分佈式文檔存儲數據庫之MongoDB訪問控制
上一篇博客主要聊了下mongodb的分片機制以及分片集羣的搭建,回顧請參考http://www.javashuo.com/article/p-aetzkcef-nu.html;今天咱們來了解下mongodb的訪問控制;html
什麼是訪問控制?node
簡單講訪問控制就是指,哪些用戶能夠訪問哪些資源,對資源有哪些操做(權限);在mongodb中咱們把數據庫、或者集合叫作資源;也就說訪問控制是用來限制某些用戶對數據庫或集合的操做;咱們在mysql數據庫中,咱們經過給帳號受權的方式達到控制哪些用戶能夠從哪些主機訪問數據庫,對數據庫有哪些操做;其中帳號由用戶名稱和主機地址構成;在mongodb中採用的不是用戶+主機地址的方式,而是經過給用戶賦予一個或多個角色,這個角色或多個角色的全部權限就是這個用戶擁有的權限;默認狀況mongodb是沒有啓用訪問控制的,因此只要可以鏈接上mongodb實例,咱們就能夠在其上作任何操做,在某種程度上,這是一種極爲不安全的方式,爲了杜絕這種不安全的訪問方式,咱們須要對mongodb進行訪問控制;mysql
mongodb中的角色權限說明sql
mongodb默認內置了一些角色,不一樣的角色擁有不一樣的權限,以下圖mongodb
查看mongodb中某個數據庫全部內置角色shell
> db.runCommand({rolesInfo:1,showBuiltinRoles:true})
{
"roles" : [
{
"role" : "dbAdmin",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "dbOwner",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "enableSharding",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "read",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "readWrite",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "userAdmin",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
}
],
"ok" : 1
}
>
提示:以上是mongodb中test庫的默認角色;若是要查看其它庫,咱們須要切換到其餘庫,而後運行上述命令查看便可;數據庫
查詢當前數據中的某個角色api
> db
test
> db.runCommand({rolesInfo:"userAdmin"})
{
"roles" : [
{
"role" : "userAdmin",
"db" : "test",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
}
],
"ok" : 1
}
>
查詢其餘數據庫中指定的角色權限安全
> db.runCommand({rolesInfo:{role:"userAdmin",db:"config"}})
{
"roles" : [
{
"role" : "userAdmin",
"db" : "config",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
}
],
"ok" : 1
}
> db.runCommand({rolesInfo:{role:"root",db:"config"}})
{ "roles" : [ ], "ok" : 1 }
> db.runCommand({rolesInfo:{role:"root",db:"admin"}})
{
"roles" : [
{
"role" : "root",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
}
],
"ok" : 1
}
>
建立一個用戶名爲tom,其角色爲超級管理員角色rootbash
> use admin
switched to db admin
> db.createUser({user:"tom",pwd:"admin123.com",roles:[{"role":"root","db":"admin"}]})
Successfully added user: {
"user" : "tom",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
]
}
>
查看當前庫用戶列表
> db
admin
> db.getUsers()
[
{
"_id" : "admin.tom",
"userId" : UUID("67bf434a-49fc-4ed5-9e9b-23c443a2fc93"),
"user" : "tom",
"db" : "admin",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
建立數據庫管理員用戶
> db.createUser({user:"jerry",pwd:"admin123.com",roles:["userAdminAnyDatabase"]})
Successfully added user: { "user" : "jerry", "roles" : [ "userAdminAnyDatabase" ] }
> db.getUsers()
[
{
"_id" : "admin.jerry",
"userId" : UUID("5d0b77f2-b7f1-40cd-8149-f08b2e1e6a80"),
"user" : "jerry",
"db" : "admin",
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
},
{
"_id" : "admin.tom",
"userId" : UUID("67bf434a-49fc-4ed5-9e9b-23c443a2fc93"),
"user" : "tom",
"db" : "admin",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
提示:若是建立用戶時,未指定db,則表示當前該用戶對當前所在db生效;
刪除用戶
> db.dropUser("jerry")
true
> db.getUsers()
[
{
"_id" : "admin.tom",
"userId" : UUID("67bf434a-49fc-4ed5-9e9b-23c443a2fc93"),
"user" : "tom",
"db" : "admin",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
提示:刪除用戶,需切換到對應數據下,指定對應用戶名稱便可;在mongodb中用戶是對應數據庫的,一個用戶能夠對應一個或多個數據庫,在指定數據庫刪除用戶,就表示刪除指定用戶對指定數據庫的訪問權限;
修改指定用戶的密碼
> db
admin
> db.changeUserPassword("tom","123456")
>
提示:修改用戶密碼,第一個是指定用戶的名稱,第二個是指定新密碼;
驗證用戶名和密碼
給錯誤的密碼
> db
admin
> db.auth("tom","admin")
Error: Authentication failed.
