB採用基於角色的訪問控制(RBAC)來確定用戶的訪問。 授予用戶一個或多個角色，確定用戶對MongoDB資源的訪問許可權和用戶可以執行哪些操作。 用戶應該只有最小許可權集才能確保最小許可權的系統。

MongoDB系統的每個應用程式和用戶都應該映射到不同的用戶。 這種訪問隔離便於訪問撤銷和持續的用戶維護。

前提條件

如果啟用了部署的訪問控制，則可以使用localhost異常來創建系統中的第一個用戶。 此第一個用戶必須具有創建其他用戶的許可權。 對於MongoDB 3.0，使用localhost異常只能在admin資料庫上創建用戶。 創建第一個用戶後，必須使用該用戶進行身份驗證以添加後續用戶。 啟用Auth提供有關在啟用部署訪問控制時添加用戶的更多詳細資訊。

對於常規用戶創建，必須擁有以下許可權：

• 要在資料庫中創建新用戶，必須在該資料庫資源上具有createUser操作。
• 要向用戶授予角色，必須對角色的資料庫執行grantRole操作。

userAdmin和userAdminAnyDatabase內置角色在其各自的資源上提供createUser和grantRole操作。

例子

要在MongoDB部署中創建用戶，請連接到部署，然後使用db.createUser()方法或createUser命令添加用戶。

MongoDB是一個nosql資料庫伺服器。 默認安裝提供使用mongo命令通過命令行訪問資料庫而不進行身份驗證。下麵我們來學習如何在具有適當身份驗證的Mongodb伺服器中創建用戶。

創建管理員用戶

可以使用以下命令在MongoDB伺服器中創建具有管理員許可權的用戶。

$ mongo

> use admin

> db.createUser(
     {
       user:"maxsu",
       pwd:"pwd123",
       roles:[{role:"root",db:"admin"}]
     }
  )

> exit

現在嘗試通過命令行使用上述用戶憑據登錄 -

D:\Program Files\MongoDB\Server\3.4\bin>mongo -u maxsu -p  --authenticationDatabase admin
MongoDB shell version v3.4.5
Enter password:
connecting to: mongodb://127.0.0.1:27017
MongoDB server version: 3.4.5
Server has startup warnings:
2017-07-05T21:16:55.901+0800 I CONTROL  [initandlisten]
2017-07-05T21:16:55.902+0800 I CONTROL  [initandlisten] ** WARNING: Access control is not enabled for the database.
2017-07-05T21:16:55.905+0800 I CONTROL  [initandlisten] **          Read and write access to data and configuration is unrestricted.
2017-07-05T21:16:55.908+0800 I CONTROL  [initandlisten]
>

添加資料庫用戶

您還可以創建指定資料庫的用戶，該用戶只能訪問該資料庫。也可以為此資料庫上的用戶指定訪問級別。 例如，創建一個在mydb資料庫上具有讀寫訪問許可權的用戶帳戶。

> use mydb

> db.createUser(
    {
      user: "user01",
      pwd: "pwd123",
      roles: ["readWrite"]
    }
 )

> exit

驗證身份驗證使用以下命令。 返回結果為1，表示認證成功。

> db.auth('user01','pwd123')
1
>

要列出資料庫的所有用戶，請使用以下命令。

 > db.getUsers()

上面語句，返回結果如下所示 -

> db.getUsers()
[
        {
                "_id" : "mydb.user01",
                "user" : "user01",
                "db" : "mydb",
                "roles" : [
                        {
                                "role" : "readWrite",
                                "db" : "mydb"
                        }
                ]
        },
        {
                "_id" : "mydb.user02",
                "user" : "user02",
                "db" : "mydb",
                "roles" : [
                        {
                                "role" : "readWrite",
                                "db" : "mydb"
                        }
                ]
        }
]
>

刪除資料庫用戶

也可以使用以下命令從資料庫中刪除用戶。

> use mydb

> db.dropUser('user02')

創建帶角色的用戶

以下操作在test資料庫中創建用戶：mynewuser，並向用戶提供readWrite和dbAdmin角色。

use test
db.createUser(
   {
     user: "mynewuser",
     pwd: "myuser123",
     roles: [ "readWrite", "dbAdmin" ]
   }
);

創建沒有角色的用戶

以下操作在test資料庫中創建一個名為mynewuser1的用戶，但尚未分配角色：

use test
db.createUser(
   {
     user: "mynewuser1",
     pwd: "myuser1123",
     roles: [ ]
   }
);

創建具有角色的管理用戶

以下操作在管理資料庫中創建一個名為 myadmin1 的用戶，並給予用戶對config資料庫的 readWrite 訪問許可權，這樣可以讓用戶更改分片分區的某些設置，例如平衡器設置。

use admin
db.createUser(
   {
     user: "myadmin1",
     pwd: "myadmin123",
     roles:
       [
         { role: "readWrite", db: "config" },
         "clusterAdmin"
       ]
   }
);