0.前言
mongodb作为时下最为热门的数据库,那么其安全验证也是必不可少的,否则一个没有验证的数据库暴露出去,任何人可随意操作,这将是非常危险的。
本篇就mongodb的用户操作及用户验证来作探讨。
1. 安装
老生常谈的话题,网上很多优秀的教程,这里不再细说。
自docker面世以来,后端部署和环境搭建已逐渐步入容器化时代,作为一名有追求有作为的程序员,你有必要对前沿的技术有所了解和探讨。
个人推荐使用docker搭建你的mongodb,操作也十分简单。
首先,获取docker官方的mongodb镜像,也可以是第三方源的镜像
docker pull mongo
效果图如下:
其次,启动你的mongo镜像,如下:
docker run --name mymongo -p 27017:27017 -v /home/mongodb/data:/data/db -d mongo
简单解释下:
docker run 命令用于启动一个容器, --name mymongo 指定容器的名称为mymongo
-p 27017:27017,将容器内27017端口映射到服务器27017端口
-v /home/mongodb/data:/data/db,指定数据存储目录/home/mongodb/data映射到容器内的/data/db存储目录
-d 守护进程运行
mongo 指定运行的镜像
那么,如何开启验证呢?
也简单,只需要加上--auth即可:
docker run --name mymongo -p 27017:27017 -v /home/mongodb/data:/data/db -d mongo --auth
至此,一个mongo容器就可以跑起来了,还有更多可操作的地方,不在主题范围内,这里不做详细阐述。
要注意的是,首次启动,或还没有设置用户验证之前,请不要开启验证,后面会讲到。
2. 创建db管理账户
在创建用户之前,我们来看看db用户具体可以有哪些权限:
mongodb用户权限列表:
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
mongodb有一个用户管理机制,简单描述为,有一个管理用户组,这个组的用户是专门为管理普通用户而设的,暂且称之为管理员。
管理员通常没有数据库的读写权限,只有操作用户的权限, 因此我们只需要赋予管理员userAdminAnyDatabase角色即可
另外管理员账户必须在admin数据库下创建,3.0版本后没有admin数据库,但我们可以手动use一个
use admin
下面我们来创建一个管理账户
首先,要进入mongo,以我本地数据库为例
如图:
如果数据库使用docker搭建的,则需要进入你的mongo容器内去操作。
比如,以我的服务器mongo镜像为例:
切换到admin数据库,创建管理员
进入mongo之后,那么意味着我们可以操作db了。
需要明白的一点是,管理员需要在admin数据库下创建,所以我们得进入admin数据库
使用use命令,即可进入某个数据库,如下:
use admin
切换到admin数据库后,我们可以查看db的用户列表,此时用户列表是空的,因为我们还没有创建db用户
db.system.users.find()
# 此时列表为空
接着,开始创建你的管理员账户,比如,创建一个用户名为super, 密码为superpwd的管理员账户:
db.createUser({
user: ‘super’,
pwd: ‘superpwd’,
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] });
成功则会提示Successfully
注意:这里使用createUser()方法来创建,addUser()方法已经被废弃
管理员授权
创建管理员后,需要给管理员授权,否则无权限操作用户
授权也十分简单,如下:
db.auth('super','superpwd')
如果结果返回1,则表示授权成功,返回0则表示失败
至此,管理员创建完成。
下面是完整流程:
3. 使用管理员账户创建普通用户
普通用户由管理员创建,并授权。通常需要指定某个数据库来操作。
先看需求
比如,现在我需要创建一个blog数据库,并且给这个数据库添加一个用户,用户名为develop,密码为developpwd,
只有这个用户可以操作这个blog数据库。
管理员账户登录
需要明白一点的是,普通用户需要由管理员创建并授权,所以,我们首先做的就是用管理员账户登录数据库
提示:在管理员账户创建完成后,我们需要重新启动数据库,并开启验证
以docker为例:
# 重新启动,开启验证
docker run --name mymongo -p 27017:27017 -v /home/mongodb/data:/data/db -d mongo --auth
重新启动之后,我们就可以用管理员账户进入mongo,如下:
# 指定用户进入mongo可使用: mongo admin -u 用户名 -p 密码
mongo admin -u super -p superpwd
进入之后,我们就可以做用户操作了
创建数据库,并创建用户
进入mongo之后,首先切换到blog数据库
use blog
# 没有则会自动创建
紧接着,可以创建develop用户了
db.createUser({
user: "develop",
pwd: "developpwd",
roles: [ { role: "readWrite", db: "blog" } ]
})
# 指定可访问blog数据库,并给予readWrite(读写)权限
再接着就是给develop用户授权了
db.auth('develop','developpwd')
至此,普通用户develop创建完成。
这时,我们就可以使用develop用户连接blog数据库了,如下;
mongo mongodb://develop:developpwd@localhost:27017/blog
至此,用户验证处理完成。
4. 一些用户操作命令
提示: 需要使用管理员账户来操作
创建用户
db.createUser({
user:用户名,
pwd:密码,
roles:[
{ role:权限类型, db:可访问的db}
]
})
查看用户列表
db.system.users.find()
查看某个用户信息
db.runCommand({usersInfo:用户名})
修改用户信息
db.runCommand(
{
updateUser:用户名,
pwd:密码,
customData:{title:"xxx"……}
}
)
修改用户密码
db.changeUserPassword(‘user’,’pwd’);
删除用户
db.system.users.remove({user:”username”});
本文首发于我的个人站点:http://sinn.boyagirl.com/detail/58d9072cc1a5bd0001672cdc
以及我的github blog:https://github.com/sessionboy/blog