MongoDB 用户角色管理

本文涉及的产品
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
简介: MongoDB 服务默认是没有账号密码的,客户端连接上即可进行各种操作。如果在配置文件中,指定了auth=true,即开启了认证,那么客户端连接后需要认证才能执行操作。
我是陈皮,一个在互联网 Coding 的 ITer,微信搜索「 陈皮的JavaLib」第一时间阅读最新技术文章。回复【 资料】,即可获得我精心整理的技术资料,电子书籍,一线大厂面试资料和优秀简历模板。

1 用户管理简介

MongoDB 服务默认是没有账号密码的,客户端连接上即可进行各种操作。如果在配置文件中,指定了auth=true,即开启了认证,那么客户端连接后需要认证才能执行操作。

默认情况下,MongoDB 是没有管理员账户的,所以我们需要在安装好 MongoDB之后,在admin数据库中使用db.createUser()命令添加管理员帐号或其他角色账号。

2 内置角色

MongoDB 有一些内置的角色,如下:

  1. 数据库用户角色:read、readWrite
  2. 数据库管理角色:dbAdmin、dbOwner、userAdmin
  3. 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager
  4. 备份恢复角色:backup、restore
  5. 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
  6. 超级用户角色:root
  7. 内部角色:__system
  • read:允许用户读取指定数据库。
  • readWrite:允许用户读写指定数据库。
  • dbAdmin:允许用户在指定数据库中执行管理函数,例如索引创建与删除,查看统计或访问 system.profile。
  • userAdmin:允许用户向 system.users 集合写入,可以在指定数据库里创建、删除和管理用户。
  • clusterAdmin:只能在 admin 数据库中创建此角色用户,赋予用户所有分片和复制集相关函数的管理权限。
  • readAnyDatabase:只能在 admin 数据库中创建此角色用户,赋予用户所有数据库的读权限。
  • readWriteAnyDatabase:只能在 admin 数据库中创建此角色用户,赋予用户所有数据库的读写权限。
  • userAdminAnyDatabase:只能在 admin 数据库中创建此角色用户,赋予用户所有数据库的 userAdmin 权限。
  • dbAdminAnyDatabase:只能在 admin 数据库中创建此角色用户,赋予用户所有数据库的 dbAdmin 权限。
  • root:只能在 admin 数据库中创建此角色用户,超级账号,超级所有权限。其实 dbOwner 、userAdmin、userAdminAnyDatabase 角色间接或直接提供了系统超级用户的权限。

3 创建用户

创建用户的语法如下:

// 创建一个用户,在指定的数据库有指定的角色权限,其中自定义信息属性是可选的
db.createUser({
  user:"用户名",
  pwd:"密码",
  roles:[{role:"角色",db:"数据库"},...],
  customData: {自定义信息}
})

3.1 创建管理员用户

首先创建一个管理员用户,赋予userAdminAnyDatabase角色,此角色可以在任何数据库下拥有userAdmin权限,即可以在任何数据库下管理用户。注意,只能在 admin 数据库中创建此角色用户。

> use admin
switched to db admin
> db.createUser({user:"admin",pwd:"123456",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})
    Successfully added user: {
        "user" : "admin",
        "roles" : [
            {
                "role" : "userAdminAnyDatabase",
                "db" : "admin"
                }
        ]
    }
>

然后使用db.auth("用户名","密码")进行认证。注意,每一个用户都需要在创建这个用户的认证库下进行认证。

> use admin
switched to db admin
> db.auth('admin','123456')

这时,我们就可以使用 admin 账号管理(创建,删除等)其他用户了。

3.2 创建普通用户

如下,创建一个用户 chenpi,在数据库 chenpidb 上有读写权限。这也是我们一般为不同业务创建的专属用户。

> use chenpidb
switched to db chenpidb
> db.createUser({user:"chenpi",pwd:"123456",roles:[{role:"readWrite",db:"chenpidb"}]})
Successfully added user: {
        "user" : "chenpi",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "chenpidb"
                }
        ]
}

