前言
前一篇文章《mongoDB 启用鉴权设置》中讲了怎么启用 mongoDB 的鉴权设置,并且简单的加了一个 admin 账户,但是对 mogoDB 的权限没有做系统的讲解。所以这里需要详细的描述一下。
mongoDB 内建的角色
mongoDB 的权限体系是基于角色的,用户在哪个角色里,就拥有对应角色的权限。mongoDB 有一些内建的角色体系,也可以建立自定义的角色。自定义角色我们先不讨论,这里先介绍一下内建的角色。了解了内建的角色后,基本上就够我们日常的使用了。mongoDB 内建的角色描述参考官方的描述文档《mongoDB 内建角色》
- 单数据库角色
| 角色名称 | 权限描述 |
|---|---|
| read | 提供用户读取指定数据库的非系统集合数据的权限,包括system.indexes,system.js,system.namespaces 这些集合 |
| readWrite | 除了提供用户 read 权限外,还提供用户修改指定的数据库中非系统集合数据的权限。包括system.js 集合 |
| dbAdmin | 提供用户执行数据库管理相关任务的权限,例如和 schema 相关的,统计分析相关的权限。这个角色没有用户管理和角色管理的权限 |
| dbOwner | 提供用户在指定数据库中的所有权限。相当于拥有数据库的 readWrite、dbAdmin、userAdmin 的全部权限 |
| userAdmin | 提供在指定数据库中创建,修改角色和用户的权限。这个角色允许向任何用户(包括他自己)授予任何权限,所以如果他的作用范围在 admin 或者集群上,该角色还间接提供了数据库超级用户的访问权限。 |
- 任何数据库角色
| 角色名称 | 权限描述 |
|---|---|
| readAnyDatabase | 在所有数据库上提供 read 角色权限,除了 local 和 config。 |
| readWriteAnyDatabase | 在所有数据库上提供 readWrite 角色权限,除了 local 和 config 。 |
| dbAdminAnyDatabase | 在所有数据库上提供 dbAdmin 权限,除了 local 和 config。 |
| userAdminAnyDatabase | 在所有数据库上提供 userAdmin 角色权限,除了 local 和 config 。 |
- 备份恢复角色
| 角色名称 | 权限描述 |
|---|---|
| backup | 提供需要备份数据的最小权限。 |
| restore | 提供数据库的数据恢复权限。 |
- 集群管理角色
| 角色名称 | 权限描述 |
|---|---|
| clusterAdmin | 提供最大的集群管理权限。是clusterManager、clusterMonitor、hostManager 角色权限的集合 |
| clusterManager | 提供集群的管理和健康权限。 |
| clusterMonitor | 提供集群只读的访问监控工具的权限。 |
| hostManager | 提供服务器健康和管理服务器的权限。 |
可以看到,我们平时接触的基本是第一类角色和第二类角色。在文章《mongoDB 启用鉴权设置》中,我们实际上是建立了一个超级用户角色的用户。
mongoDB 鉴权相关的命令
从文章《mongoDB 启用鉴权设置》中建立用户的过程我们可以看出, mongoDB 中的命令或者操作的参数很多都是 json 格式的,这一点需要适应一下。下面详细描述一下 mongoDB 中和权限相关的命令
db.auth()
用本数据库中的的用户进行鉴权。
如果采用用户名和密码鉴权,则可以有两种格式进行鉴权
- db.auth('username','userpwd')
- db.auth({user:'useranme',pwd:'userpwd'})
通过这种方式,我们随时可以在使用的过程总切换不同的用户进行操作。\
db.createUser()
在当前数据库创建一个用户,如果数据库中用户已经存在,则返回一个用户重复的错误。他要传入一个用户描述的 json 字符串。这个字符串的语法格式如下所示
{
user: "<name>",
pwd: "<cleartext password>",
customData: { <any information> },
roles: [
{ role: "<role>", db: "<database>" } | "<role>",
...
],
authenticationRestrictions: [
{
clientSource: ["<IP>" | "<CIDR range>", ...]
serverAddress: ["<IP>" | "<CIDR range>", ...]
},
...
