MongoDB 基础 -安全性-(权限操作)
和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。
https://docs.mongodb.com/manual/reference/method/db.dropAllUsers/
https://docs.mongodb.com/v2.6/tutorial/add-user-to-database/
以下测试理解
查看数据库:
- > show dbs
发现 admin 竟然没有!~
找了好久,找不到相关说明,于是直接创建用户admin
- use admin
- db.createUser(
- {
- user: "admin",
- pwd: "admin",
- roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
- }
- )
成功创建,再查询admin中的集合,有数据了!
- > show collections
- system.indexes
- system.users
- system.version
查看3个集合的信息:
- > db.system.users.find();
- { "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }
- >
- > db.system.indexes.find();
- { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }
- { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }
- { "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }
- >
- > db.system.version.find();
- { "_id" : "authSchema", "currentVersion" : 5 }
- >
现在启用 auth:
[root@localhost ~]# vi /etc/mongod.conf
- auth=true
重启 mongod 服务:
[root@localhost ~]# service mongod restart
直接默认登录,查看集合,发现无权操作了:
[root@localhost ~]# mongo
- [root@localhost ~]# mongo
- MongoDB shell version: 3.0.2
- connecting to: test
- > show dbs
- 2015-05-09T21:57:03.176-0700 E QUERY Error: listDatabases failed:{
- "ok" : 0,
- "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }",
- "code" : 13
- }
- at Error (<anonymous>)
- at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)
- at shellHelper.show (src/mongo/shell/utils.js:630:33)
- at shellHelper (src/mongo/shell/utils.js:524:36)
- at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47
- >
刚才在数据库 admin 创建了一个账户 admin ,先到数据admin进来连接(其他db则失败):
- [root@localhost ~]# mongo
- MongoDB shell version: 3.0.2
- connecting to: test
- >
- > db.auth("admin","admin")
- Error: 18 Authentication failed.
- 0
- > use mydb
- switched to db mydb
- > db.auth("admin","admin")
- Error: 18 Authentication failed.
- 0
- > use admin
- switched to db admin
- > db.auth("admin","admin")
- 1
- >
db.auth("admin","admin") 返回值为1,说明登录成功!~db.auth("admin","admin") 记录是不存在的,执行完后这一行在shell中不会记录历史。
所以现在创建另一个用户"myuser"
- db.createUser(
- {
- user: "myuser",
- pwd: "myuser",
- roles: [ { role: "readWrite", db: "mydb" } ]
- }
- )
也可以增删角色:
- #授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
- db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])
- #取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])
- db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])
因为在admin数据库创建的,只能在 admin 数据库中登录:
- > db.auth("myuser","myuser")
- Error: 18 Authentication failed.
- 0
- >
- > db
- mydb
- > use admin
- switched to db admin
- > db.auth("myuser","myuser");
- 1
- >
此时是可以切换到所在的数据库进行相关操作:
- > use mydb
- switched to db mydb
- >
- > db.tab.save({"id":999});
- WriteResult({ "nInserted" : 1 })
- >
- > db.tab.find({"id":999});
- { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
- >
- > show collections
- system.indexes
- tab
- >
在创建用户时可以在其数据库中创建,这样不用每次都进入admin数据库登录后再切换。如在数据库"mydb"创建用户"userkk"。
- use admin
- db.auth("admin","admin")
- use mydb
- db.createUser(
- {
- user: "userkk",
- pwd: "userkk",
- roles: [ { role: "dbOwner", db: "mydb" } ]
- }
- )
- db.auth("userkk","userkk")
------------------------------------------------------------------------------------------------------------------
华丽分割
------------------------------------------------------------------------------------------------------------------
现在授权测试:
#先访问到admin数据库
- use admin
- db.auth("admin","admin")
#切换到 mydb ,在数据库 mydb 中创建角色
#roles: 创建角色"testRole"在数据库 "mydb" 中
#privileges: 该角色可查看"find"数据库"mydb"的所有集合
#db.dropRole("testRole")
- use mydb
- db.createRole({
- role: "testRole",
- privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],
- roles: []
- })
#在admin数据库生成集合system.roles。查看角色。
- > use admin
- switched to db admin
- >
- > show collections
- system.indexes
- system.roles
- system.users
- system.version
- >
- > db.system.roles.find();
- { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }
- >
#回到mydb,在数据库mydb中创建用户并授予角色"testRole"
#db.dropUser("userkk")