0
>
給正確的密碼
> db
admin
> db.auth("tom","123456")
1
>
建立一個普通用戶
> use testdb
switched to db testdb
> db.createUser({user:"test",pwd:"admin",roles:[{role:"readWrite",db:"testdb"}]})
Successfully added user: {
"user" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "testdb"
}
]
}
> db.getUsers()
[
{
"_id" : "testdb.test",
"userId" : UUID("95ecb34c-46f4-44fa-8948-4f0875499d8e"),
"user" : "test",
"db" : "testdb",
"roles" : [
{
"role" : "readWrite",
"db" : "testdb"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
提示:以上就建立了一個名爲test的用戶,它可對testdb這個庫下的全部collection作讀寫操做;
建立一個多角色的用戶
> db
testdb
> db.createUser(
... {
... user:"jerry1",
... pwd:"admin123.com",
... roles:[
... {role:"clusterAdmin",db:"admin"},
... {role:"readWrite",db:"testdb"},
... {role:"read",db:"testdb1"}
... ]
... })
Successfully added user: {
"user" : "jerry1",
"roles" : [
{
"role" : "clusterAdmin",
"db" : "admin"
},
{
"role" : "readWrite",
"db" : "testdb"
},
{
"role" : "read",
"db" : "testdb1"
}
]
}
> db.getUsers()
[
{
"_id" : "testdb.jerry1",
"userId" : UUID("43d66bf8-1e3a-4c14-ad73-5961b5a7660f"),
"user" : "jerry1",
"db" : "testdb",
"roles" : [
{
"role" : "clusterAdmin",
"db" : "admin"
},
{
"role" : "readWrite",
"db" : "testdb"
},
{
"role" : "read",
"db" : "testdb1"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
},
{
"_id" : "testdb.test",
"userId" : UUID("95ecb34c-46f4-44fa-8948-4f0875499d8e"),
"user" : "test",
"db" : "testdb",
"roles" : [
{
"role" : "readWrite",
"db" : "testdb"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
]
>
提示:在mongodb中一個用戶能夠受權擁有多個角色權限;
開啓mongodb服務端訪問控制配置
重啓服務
[root@node12 ~]# systemctl restart mongod.service [root@node12 ~]# ss -tnl State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 *:22 *:* LISTEN 0 100 127.0.0.1:25 *:* LISTEN 0 128 *:27017 *:* LISTEN 0 128 :::22 :::* LISTEN 0 100 ::1:25 :::* [root@node12 ~]#
測試:如今鏈接mongodb,看看會發生什麼?
[root@node12 ~]# mongo
MongoDB shell version v4.4.1
connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("68fa2f83-64a4-42c2-8d64-9ee73a77e883") }
MongoDB server version: 4.4.1
> show dbs
> db
test
> show tables
Warning: unable to run listCollections, attempting to approximate collection names by parsing connectionStatus
>
提示:如今咱們直接鏈接mongodb是能夠正常鏈接,可是咱們無法查看數據列表以及collections了;這個時候咱們就須要進行用戶認證了;
認證用戶
> db
test
> db.auth("test","admin")
Error: Authentication failed.
0
> use testdb
switched to db testdb
> db.auth("test","admin")
1
> show dbs
> show collections
>
提示:認證用戶必須切換到對應的數據庫下作認證;我這裏test用戶只能對testdb庫下的全部collection進行讀寫,因此認證之後,咱們在使用 show dbs命令就看不到系統admin和config庫了;除了上述鏈接數據庫之後使用db.auth()作用戶認證,咱們也可直接在鏈接數據庫時指定用戶名和密碼,以下
[root@node12 ~]# mongo -utest -padmin testdb
MongoDB shell version v4.4.1
connecting to: mongodb://127.0.0.1:27017/testdb?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("60c43e94-04c6-46f4-be07-07ca8fa06b2f") }
MongoDB server version: 4.4.1
> show dbs
> exit
bye
[root@node12 ~]# mongo -utest -padmin 192.168.0.52:27017/testdb
MongoDB shell version v4.4.1
connecting to: mongodb://192.168.0.52:27017/testdb?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("a30dbd64-7b59-4a8e-b95d-02ff30e256f3") }
MongoDB server version: 4.4.1
> show dbs
> show tables
>
以上就是在mongodb中開啓訪問控制,建立用戶,受權的操做;咱們只須要在配置文件中指定開啓認證功能,而後使用具備建立用戶權限的用戶登陸數據庫建立用戶受權便可;
相關文章
- 1. 分佈式文檔存儲數據庫之MongoDB分片集羣
- 2. 分佈式文檔存儲數據庫之MongoDB基礎入門
- 3. 分佈式文檔存儲數據庫之MongoDB副本集
- 4. 分佈式文檔存儲數據庫之MongoDB索引管理
- 5. 分佈式文檔存儲數據庫(MongoDB)副本集配置
- 6. 分佈式文檔存儲數據庫之MongoDB備份與恢復
- 7. NoSQL文檔型存儲數據庫—MongoDB
- 8. 分佈式文件存儲數據庫MongoDB的基本操作
- 9. 分佈式存儲之分佈式數據複製技術
- 10. 【4.分佈式存儲】-mongodb
- 更多相關文章...
- • Swift 訪問控制 - Swift 教程
- • Lua 數據庫訪問 - Lua 教程
- • 再有人問你分佈式事務,把這篇扔給他
- • 三篇文章瞭解 TiDB 技術內幕——說存儲
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 字節跳動21屆秋招運營兩輪面試經驗分享
- 2. Java 3 年,25K 多嗎?
- 3. mysql安裝部署
- 4. web前端開發中父鏈和子鏈方式實現通信
- 5. 3.1.6 spark體系之分佈式計算-scala編程-scala中trait特性
- 6. dataframe2
- 7. ThinkFree在線
- 8. 在線畫圖
- 9. devtools熱部署
- 10. 編譯和鏈接
歡迎關注本站公眾號,獲取更多信息
