mongoDB 鉴权角色权限和相关命令介绍

前言

前一篇文章《mongoDB 启用鉴权设置》中讲了怎么启用 mongoDB 的鉴权设置,并且简单的加了一个 admin 账户,但是对 mogoDB 的权限没有做系统的讲解。所以这里需要详细的描述一下。

mongoDB 内建的角色

mongoDB 的权限体系是基于角色的,用户在哪个角色里,就拥有对应角色的权限。mongoDB 有一些内建的角色体系,也可以建立自定义的角色。自定义角色我们先不讨论,这里先介绍一下内建的角色。了解了内建的角色后,基本上就够我们日常的使用了。mongoDB 内建的角色描述参考官方的描述文档《mongoDB 内建角色》

  1. 单数据库角色
角色名称 权限描述
read 提供用户读取指定数据库的非系统集合数据的权限,包括system.indexes,system.js,system.namespaces 这些集合
readWrite 除了提供用户 read 权限外,还提供用户修改指定的数据库中非系统集合数据的权限。包括system.js 集合
dbAdmin 提供用户执行数据库管理相关任务的权限,例如和 schema 相关的,统计分析相关的权限。这个角色没有用户管理和角色管理的权限
dbOwner 提供用户在指定数据库中的所有权限。相当于拥有数据库的 readWrite、dbAdmin、userAdmin 的全部权限
userAdmin 提供在指定数据库中创建,修改角色和用户的权限。这个角色允许向任何用户(包括他自己)授予任何权限,所以如果他的作用范围在 admin 或者集群上,该角色还间接提供了数据库超级用户的访问权限。
  1. 任何数据库角色
角色名称 权限描述
readAnyDatabase 在所有数据库上提供 read 角色权限,除了 local 和 config。
readWriteAnyDatabase 在所有数据库上提供 readWrite 角色权限,除了 local 和 config 。
dbAdminAnyDatabase 在所有数据库上提供 dbAdmin 权限,除了 local 和 config。
userAdminAnyDatabase 在所有数据库上提供 userAdmin 角色权限,除了 local 和 config 。
  1. 备份恢复角色
角色名称 权限描述
backup 提供需要备份数据的最小权限。
restore 提供数据库的数据恢复权限。
  1. 集群管理角色
角色名称 权限描述
clusterAdmin 提供最大的集群管理权限。是clusterManager、clusterMonitor、hostManager 角色权限的集合
clusterManager 提供集群的管理和健康权限。
clusterMonitor 提供集群只读的访问监控工具的权限。
hostManager 提供服务器健康和管理服务器的权限。

可以看到,我们平时接触的基本是第一类角色和第二类角色。在文章《mongoDB 启用鉴权设置》中,我们实际上是建立了一个超级用户角色的用户。

mongoDB 鉴权相关的命令

从文章《mongoDB 启用鉴权设置》中建立用户的过程我们可以看出, mongoDB 中的命令或者操作的参数很多都是 json 格式的,这一点需要适应一下。下面详细描述一下 mongoDB 中和权限相关的命令

db.auth()

用本数据库中的的用户进行鉴权。
如果采用用户名和密码鉴权,则可以有两种格式进行鉴权

  1. db.auth('username','userpwd')
  2. db.auth({user:'useranme',pwd:'userpwd'})

通过这种方式,我们随时可以在使用的过程总切换不同的用户进行操作。\

db.createUser()

在当前数据库创建一个用户,如果数据库中用户已经存在,则返回一个用户重复的错误。他要传入一个用户描述的 json 字符串。这个字符串的语法格式如下所示

{
  user: "",
  pwd: "",
  customData: {  },
  roles: [
    { role: "", db: "" } | "",
    ...
  ],
  authenticationRestrictions: [
     {
       clientSource: ["" | "", ...]
       serverAddress: ["" | "", ...]
     },
     ...
  ],
  mechanisms: [ "", ... ],
  passwordDigestor: ""
}

其他部分我们先不讨论,我们来解释一下 user 、 pwd 和 roles 字段

字段名称 字段类型 字段描述
user 字符串 用户名称
pwd 字符串 用户密码
roles 数据组 用户授予角色列表,可以是空 []
---role 字符串 角色名称
---db 字符串 授予权限的数据库

role 的指定有两种格式,一种是

{ role: "", db: "" }

在这里指定了角色和角色权限对应的数据库
另一种格式直接指定角色字符串

""

