摘要:缺省是沒有設(shè)置鑒權(quán)的����,業(yè)界大部分使用的項目也沒有設(shè)置訪問權(quán)限。本文介紹如何在單臺服務(wù)器上設(shè)置鑒權(quán)�����。類似的�����,為規(guī)劃用戶鑒權(quán)時,至少要規(guī)劃兩種角色用戶管理員和數(shù)據(jù)庫用戶���。缺省方式下是不進行鑒權(quán)檢查的����。
MongoDB 缺省是沒有設(shè)置鑒權(quán)的���,業(yè)界大部分使用 MongoDB 的項目也沒有設(shè)置訪問權(quán)限��。這就意味著只要知道 MongoDB 服務(wù)器的端口����,任何能訪問到這臺服務(wù)器的人都可以查詢和操作 MongoDB 數(shù)據(jù)庫的內(nèi)容�����。在一些項目當(dāng)中����,這種使用方式會被看成是一種安全漏洞��。
本文介紹如何在單臺 MongoDB 服務(wù)器上設(shè)置鑒權(quán)�。設(shè)置完后����,MongoDB 客戶端必須用正確的用戶名和密碼登錄�����,才能在指定的數(shù)據(jù)庫中操作����。
首先介紹下 MongoDB 的用戶和權(quán)限。每個數(shù)據(jù)庫都有自己的用戶�����,創(chuàng)建用戶的命令是db.createUser()(文檔)��,當(dāng)你創(chuàng)建一個用戶時����,該用戶就屬于你當(dāng)前所在的數(shù)據(jù)庫。
每個用戶包含三個要素:用戶名���、密碼和角色列表����。下面是一個例子:
{
user: "dbuser",
pwd : "dbpass",
roles: ["readWrite", "clusterAdmin"]
}
這個例子表示一個名為dbuser的用戶,它在當(dāng)前的數(shù)據(jù)庫中擁有 readWrite 和 clusterAdmin 兩個角色��。
MongoDB 內(nèi)置了很多角色�,但要注意,不是每個數(shù)據(jù)庫的內(nèi)置角色都一樣�。其中 admin 數(shù)據(jù)庫就包含了一些其他數(shù)據(jù)庫所沒有的角色。
熟悉 Oracle 的童鞋們都知道���,數(shù)據(jù)庫用戶有兩種���,一種是管理員,用來管理用戶����,一種是普通用戶,用來訪問數(shù)據(jù)���。類似的��,為 MongoDB 規(guī)劃用戶鑒權(quán)時����,至少要規(guī)劃兩種角色:用戶管理員和數(shù)據(jù)庫用戶���。如果搭建了分片或主從�,可能還會要規(guī)劃數(shù)據(jù)庫架構(gòu)管理員的角色����,它們專門用來調(diào)整數(shù)據(jù)庫的分布式架構(gòu)。
在創(chuàng)建用戶之前�����,我們首先要修改 MongoDB 的啟動方式�。缺省方式下 MongoDB 是不進行鑒權(quán)檢查的。我們只要在運行 MongoDB 的命令后面加上一個 --auth 參數(shù)即可����,例如:
mongod --dbpath ./db1 --port 20000 --auth
如何創(chuàng)建用戶管理員
用戶管理員是第一個要創(chuàng)建的用戶。在沒有創(chuàng)建任何用戶之前����,你可以隨意創(chuàng)建用戶;但數(shù)據(jù)庫中一旦有了用戶�����,那么未登錄的客戶端就沒有權(quán)限做任何操作了��,除非使用db.auth(username, password)方法登錄。
用戶管理員的角色名叫 userAdminAnyDatabase�,這個角色只能在 admin 數(shù)據(jù)庫中創(chuàng)建。下面是一個例子:
> use admin
switched to db admin
> db.createUser({user:"root",pwd:"root123",roles:["userAdminAnyDatabase"]})
Successfully added user: { "user" : "root", "roles" : [ "userAdminAnyDatabase" ] }
這個例子創(chuàng)建了一個名為 root 的用戶管理員���。創(chuàng)建完了這個用戶之后���,我們應(yīng)該馬上以該用戶的身份登錄:
> db.auth("root","root123")
1
db.auth() 方法返回 1 表示登錄成功。接下來我們?yōu)橹付ǖ臄?shù)據(jù)庫創(chuàng)建訪問所需的賬號��。
如何創(chuàng)建數(shù)據(jù)庫用戶
首先保證你已經(jīng)以用戶管理員的身份登錄 admin 數(shù)據(jù)庫�����。然后用 use 命令切換到目標(biāo)數(shù)據(jù)庫��,同樣用 db.createUser() 命令來創(chuàng)建用戶����,其中角色名為 “readWrite”。
普通的數(shù)據(jù)庫用戶角色有兩種�,read 和 readWrite。顧名思義��,前者只能讀取數(shù)據(jù)不能修改,后者可以讀取和修改�。
下面是一個例子:
> use test
switched to db test
> db.createUser({user:"testuser",pwd:"testpass",roles:["readWrite"]})
Successfully added user: { "user" : "testuser", "roles" : [ "readWrite" ] }
> db.auth("testuser","testpass")
1
這樣 MongoDB 的數(shù)據(jù)安全性就得到保障了,沒有登錄的客戶端將無法執(zhí)行任何命令����。
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/18743.html
