MongoDB安全：创建第1个、第2个、第3个用户

Windows 10家庭中文版，MongoDB3.6.3，

前言

使用mongod命令基于某个空白文件夹（存放数据）启动MongoDB服务器时，要是没有使用--auth选项，启动后，任何客户端是可以无需认证就连接MongoDB服务器的。

比如，在MongoDB服务器启动后，在本机的终端输入mongo命令即可连接到MongoDB服务。

没有认证，不安全，在MongoDB服务器发布后，这是决不允许的！

因此，在使用mongod命令启动MongoDB服务器时，需要添加--auth选项，增加安全认证功能。

注意，

MongoDB默认没有添加用户的，基于易用性考虑；

在默认没有用户时，也是可以开启--auth选项的，因为MongoDB提供了一个localhost exception的功能，此功能允许用户在admin数据库中创建一个用户管理员（user administrator），此用户也是下一节要讲的创建的第1个用户。

说明，

MongoDB的安全体系支持下面三种认证机制：

-SCRAM（默认）

-MongoDB Challenge and Response (MONGODB-CR)（在3.6时被废弃）

-x.509证书鉴别（Certificate Authentication，孤不熟悉，短时间内不准备去了解）

创建第1个用户：必须

第1个用户必须是用户管理员，其角色为userAdmin或userAdminAnyDatabase，这个用户可以用下面的方式管理用户：

-创建用户

-给用户赋予（grant）或取消（revoke）某角色

-创建或修改定制角色

总之，创建第一个用户使用userAdmin或userAdminAnyDatabase角色就对了！

孤的操作（mongod的配置参数请参考其help信息）：

在空文件夹使用mongod命令启动MongoDB服务器：使用了--auth选项

mongod --dbpath d:\p\mdb018 --logpath d:\p\mdb018\log --logappend --auth --directoryperdb

创建一个基于角色userAdminAnyDatabase、用于admin数据库的用户admin：

-先在Notepad++中写入脚本（JavaScript？），如下：

 db.createUser(

   {

     user: "admin",

     pwd: "111111",

     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]

   }

 )

-使用mongo命令连接MongoDB服务器，切换到admin数据库

-将前面的脚本拷贝到命令行并执行：添加用户admin成功；使用db.auth('admin', '111111')验证，返回，成功！

-检查用户admin及其角色的信息：使用db.getUser(...)和db.getRole(....)命令

断开连接，使用选项--authenticationDatabase "admin"登录：建立连接后，db并非admin，仍然是test（与预期不符！），尚不清楚是怎么回事！

不管如何，第1个用户建立好了，角色为userAdminAnyDatabase，官文介绍说，除了local和config外，此角色的用户可以对其它数据库进行其角色允许的操作——简单地说就是，用户管理。

创建第2个用户：内建角色

MongoDB 3.6共有7类共17个内建角色，其中，Database User Roles、Database Administration Roles是所有数据库都有的角色，而其它类别的角色是admin数据库独有的。

目前MongoDB服务器中只有内建数据库，那么，添加一个名为test0709的数据库——使用use，然后编写脚本，建立用户admin0709，密码为111111，使用内建角色readWrite、dbAdmin，脚本如下：

 db.createUser(

   {

     user: "admin0709",

     pwd: "111111",

     roles: [

         { role: "readWrite", db: "test0709" },

         { role: "dbAdmin", db: "test0709" }

     ]

   }

 )

脚本拷贝到终端执行：用户添加成功！

测试：

-切换到admin，使用admin0709验证；

-切换回test0709，使用admin0709验证；

-查看数据库、集合、用户信息；

-已经在数据库test0709中添加了用户admin0709，但在show dbs中却没有看到数据库test0709，为什么？那么，断开连接后，再次连接到MongoDB服务器，是否还存在数据库test0709和其上的用户admin0709呢？测试！

结果显示：show dbs查看不到数据库，但用户admin0709的信息还在。

-admin0709的其中一个角色为readWrite，那么，测试添加、删除文档——在新的数据集fruit中；

-dbAdmin角色有创建集合的功能，那么，可以使用db.createCollection(name, options)函数创建集合；

a.普通集合

b.固定大小集合（capped）

-其它测试

...

注意：用户admin0709在test0709下无法执行show dbs！

说明，孤对这些操作还不够熟练，需要多多练习才是啊！

创建第3个用户：自定义角色

除了内建角色，MongoDB还提供机制自建角色，以满足各种各样的需求，使用db.createRole()函数。

db.createRole()函数语法如下：

db.createRole(role, writeConcern)

参数role、wrieConcern都是文档，本文仅关注role文档，下面是官方示例：具体信息请参考官网

下面新建一个角色myRole：可以在前面的test0709数据库中的集合中添加文档——insert操作。

同样，将添加角色的脚本（脚本的书写规则是什么？官文在哪里？）写入到文本文件中，然后拷贝到终端执行——用admin可以添加此角色（admin0709不具备此权限）：

角色myRole添加成功，现在，基于此角色添加用户insertUser（还是用admin用户），脚本如下：

 db.createUser(

     {

         user: "insertUser",

         pwd: "111111",

         roles: [

             { role: "myRole", db: "test0709" }

         ]

     }

 )

拷贝到终端时，执行出错，无法建立用户insertUser，原因是无法找到之前建立的角色myRole！需要做类似flush的操作吗？可是下午添加另一个角色未发现异常啊！

意外关闭终端后，再次进入终端，此时进入数据库test0709，检查又发现了角色myRole，并且成功添加了用户insertUser：

为什么会这样呢？！检查了MongoDB服务器的日志信息，也没有发现相关的失败操作，此时，怎么查找问题原因呢？哪些工具可以使用？

测试insertUser用户：在fruit数据集中插入文档，成功！但是，无法使用insertUser用户查看fruit数据集的文档，因为其不具备find权限！切换为admin0709查看结果，添加成功！

后记

总算写完了，今天第四篇，都挺基础的，但真的用力了！

之前看了菜鸟教程（RUNOOB），但因为没有实际操作，结果全忘记了，经过这一遍，好多了，不过呢，还有很多需要练习的！

更新啊、删除啊……各种！无论是角色还是用户！

居然可以直接存中文，挺好的，至少目前不用为字符集烦恼了，那么，和Web应用结合起来呢？过两天就知道了！

就这样！

可以创建第一个用户了、可以创建角色了、可以创建用户了，那么，单例MongoDB的基本安全应该可以保证了吧！放到公网也不用过于担心被坏人破坏了吧！比特币孤是没有的！万分之一枚也没有的！

有一个疑问，是否可以在创建数据库之前为数据库、数据集创建角色和用户？此问题源于之前角色创建好勒，可show dbs看不到数据库test0709。

问题还有一些，一个一个解决，这段时间解决了不少问题了，后面，应该还会更多！（这个蓝色清楚不掉，编辑器的问题吧）