- use mydb
- db.createUser(
- {
- user: "userkk",
- pwd: "userkk",
- roles: [ { role: "testRole", db: "mydb" } ]
- }
- )
退出mongodb,重新登录进行操作。发现只能使用find
>exit
- [root@localhost ~]# mongo
- MongoDB shell version: 3.0.2
- connecting to: test
- > use mydb
- switched to db mydb
- >
- > db.auth("userkk","userkk")
- 1
- >
- > db.tab.find({"id":999})
- { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
- >
- > db.tab.insert({"id":1000})
- WriteResult({
- "writeError" : {
- "code" : 13,
- "errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"
- }
- })
- >
给角色 "testRole" 添加3个 “Privileges”权限: "update", "insert", "remove"。再重新操作。
- use admin
- db.auth("admin","admin")
- use mydb
- #添加Privileges给角色
- db.grantPrivilegesToRole("testRole",
- [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}
- ])
- exit #退出mongodb重新登录
- use mydb
- db.auth("userkk","userkk")
- #增删数据可以操作了!~
- db.tab.insert({"id":1000})
- db.tab.find({"id":1000})
- db.tab.remove({"id":1000})
- #此时admin的角色记录为:
- > db.system.roles.find();
- { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }
- >
#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换!~
- use admin
- db.auth("admin","admin")
- use mydb
- db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })
- db.auth("userkk","userkk")
- show dbs
关于角色,参考官方文档提取总结如下:
角色分类 |
角色 |
权限及角色 (本文大小写可能有些变化,使用时请参考官方文档) |
Database User Roles |
read |
CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections |
readWrite |
CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats, DropCollection,CreateIndex,DropIndex,Emptycapped,Find, Insert,KillCursors,ListIndexes,ListCollections,Remove, RenameCollectionSameDB,update |
|
Database Administration Roles |
dbAdmin |
collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections, dropCollection 和 createCollection 在 system.profile |
dbOwner |
角色:readWrite, dbAdmin,userAdmin |
|
userAdmin |
ChangeCustomData,ChangePassword,CreateRole,CreateUser, DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser |
|
Cluster Administration Roles |
clusterAdmin |
角色:clusterManager, clusterMonitor, hostManager |
clusterManager |
AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig, ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus, ReplSetStateChange,Resync, EnableSharding,MoveChunk,SplitChunk,splitVector |
|
clusterMonitor |
connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter, getShardMap,hostInfo,inprog,listDatabases,listShards,netstat, replSetGetStatus,serverStatus,shardingState,top collStats,dbStats,getShardVersion |
|
hostManager |
applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler, diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop, logRotate,resync,setParameter,shutdown,touch,unlock |
|
Backup and Restoration Roles |
backup |
提供在admin数据库mms.backup文档中insert,update权限 列出所有数据库:listDatabases 列出所有集合索引:listIndexes 对以下提供查询操作:find *非系统集合 *系统集合:system.indexes, system.namespaces, system.js *集合:admin.system.users 和 admin.system.roles |
restore |
非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限: collMod,createCollection,createIndex,dropCollection,insert 列出所有数据库:listDatabases system.users :find,remove,update |
|
All-Database Roles |
readAnyDatabase |
提供所有数据库中只读权限:read 列出集群所有数据库:listDatabases |
readWriteAnyDatabase |
提供所有数据库读写权限:readWrite 列出集群所有数据库:listDatabases |
|
userAdminAnyDatabase |
提供所有用户数据管理权限:userAdmin Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases admin.system.users和admin.system.roles: collStats,dbHash,dbStats,find,killCursors,planCacheRead createIndex,dropIndex |
|
dbAdminAnyDatabase |
提供所有数据库管理员权限:dbAdmin 列出集群所有数据库:listDatabases |
|
Superuser Roles |
root |
角色:dbOwner,userAdmin,userAdminAnyDatabase readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase,clusterAdmin |
Internal Role |
__system |
集群中对任何数据库采取任何操作 |
参考:mongo Shell Methods , Built-In Roles,Security Methods in the mongo Shell
MongoDB 基础 -安全性-(权限操作)的更多相关文章
- MongoDB基础命令及操作
MongoDB:NoSQL数据库 MongoDB中的重要指示点 MongoDB中的三要素 数据库 集合 文档 MongoDB中的数据存储是以Bson的形式存储的,Bson是二进制的json,所以看上去 ...
