2020年了,你的MongoDB加权限验证了么
翻了很多文章,也踩了很多坑,希望这篇文章能帮到也在给MongoDB设置权限的你。本文章采用nodejs后台为例。
1.进入mongodb的shell
mongo
2.切换到admin数据库
use admin
3.创建admin超级管理员用户
指定用户的角色和数据库
db.createUser(
{
user: "admin",
customData:{description:"superuser"},
pwd: "admin",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
user字段,为新用户的名字;
pwd字段,用户的密码;
cusomData字段,为任意内容,例如可以为用户全名介绍;
roles字段,指定用户的角色,可以用一个空数组给新用户设定空角色。在roles字段,可以指定内置角色和用户定义的角色。
超级用户的role有两种,userAdmin或者userAdminAnyDatabase(比前一种多加了对所有数据库的访问,仅仅是访问而已)。
db是指定数据库的名字,admin是管理数据库。
不能用admin数据库中的用户登录其他数据库。注:只能查看当前数据库中的用户, 哪怕当前数据库admin数据库,也只能查看admin数据库中创建的用户。
4.创建一个不受访问限制的超级用户
拥有所有数据库的读写权限
db.createUser(
{
user:"root",
pwd:"root",
roles:["root"]
}
)
5.创建一个业务数据库管理员用户
以数据库名为survey为例
db.createUser({
user:"surveyUser",
pwd:"123456",
customData:{
name:'bruce',
email:'[email protected]',
age:18,
},
roles:[
{role:"readWrite",db:"admin"},
{role:"readWrite",db:"survey"},
'read'// 对其他数据库有只读权限,对admin、survey是读写权限
]
})
- 数据库用户角色:read、readWrite;
- 数据库管理角色:dbAdmin、dbOwner、userAdmin;
- 集群管理角色:clusterAdmin、clusterManager、4. clusterMonitor、hostManage;
- 备份恢复角色:backup、restore;
- 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
- 超级用户角色:root
- 内部角色:__system
- Read:允许用户读取指定数据库
- readWrite:允许用户读写指定数据库
- dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
- userAdmin:允许用户向system.users集合写入,可以在指定数据库里创建、删除和管理用户
- clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
- readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
- readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
- userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
- dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
- root:只在admin数据库中可用。超级账号,超级权限
6.查看所有创建用户
show users
7.修改密码和用户信息
db.runCommand(
{
updateUser:"surveyUser",
pwd:"xxx",
customData:{name:"xxx"}
}
)
8.登录用户
use admin
// 登录权限用户,返回1表示成功
db.auth('surveyUser','123456')
// 切换至survey数据库
use survey
9.启用权限验证
// mongod.conf文件最后加上(默认路径:/usr/local/etc/mongod.conf)
security:
authorization: enabled
10.重启
关掉命令窗口后重新启动,再次通过mongo命令登入
11.项目对应修改
// app.js文件
mongoose.connect(process.env.MONGO || 'mongodb://127.0.0.1:27017/surveydb', {
auth: {
authdb: 'admin',
user: 'surveyUser',
password: '123456'
}
// useNewUrlParser: true
}).then(() => {
console.log('db connect ok')
}).catch(err => {
console.log('db error', err)
})