使用 chenpi 用户连接 MongoDB,切换到认证库下进行认证,只有进行证成功之后才可以进行操作。

[root@chenpihost ~]# mongo
MongoDB shell version v4.2.17
connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("91153167-b4ab-4078-ba6d-44a6f98492e3") }
MongoDB server version: 4.2.17
> use chenpidb
switched to db chenpidb
> show tables
Warning: unable to run listCollections, attempting to approximate collection names by parsing connectionStatus
> db.person.insert({"name":"ChenPi"})
WriteCommandError({
        "ok" : 0,
        "errmsg" : "command insert requires authentication",
        "code" : 13,
        "codeName" : "Unauthorized"
})
> db.auth('chenpi','123456')
1
> db.person.insert({"name":"ChenPi"})
WriteResult({ "nInserted" : 1 })
> 

注意,chenpi 用户只有在 chenpidb 数据库下的读写操作,对其他数据库没有权限。

> use chenpidb1
switched to db chenpidb1

> show tables
Warning: unable to run listCollections, attempting to approximate collection names by parsing connectionStatus

> db.person.insert({"name":"ChenPi"})
WriteCommandError({
        "ok" : 0,
        "errmsg" : "not authorized on chenpidb1 to execute command { insert: \"person\", ordered: true, lsid: { id: UUID(\"91153167-b4ab-4078-ba6d-44a6f98492e3\") }, $db: \"chenpidb1\" }",
        "code" : 13,
        "codeName" : "Unauthorized"
})
> 

3.3 创建 root 用户

上面我们创建的 admin 用户只有管理用户的权限,它没有进行数据库操作的权限,如下所示:

> db.person.insert({"name":"ChenPi"})
WriteCommandError({
        "ok" : 0,
        "errmsg" : "not authorized on admin to execute command { insert: \"person\", ordered: true, lsid: { id: UUID(\"f3ba4ad3-b89e-447f-85ca-255c48c97355\") }, $db: \"admin\" }",
        "code" : 13,
        "codeName" : "Unauthorized"
})
> 

如果一个用户需要有管理用户的权限,还需要用操作数据库的权限,例如插入表数据,创建索引等,可以创建 root 角色用户,它是超级用户,拥有所有权限。

> use admin
switched to db admin

> db.createUser({user:"root",pwd:"123456",roles:[{role:"root",db:"admin"}]})
Successfully added user: {
        "user" : "root",
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ]
}
> 

使用 root 用户登录,就可以进行任何操作了,如下所示:

> use admin
switched to db admin

> db.auth('root','123456')
1

> db.system.users.findOne({})
{
        "_id" : "admin.admin",
        "userId" : UUID("7c4292ad-3a9a-4591-9ad5-53e56c72f725"),
        "user" : "admin",
        "db" : "admin",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "1m0m35AVNStekFqyXTPXEQ==",
                        "storedKey" : "PbxbrSfXpM1mEOTY4OyjvhoHSF8=",
                        "serverKey" : "HaIm8KBGJZ+92JYJTRoDwNFzQ20="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "AHAYN8l4TrFOg9RzkReUMHA/WkyWpHN6qejcjw==",
                        "storedKey" : "/IaLQADTe/unVKrpKuZ3lgMmIJzqHlK8H/s4pTLSuQo=",
                        "serverKey" : "OBx9qg/JwSAPwXLgzKygq/T6+2qg7Yzxml6VlQCEudQ="
                }
        },
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}

> use db1
switched to db db1
> db.person.insert({"name":"ChenPi"})
WriteResult({ "nInserted" : 1 })

3.4 创建带有自定义信息的用户

我们创建用户时,可以添加一些自定义信息,用于说明此用户,如下:

db.createUser({
  user:"chenpiadmin1",
  pwd:"123456",
  roles:[{role:"userAdminAnyDatabase",db:"admin"}],
  customData: {"name":"陈皮","age":18},
  aoligei: {"name":"陈皮","age":18}
})

