mongodb的安全认证机制

迷南。 2023-10-10 09:16 6阅读 0赞

## mongodb的安全认证机制 ##

### 前言 ###

在我们自己用的的时候，我们的数据库是裸奔着的。在生产环境，必须有安全认证机制。

为了保证数据的安全性，mongodb提供了两种方式的安全验证机制：①`账号密码认证`②`IP绑定`

我们今天要说的是一种基于用户和角色的权限认证机制，也就是账号密码认证。

### 创建用户 ###

#### 创建Root用户 ####

*  首先，我们先正常方式开启服务器，默认是没有开启认证机制的：

>sudo mongod

*  新建窗口，并查看当前的数据库：

>mongo
    >show dbs

*注意*:mongodb默认会有一个空的admin数据库，里面专门用来管理用户的。

*  然后，我们进入admin数据库，创建一个root用户

>use admin
       
       >db.createUser({
        
        user: "root",
        
        pwd: "root",
        
        roles: [ { role: "userAdminAnyDatabase", db:    "admin" } ]
        
        })

> 其中，用户的`db`表示能够操作的数据库，`role`表示用户的角色，可选的取值为：

`Read`：允许用户读取指定数据库

`readWrite`：允许用户读写指定数据库

`dbAdmin`：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile

`userAdmin`：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户

`clusterAdmin`：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限。

`readAnyDatabase`：只在admin数据库中可用，赋予用户所有数据库的读权限

`readWriteAnyDatabase`：只在admin数据库中可用，赋予用户所有数据库的读写权限

`userAdminAnyDatabase`：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限

`dbAdminAnyDatabase`：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限

`root`：只在admin数据库中可用，能操作所有数据库的数据

#### 创建普通用户 ####

*  首先，需要进入eportal数据库，专门为eportal数据库创建一个普通用户

>use eportal
    >db.createUser(
            {
            user: "oneUser",
            pwd: "123",
            roles: [ { role: "readWrite", db: "eportal" } ]
            } )

### 开启权限认证 ###

*  此时，关掉mongodb，以开启认证的方式进行重启，并进入admin数据库：

>sudo mongod --auth 
    
    >mongo
    
    >use admin

*注意*：登录认证，注意，只能在对应的数据库中进行登录认证，认证后才能进行其他操作。

*  超级用户的认证

>db.auth('root', 'root')

*  其他操作

db.getUsers() //查看用户admin

*  普通用户的认证

>use test
    
    >db.auth('oneUser', '123')

### 问题整理 ###

在mongodb中，用户有两种，一种是超级管理员用户,一种是数据库拥有者。

切换至admin数据库，在system.users集合中，我们可以看到所有的用户，及其role。如图：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw_size_16_color_FFFFFF_t_70]

如果用户没有权限时会报错，如图：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw_size_16_color_FFFFFF_t_70 1]

如果频繁的进行身份验证，mongodb会停止这种行为并报错。如图：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw_size_16_color_FFFFFF_t_70 2]

### 总结 ###

mongodb的安全认证机制的一般做法是：

> 先在admin中创建一个root用户，专门负责管理所有数据库的用户的，但是它的操作范围只能是admin内

> 然后再给指定的数据库专门创建普通用户，角色是可读写，操作范围只能是这个数据库

> 用户总是专属于某个数据库。在哪个数据库创建用户，就只能在那个数据库进行登录认证；认证之后才能进行其他的数据操作

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20190924150128418.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20190924150141318.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20190924150154661.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzE3NjMzNw==,size_16,color_FFFFFF,t_70