],
mechanisms: [ "<SCRAM-SHA-1|SCRAM-SHA-256>", ... ],
passwordDigestor: "<server|client>"
}
其他部分我们先不讨论,我们来解释一下 user 、 pwd 和 roles 字段
| 字段名称 | 字段类型 | 字段描述 |
|---|---|---|
| user | 字符串 | 用户名称 |
| pwd | 字符串 | 用户密码 |
| roles | 数据组 | 用户授予角色列表,可以是空 [] |
| ---role | 字符串 | 角色名称 |
| ---db | 字符串 | 授予权限的数据库 |
role 的指定有两种格式,一种是
{ role: "<role>", db: "<database>" }
在这里指定了角色和角色权限对应的数据库
另一种格式直接指定角色字符串
"<role>"
这里指定角色权限对应的数据库是当前所在数据库
我们用下面的命令在 test 数据库中新建两个用户
use test
> db.createUser({user:"test1",pwd:"123",roles:[{role:"readWrite",db:"test"}]});
Successfully added user: {
"user" : "test1",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
]
}
> db.createUser({user:"test2",pwd:"123",roles:[{role:"readWrite",db:"test"}]});
Successfully added user: {
"user" : "test2",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
]
}
>
db.changeUserPassword()
改变一个当前数据库的用户的密码。通常需要管理员权限。例如,下面的命令改变 test 数据库中 test1 用户的密码为 123456
use test
switched to db test
> db.changeUserPassword('test1','123456')
>
db.getUser()
查看当前数据库中某个用户的信息。例如,如下的命令查看 test 数据库中 test1 用户的信息
> use test
switched to db test
> db.getUser('test1')
{
"_id" : "test.test1",
"user" : "test1",
"db" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
>
db.getUsers()
查看当前数据库所有用户信息。例如,下面的命令查看 test 数据库中所有用户的信息。
> use test
switched to db test
> db.getUsers()
[
{
"_id" : "test.test1",
"user" : "test1",
"db" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
},
{
"_id" : "test.test2",
"user" : "test2",
"db" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
db.grantRolesToUser()
在当前数据库,给用户授予某个角色。例如,下面的命令给 test 数据库中的 test2 用户授予 dbAdmin 和 userAdmin 角色权限
> use test
switched to db test
> db.grantRolesToUser('test2',[{role:'dbAdmin',db:'test'},'userAdmin'])
> db.getUser('test2')
{
"_id" : "test.test2",
"user" : "test2",
"db" : "test",
"roles" : [
{
"role" : "dbAdmin",
"db" : "test"
},
{
"role" : "userAdmin",
"db" : "test"
},
{
"role" : "readWrite",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
>
db.revokeRolesFromUser()
从当前数据库的用户收回权限。例如,下面的命令从 test 数据库的 test2 用户收回 userAdmin 和 dbAdmin 角色权限
> use test
switched to db test
> db.revokeRolesFromUser('test2',['dbAdmin','userAdmin'])
> db.getUser('test2')
{
"_id" : "test.test2",
"user" : "test2",
"db" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
db.updateUser()
修改当前数据库一个用户的信息。例如,下面的命令修改 test 数据库中 test2 用户的密码和角色
> use test
switched to db test
> db.updateUser('test2',{pwd:"123456",roles:[{role:"userAdmin",db:"test"}]});
> db.getUser('test2')
{
"_id" : "test.test2",
"user" : "test2",
"db" : "test",
"roles" : [
{
"role" : "userAdmin",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
>
从结果可以看出,对用户角色的修改会覆盖掉以前的角色设置。
db.dropUser()
从当前数据库中删除一个用户。例如,下面的命令从 test 数据库中删除 test2 用户
> use test
switched to db test
> db.dropUser('test2')
true
> db.getUsers()
[
{
"_id" : "test.test1",
"user" : "test1",
"db" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
db.dropAllUsers()
从当前数据库中删除所有的用户。例如,下面的命令从 test 数据库中删除所有的用户
> use test
switched to db test
> db.dropAllUsers()
NumberLong(1)
> db.getUsers()
[ ]
>
后记
这样,我们和 mongoDB 权限相关的内容就讲述得差不多了。后续,随着使用的加深,我再来记录一些更深入的内容。