这样,我们查看用户信息时,会展示这些自定义的信息,如下:

> db.system.users.find({"user":"chenpiadmin"}).pretty()
{
        "_id" : "admin.chenpiadmin",
        "userId" : UUID("7d83c9db-d696-4ebe-843c-1ccbe42c984f"),
        "user" : "chenpiadmin",
        "db" : "admin",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "Gv65j7XoE6KAvSlSjGNGuQ==",
                        "storedKey" : "4rTKkwQG7uRgmCgrB/KXgf4NgT8=",
                        "serverKey" : "YzQ41ABpWTdX/ZKNjCT94NxdSwo="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "J4DonJjsKkKvxULZcYNZisAOLCQAcCQ10xjTBg==",
                        "storedKey" : "uCr6S2NNnLxxz6RKmpFwDwSRLK4tQ7waqkH4fhoPXzo=",
                        "serverKey" : "OAokzaylYh/SdwRAgDVS7PLkulZ/OmH8PAlhIyZKp2A="
                }
        },
        "customData" : {
                "name" : "陈皮",
                "age" : 18
        },
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
> 

4 查看用户信息

每一个用户都是在特定库(认证库)下创建的,我们可以使用拥有 userAdmin 权限的用户,查看不同数据库下的用户列表。

可以使用show users命令查看。例如,查看 admin 数据库下的用户列表。

> use admin
switched to db admin

> show users
{
        "_id" : "admin.admin",
        "userId" : UUID("7c4292ad-3a9a-4591-9ad5-53e56c72f725"),
        "user" : "admin",
        "db" : "admin",
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
{
        "_id" : "admin.chenpiadmin",
        "userId" : UUID("7d83c9db-d696-4ebe-843c-1ccbe42c984f"),
        "user" : "chenpiadmin",
        "db" : "admin",
        "customData" : {
                "name" : "陈皮",
                "age" : 18
        },
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}

切换到 chenpidb 数据库,查看此数据库下的用户列表。

> use chenpidb
switched to db chenpidb

> show users
{
        "_id" : "chenpidb.chenpi",
        "userId" : UUID("2b80f57b-031d-4621-aa72-0895972302ca"),
        "user" : "chenpi",
        "db" : "chenpidb",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "chenpidb"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}

在 admin 数据库下,有个system.users表,此记录着 MongoDB 所有用户信息,如下:

> use admin
switched to db admin

> show tables
system.users
system.version

> db.system.users.find({}).pretty()
{
        "_id" : "admin.admin",
        "userId" : UUID("7c4292ad-3a9a-4591-9ad5-53e56c72f725"),
        "user" : "admin",
        "db" : "admin",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "1m0m35AVNStekFqyXTPXEQ==",
                        "storedKey" : "PbxbrSfXpM1mEOTY4OyjvhoHSF8=",
                        "serverKey" : "HaIm8KBGJZ+92JYJTRoDwNFzQ20="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "AHAYN8l4TrFOg9RzkReUMHA/WkyWpHN6qejcjw==",
                        "storedKey" : "/IaLQADTe/unVKrpKuZ3lgMmIJzqHlK8H/s4pTLSuQo=",
                        "serverKey" : "OBx9qg/JwSAPwXLgzKygq/T6+2qg7Yzxml6VlQCEudQ="
                }
        },
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
{
        "_id" : "chenpidb.chenpi",
        "userId" : UUID("2b80f57b-031d-4621-aa72-0895972302ca"),
        "user" : "chenpi",
        "db" : "chenpidb",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "MijUlGFqsm85lYz9gktVYA==",
                        "storedKey" : "WVXWAcLnNsjT1gVIt4s7MoNBdSo=",
                        "serverKey" : "qUdJDl+XQJMKu72KH0MN3IUrlrk="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "ms06p++btiQEdRkshyQd5WRZ3wNmPUiHG/ikag==",
                        "storedKey" : "D6JNgxrjK1SFvGUP+BZ4gk8I9f4u/cZ3mubpTRM4BBA=",
                        "serverKey" : "IydgVAgPN8x0lhws3HmXQQoIuFyyF+3HolCv7lBUP8U="
                }
        },
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "chenpidb"
                }
        ]
}
{
        "_id" : "admin.chenpiadmin",
        "userId" : UUID("7d83c9db-d696-4ebe-843c-1ccbe42c984f"),
        "user" : "chenpiadmin",
        "db" : "admin",
        "credentials" : {
                "SCRAM-SHA-1" : {
                        "iterationCount" : 10000,
                        "salt" : "Gv65j7XoE6KAvSlSjGNGuQ==",
                        "storedKey" : "4rTKkwQG7uRgmCgrB/KXgf4NgT8=",
                        "serverKey" : "YzQ41ABpWTdX/ZKNjCT94NxdSwo="
                },
                "SCRAM-SHA-256" : {
                        "iterationCount" : 15000,
                        "salt" : "J4DonJjsKkKvxULZcYNZisAOLCQAcCQ10xjTBg==",
                        "storedKey" : "uCr6S2NNnLxxz6RKmpFwDwSRLK4tQ7waqkH4fhoPXzo=",
                        "serverKey" : "OAokzaylYh/SdwRAgDVS7PLkulZ/OmH8PAlhIyZKp2A="
                }
        },
        "customData" : {
                "name" : "陈皮",
                "age" : 18
        },
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
> 

5 更新用户角色

更新用户角色语法如下。首先登录具有 userAdmin 或 userAdminAnyDatabase 或 root 角色权限的账号,然后切换到被修改用户的认证库下进行操作。

db.updateUser("用户名",{roles:[{角色信息}]})

我们可以对已经存在的用户,更新它的角色信息,例如对 chenpi 用户再添加对 chenpidb 数据库的 dbAdmin 权限。

> use chenpidb
switched to db chenpidb

> show users
{
        "_id" : "chenpidb.chenpi",
        "userId" : UUID("2b80f57b-031d-4621-aa72-0895972302ca"),
        "user" : "chenpi",
        "db" : "chenpidb",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "chenpidb"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}

> db.updateUser("chenpi",{roles:[{role:"readWrite",db:"chenpidb"},{role:"dbAdmin",db:"chenpidb"}]})

> show users
{
        "_id" : "chenpidb.chenpi",
        "userId" : UUID("2b80f57b-031d-4621-aa72-0895972302ca"),
        "user" : "chenpi",
        "db" : "chenpidb",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "chenpidb"
                },
                {
                        "role" : "dbAdmin",
                        "db" : "chenpidb"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
> 

6 修改用户密码

首先登录具有 userAdmin 或 userAdminAnyDatabase 或 root 角色权限的账号,然后切换到被修改用户的认证库下进行操作。

修改用户密码有2种语法,如下所示。

db.updateUser("用户名",{pwd:"新密码"})

db.changeUserPassword("用户名","新密码")

例如,对 chenpi 用户进行修改密码,如下:

> use chenpidb
switched to db chenpidb

> db.updateUser("chenpi",{pwd:"123456789"})

> db.changeUserPassword('chenpi','123456')

7 删除用户

首先登录具有 userAdmin 或 userAdminAnyDatabase 或 root 角色权限的账号,然后切换到被删除用户的认证库下进行操作。

删除用户语法如下:

db.dropUser('用户名')

我们删除 admin 数据库下的 chenpi 用户,如下:

> use admin
switched to db admin

> db.dropUser('chenpi')
true

本次分享到此结束啦~~

如果觉得文章对你有帮助,点赞、收藏、关注、评论,您的支持就是我创作最大的动力!