- mongodb基础学习14-mapReduce操作
mapReduce随着大数据的兴起而流行,相当于传统数据库的group操作,强项在于分布式计算. map:将一组记录的相关信息映射到一个数组 reduce:对map得到的数组数据进行处理得到一个结果 ...
- mongodb基础系列——数据库查询数据返回前台JSP(一)
经过一段时间停顿,终于提笔来重新整理mongodb基础系列博客了. 同时也很抱歉,由于各种原因,没有及时整理出,今天做了一个demo,来演示,mongodb数据库查询的数据在JSP显示问题. 做了一个 ...
- 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限
上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...
- windows下mongodb基础玩法系列二CURD操作(创建、更新、读取和删除)
windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) windows下 ...
- Mongodb基础与入门
一:基本了解 1. 特点 基于分布式文件存储的NoSql数据库.能为WEB应用提供可扩展的高性能数据存储解决方案. ...
- Mongodb 笔记01 MongoDB 简介、MongoDB基础知识、启动和停止MongoDB
MongoDB 简介 1. 易于使用:没有固定的模式,根据需要添加和删除字段更加容易 2. 易于扩展:MongoDB的设计采用横向扩展.面向文档的数据模型使它能很容易的再多台服务器之间进行分割.自动处 ...
- MongoDB基础
1.概念及特点 说明:由于部分语句中$ 符号无法正常显示,使用¥代表 概念 MongoDB是一个基于文档的分布式的开源的NoSQL数据库,文档的结构为BSON形式,每一个文档都有一个唯一的Object ...
- MongoDB学习笔记—权限管理
1.MongoDB权限介绍 a 上篇文章中,我们在Linux下配置了MongoDB环境并且将其设置为服务随机器启动而启动,那么接下来这篇文章我们就来简单说一下MongoDB下对登录用户权限的管理. b ...
随机推荐
- servlet和http请求
1.servlet servlet是和平台无关的服务器组件,可以交互式的来浏览和修改数据,生成动态的web内容.它运行于 servlet容器中2.servlet容器 servlet容器负责servle ...
- springMVC之配置
1.项目结构 2.所需jar包 3.web.xml文件 <?xml version="1.0" encoding="UTF-8"?> <web ...
- 题目1373:整数中1出现的次数(从1到n整数中1出现的次数)
题目1373:整数中1出现的次数(从1到n整数中1出现的次数) 题目描述: 亲们!!我们的外国友人YZ这几天总是睡不好,初中奥数里有一个题目一直困扰着他,特此他向JOBDU发来求助信,希望亲们能帮帮他 ...
- js表单元素checked、radio被选中的几种方式-遁地龙卷风
0.环境 <input type="checkbox" value="lol"/>lol var lol = document.getElemen ...
- 用jQuery实现的一种网页内容呈现方式
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...
- BZOJ1483——[HNOI2009]梦幻布丁
1.题目大意:这题就是给你一个序列,有两个操作,一个是询问序列中的连续段数,比如序列 1 2 2 1就是三段.. 1是一段,2 2 又是一段,1又是一段,就是相同的在一起,第二个操作就是将其中的一种数 ...
- 如何预览github中的html页面
在github里面的文件路径是https://github.com/gavin125/Sass-test/blob/master/html/index.html 那么我们需要在这个地址前面加上http ...
- 1 python学习——python环境配置
1 python学习--python环境配置 要学习python语言,光看书看教程还是不好,得动手去写.当然,不管学习什么编程语言,最佳的方式还在于实践. 要实践,先得有一个Python解释器来解释执 ...
- Python 类变量和成员变量
Python 类变量和成员变量 类与对象的方法 我们已经讨论了类与对象的功能部分,现在我们来看一下它的数据部分.事实上,它们只是与类和对象的名称空间 绑定 的普通变量,即这些名称只在这些类与对象的前提 ...
- phpcms常用方法简介
function thumb() /** * 生成缩略图函数 * @param $imgurl 图片路径 * @param $width 缩略图宽度 * @param $height 缩略图高度 * ...