MongoDB如何設(shè)置權(quán)限（類似關(guān)系型數(shù)據(jù)庫的用戶名和密碼）

MongoDB 缺省是沒有設(shè)置鑒權(quán)的，業(yè)界大部分使用 MongoDB 的項目也沒有設(shè)置訪問權(quán)限。這就意味著只要知道 MongoDB 服務(wù)器的端口，任何能訪問到這臺服務(wù)器的人都可以查詢和操作 MongoDB 數(shù)據(jù)庫的內(nèi)容。在一些項目當(dāng)中，這種使用方式會被看成是一種安全漏洞。

本文介紹如何在單臺 MongoDB 服務(wù)器上設(shè)置鑒權(quán)。設(shè)置完后，MongoDB 客戶端必須用正確的用戶名和密碼登錄，才能在指定的數(shù)據(jù)庫中操作。

首先介紹下 MongoDB 的用戶和權(quán)限。每個數(shù)據(jù)庫都有自己的用戶，創(chuàng)建用戶的命令是db.createUser()（文檔），當(dāng)你創(chuàng)建一個用戶時，該用戶就屬于你當(dāng)前所在的數(shù)據(jù)庫。

每個用戶包含三個要素：用戶名、密碼和角色列表。下面是一個例子：

{
user: "dbuser",
pwd : "dbpass",
roles: ["readWrite", "clusterAdmin"]
}

這個例子表示一個名為dbuser的用戶，它在當(dāng)前的數(shù)據(jù)庫中擁有 readWrite 和 clusterAdmin 兩個角色。

MongoDB 內(nèi)置了很多角色，但要注意，不是每個數(shù)據(jù)庫的內(nèi)置角色都一樣。其中 admin 數(shù)據(jù)庫就包含了一些其他數(shù)據(jù)庫所沒有的角色。

熟悉 Oracle 的童鞋們都知道，數(shù)據(jù)庫用戶有兩種，一種是管理員，用來管理用戶，一種是普通用戶，用來訪問數(shù)據(jù)。類似的，為 MongoDB 規(guī)劃用戶鑒權(quán)時，至少要規(guī)劃兩種角色：用戶管理員和數(shù)據(jù)庫用戶。如果搭建了分片或主從，可能還會要規(guī)劃數(shù)據(jù)庫架構(gòu)管理員的角色，它們專門用來調(diào)整數(shù)據(jù)庫的分布式架構(gòu)。

在創(chuàng)建用戶之前，我們首先要修改 MongoDB 的啟動方式。缺省方式下 MongoDB 是不進(jìn)行鑒權(quán)檢查的。我們只要在運(yùn)行 MongoDB 的命令后面加上一個 --auth 參數(shù)即可，例如：

mongod --dbpath ./db1 --port 20000 --auth

如何創(chuàng)建用戶管理員

用戶管理員是第一個要創(chuàng)建的用戶。在沒有創(chuàng)建任何用戶之前，你可以隨意創(chuàng)建用戶；但數(shù)據(jù)庫中一旦有了用戶，那么未登錄的客戶端就沒有權(quán)限做任何操作了，除非使用db.auth(username, password)方法登錄。

用戶管理員的角色名叫 userAdminAnyDatabase，這個角色只能在 admin 數(shù)據(jù)庫中創(chuàng)建。下面是一個例子：

use admin
switched to db admin
db.createUser({user:"root",pwd:"root123",roles:["userAdminAnyDatabase"]})
Successfully added user: { "user" : "root", "roles" : [ "userAdminAnyDatabase" ] }

這個例子創(chuàng)建了一個名為 root 的用戶管理員。創(chuàng)建完了這個用戶之后，我們應(yīng)該馬上以該用戶的身份登錄：

db.auth("root","root123")
1
db.auth() 方法返回 1 表示登錄成功。接下來我們?yōu)橹付ǖ臄?shù)據(jù)庫創(chuàng)建訪問所需的賬號。

如何創(chuàng)建數(shù)據(jù)庫用戶

首先保證你已經(jīng)以用戶管理員的身份登錄 admin 數(shù)據(jù)庫。然后用 use 命令切換到目標(biāo)數(shù)據(jù)庫，同樣用 db.createUser() 命令來創(chuàng)建用戶，其中角色名為 “readWrite”。

普通的數(shù)據(jù)庫用戶角色有兩種，read 和 readWrite。顧名思義，前者只能讀取數(shù)據(jù)不能修改，后者可以讀取和修改。
下面是一個例子：

use test
switched to db test
db.createUser({user:"testuser",pwd:"testpass",roles:["readWrite"]})
Successfully added user: { "user" : "testuser", "roles" : [ "readWrite" ] }
db.auth("testuser","testpass")
1

這樣 MongoDB 的數(shù)據(jù)安全性就得到保障了，沒有登錄的客戶端將無法執(zhí)行任何命令。