相关实践学习
MongoDB数据库入门
MongoDB数据库入门实验。
快速掌握 MongoDB 数据库
本课程主要讲解MongoDB数据库的基本知识,包括MongoDB数据库的安装、配置、服务的启动、数据的CRUD操作函数使用、MongoDB索引的使用(唯一索引、地理索引、过期索引、全文索引等)、MapReduce操作实现、用户管理、Java对MongoDB的操作支持(基于2.x驱动与3.x驱动的完全讲解)。 通过学习此课程,读者将具备MongoDB数据库的开发能力,并且能够使用MongoDB进行项目开发。   相关的阿里云产品:云数据库 MongoDB版 云数据库MongoDB版支持ReplicaSet和Sharding两种部署架构,具备安全审计,时间点备份等多项企业能力。在互联网、物联网、游戏、金融等领域被广泛采用。 云数据库MongoDB版(ApsaraDB for MongoDB)完全兼容MongoDB协议,基于飞天分布式系统和高可靠存储引擎,提供多节点高可用架构、弹性扩容、容灾、备份回滚、性能优化等解决方案。 产品详情: https://www.aliyun.com/product/mongodb
相关文章
|
5月前
|
JSON NoSQL MongoDB
Rockmongo详解:高效管理MongoDB的图形化利器
Rockmongo详解:高效管理MongoDB的图形化利器
108 0
|
5月前
|
存储 JSON NoSQL
MongoDB 插入文档:轻松管理数据录入与批量导入
MongoDB 插入文档:轻松管理数据录入与批量导入
|
NoSQL 安全 MongoDB
mongodb设置用户账号密码登录
今天有个同事的项目中mongodb 被黑客攻占了,然后数据库被清掉,留下了一堆“案发现场”,还整了一个段话,附上给大家伙瞧瞧。。。。
2847 1
mongodb设置用户账号密码登录
|
6月前
|
存储 NoSQL 大数据
MongoDB 在内容管理场景的应用
MongoDB 在内容管理场景的应用
203 0
|
缓存 NoSQL Java
Spring Session MongoDB管理会话
Spring Session MongoDB管理会话
105 0
|
NoSQL MongoDB 数据库
mongodb用户权限管理
用户权限管理简要说明
722 0
|
存储 监控 NoSQL
🍃MongoDB结合Koa2做用户登录验证
🍃MongoDB结合Koa2做用户登录验证
293 0
🍃MongoDB结合Koa2做用户登录验证
|
NoSQL MongoDB 数据库
分布式服务器框架之Server.Core库中实现YFUniqueEntity、YFUniqueIDBase 管理MongoDB 自定义Id的自增
YFUniqueEntity是数据库中的结构,GetUniqueID函数中会根据Type和自增步长去数据库中寻找该类型的当前ID是多少,然后会用当前的Id去加上步长,把更新后的新ID插入到MongoDB中记录着ID的那张表里。
|
SQL NoSQL MongoDB
分布式服务器框架之Servers.Core库中实现MongoDB对象实体类 管理对象ID
MongoDB中的ID是一个hash码,和传统的关系数据库相比MongoDB没有办法实现ID的自增,如果需要ID自增的话,所以要自己管理ID,并且把对应类型的ID写入到一个专门的Collection(其实就是Sql中的Table)里面去,每次创建新对象的时候,都要取到该类型当前的ID,然后在这个基础上+1,比如当前是角色的ID是1,又创建了一个新的角色,要在原来的基础上+1 ID=2。今天先把MongoDB的对象实体基类实现了。
|
SQL 存储 NoSQL
MongoDB 在 2022 MongoDB 全球用户大会上发布新愿景,致力成为开发者数据平台提供商
引入一套统一的新功能,以满足开发者在构建现代应用程序方面日益增长的数据需求
MongoDB 在 2022 MongoDB 全球用户大会上发布新愿景,致力成为开发者数据平台提供商