这里指定角色权限对应的数据库是当前所在数据库
我们用下面的命令在 test 数据库中新建两个用户

use test
> db.createUser({user:"test1",pwd:"123",roles:[{role:"readWrite",db:"test"}]});
Successfully added user: {
        "user" : "test1",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "test"
                }
        ]
}
> db.createUser({user:"test2",pwd:"123",roles:[{role:"readWrite",db:"test"}]});
Successfully added user: {
        "user" : "test2",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "test"
                }
        ]
}
> 

db.changeUserPassword()

改变一个当前数据库的用户的密码。通常需要管理员权限。例如,下面的命令改变 test 数据库中 test1 用户的密码为 123456

use test
switched to db test
> db.changeUserPassword('test1','123456')
> 

db.getUser()

查看当前数据库中某个用户的信息。例如,如下的命令查看 test 数据库中 test1 用户的信息

> use test
switched to db test
> db.getUser('test1')
{
        "_id" : "test.test1",
        "user" : "test1",
        "db" : "test",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "test"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
> 

db.getUsers()

查看当前数据库所有用户信息。例如,下面的命令查看 test 数据库中所有用户的信息。

> use test
switched to db test
> db.getUsers()
[
        {
                "_id" : "test.test1",
                "user" : "test1",
                "db" : "test",
                "roles" : [
                        {
                                "role" : "readWrite",
                                "db" : "test"
                        }
                ],
                "mechanisms" : [
                        "SCRAM-SHA-1",
                        "SCRAM-SHA-256"
                ]
        },
        {
                "_id" : "test.test2",
                "user" : "test2",
                "db" : "test",
                "roles" : [
                        {
                                "role" : "readWrite",
                                "db" : "test"
                        }
                ],
                "mechanisms" : [
                        "SCRAM-SHA-1",
                        "SCRAM-SHA-256"
                ]
        }
]
> 

db.grantRolesToUser()

在当前数据库,给用户授予某个角色。例如,下面的命令给 test 数据库中的 test2 用户授予 dbAdmin 和 userAdmin 角色权限

> use test
switched to db test
> db.grantRolesToUser('test2',[{role:'dbAdmin',db:'test'},'userAdmin'])
> db.getUser('test2')
{
        "_id" : "test.test2",
        "user" : "test2",
        "db" : "test",
        "roles" : [
                {
                        "role" : "dbAdmin",
                        "db" : "test"
                },
                {
                        "role" : "userAdmin",
                        "db" : "test"
                },
                {
                        "role" : "readWrite",
                        "db" : "test"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
>  

db.revokeRolesFromUser()

从当前数据库的用户收回权限。例如,下面的命令从 test 数据库的 test2 用户收回 userAdmin 和 dbAdmin 角色权限

> use test
switched to db test
>  db.revokeRolesFromUser('test2',['dbAdmin','userAdmin'])
> db.getUser('test2')
{
        "_id" : "test.test2",
        "user" : "test2",
        "db" : "test",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "test"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}

db.updateUser()

修改当前数据库一个用户的信息。例如,下面的命令修改 test 数据库中 test2 用户的密码和角色

> use test
switched to db test
> db.updateUser('test2',{pwd:"123456",roles:[{role:"userAdmin",db:"test"}]});
> db.getUser('test2')
{
        "_id" : "test.test2",
        "user" : "test2",
        "db" : "test",
        "roles" : [
                {
                        "role" : "userAdmin",
                        "db" : "test"
                }
        ],
        "mechanisms" : [
                "SCRAM-SHA-1",
                "SCRAM-SHA-256"
        ]
}
> 

从结果可以看出,对用户角色的修改会覆盖掉以前的角色设置。

db.dropUser()

从当前数据库中删除一个用户。例如,下面的命令从 test 数据库中删除 test2 用户

> use test
switched to db test
> db.dropUser('test2')
true
> db.getUsers()
[
        {
                "_id" : "test.test1",
                "user" : "test1",
                "db" : "test",
                "roles" : [
                        {
                                "role" : "readWrite",
                                "db" : "test"
                        }
                ],
                "mechanisms" : [
                        "SCRAM-SHA-1",
                        "SCRAM-SHA-256"
                ]
        }
]
> 

db.dropAllUsers()

从当前数据库中删除所有的用户。例如,下面的命令从 test 数据库中删除所有的用户

> use test
switched to db test
> db.dropAllUsers()
NumberLong(1)
> db.getUsers()
[ ]
> 

后记

这样,我们和 mongoDB 权限相关的内容就讲述得差不多了。后续,随着使用的加深,我再来记录一些更深入的内容。

你可能感兴趣的:(mongoDB 鉴权角色权限和相关命令介绍)