mongodb 用户权限控制

mongo身份验证和权限管理

身份认证：

MongoDB安装完成后，默认是没有权限验证的，默认是不须要输入用户名密码便可登陆的，可是每每数据库方面咱们会出于安全性的考虑而设置用户名密码。
即任何客户端均可以使用mongo IP:27017/admin命令登陆mongo服务
启用访问控制前，请确保在 admin 数据库中拥有 userAdmin 或 userAdminAnyDatabase 角色的用户。
该用户能够管理用户和角色，例如：建立用户，授予或撤销用户角色，以及建立或修改定义角色。
启用验证的方式：
1. /etc/mongodb.conf //将auth=true前面的注释拿掉，而后重启服务生效。
2.线上生产环境使用的是docker:
a. 须要在config和shard服务的启动命令中加上“--auth”参数。
b. 须要在宿主机生成一个keyfile文件：openssl rand -base64 755 > mongo.key，
分别放在mongos、config和shard目录中，并修改目录权限：chown -R 999:999 mongos 和keyfile权限：chmod 600 mongos/mongo.key
c. 在config和shard和mongos服务启动命令中添加“--keyFile /data/db/mongo.key”参数。

用户权限：

一，掌握权限，理解下面4条基本上就差很少

1. mongodb是没有默认管理员帐号，因此要先添加管理员帐号，在开启权限认证。
2. 切换到admin数据库，添加的帐号才是管理员帐号。
3. 用户只能在用户所在数据库登陆，包括管理员帐号。
4. mongo的用户是以数据库为单位来创建的，每一个数据库有本身的管理员。
5. 管理员能够管理全部数据库，可是不能直接管理其余数据库，要先在admin数据库认证后才能够。
注：账号是跟着库走的，因此在指定库里受权，必须也在指定库里验证

权限说明

权限说明

Built-In Roles（内置角色）：
1. 数据库用户角色：read、readWrite; 
2. 数据库管理角色：dbAdmin、dbOwner、userAdmin；
3. 集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager； 
4. 备份恢复角色：backup、restore； 
5. 全部数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase 
6. 超级用户角色：root 
// 这里还有几个角色间接或直接提供了系统超级用户的访问（dbOwner 、userAdmin、userAdminAnyDatabase）

权限具体说明

具体说明

Read：容许用户读取指定数据库
readWrite：容许用户读写指定数据库
dbAdmin：容许用户在指定数据库中执行管理函数，如索引建立、删除，查看统计或访问system.profile
userAdmin：容许用户向system.users集合写入，能够找指定数据库里建立、删除和管理用户
clusterAdmin：只在admin数据库中可用，赋予用户全部分片和复制集相关函数的管理权限。
readAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的读权限
readWriteAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的读写权限
userAdminAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的userAdmin权限
dbAdminAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的dbAdmin权限。
root：只在admin数据库中可用。超级帐号，超级权限

自定义权限

mongo的权限除了系统默认的几个值，还能够自定义相应的权限给一个Role

db.createRole({ role: “testRole”, privileges: [{ resource: { db: “”, collection: “” }, actions: [“enableSharding” ] }], roles: [“readWriteAnyDatabase”] })

db.createUser( { user: “testuser”, pwd: “123456”, roles: [ { role: “testRole”, db: “admin” } ] } ) 

分片集群

群集用户和分片用户是独立的。
一般，要为分片群集建立用户，请链接到 mongos并添加分片群集用户。
可是，某些维护操做须要直接链接到分片群集中的特定分片。要执行这些操做，必须直接链接到分片并做为分片本地管理用户进行身份验证。
分片本地用户仅存在于特定分片中，而且只应用于特定于分片的维护和配置。您没法链接到mongos分享本地用户。 

建立分片用户命令

db.getSiblingDB("admin").createUser(
{
"user" : "testadmin",
"pwd" : "12345678",
roles: [ { "role" : "clusterAdmin", "db" : "admin" },{ role: "userAdminAnyDatabase", db: "admin" } ]
}
)

增长用户：

1.建立 admin

角色：userAdminAnyDatabase （这是一个帐号管理员的角色）
admin用户用于管理帐号，不能进行关闭数据库等操做，目标数据库是admin

> use admin
> db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})
另外一种格式：
> db.createUser(
{
user: "dba",
pwd: "dba",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)

user：用户名
pwd：密码
roles：指定用户的角色，能够用一个空数组给新用户设定空角色；在roles字段,能够指定内置角色和用户定义的角色。

2.建立root
建立完admin管理员，建立一个超级管理员 root 角色：root
root角色用于 关闭数据库 db.shutdownServer()

> use admin
> db.createUser({user: "root",pwd: "123456",roles: [ { role: "root", db: "admin" } ]})

3.建立用户本身的数据库的角色

当帐号管理员和超级管理员，能够为本身的数据库建立用户了
（坑）这时候必定，必定要切换到所在数据库上去建立用户，否则建立的用户仍是属于admin。

> use position
> db.createUser({user: "position",pwd: "123456",roles: [ { role: "dbOwner", db: "position" } ]})

查看用户：

查看全局全部帐户 :

> use admin
switched to db admin
> db.auth('admin','123456') //验证用户，至关于登陆
1
> db.system.users.find().pretty() 或者使用 > db.system.users.find()

查看当前库下的帐户 :

> use admins
switched to db admin
> show users

删除用户：

根据id删除用户：

> db.system.users.remove({_id:"XXX.XXX"})

根据用户名删除用户：

> db.system.users.remove({user:"XXXXXX"})

修改用户：

注：对于分片集群，用户的更改将在命令运行的 mongos 上即时生效。可是，对于群集中的其余mongos 实例，用户缓存可能会等待10分钟才能刷新。
1. 撤销角色使用db.revokeRolesFromUser()方法撤销角色。如下示例操做从account数据库上删除用户reportsUser 的 readWrite 角色：use reporting

db.revokeRolesFromUser(
"reportsUser",
[
{ role: "readWrite", db: "accounts" }
]
)

2. 授予角色使用db.grantRolesToUser()方法授予角色。 例如，如下操做授予reportsUser用户account数据库上的读取角色：use reporting

db.grantRolesToUser(
"reportsUser",
[
{ role: "read", db: "accounts" }
]
)

3. 更改密码：
将用户的用户名和新密码传递给db.changeUserPassword()方法。
如下操做将reporting用户的密码更改成：SOh3TbYhxuLiW8ypJPxmt1oOfL

> db.changeUserPassword("reporting", "SOh3TbYhxuLiW8ypJPxmt1oOfL")

=============================================================================================
登录命令

mongo -u dba -p dba --authenticationDatabase "admin"
mongo -host 192.168.3.17 --port 27017 -u dba -p dba --authenticationDatabase "admin"
mongo 192.168.3.17:27017/admin
db.auth("dba","dba") //此为在库内验证登陆命令

MongoDB经常使用命令
> show dbs #显示数据库列表 
> show collections #显示当前数据库中的集合（相似关系数据库中的表）
> show users #显示用户
> use <db name> #切换当前数据库，若是数据库不存在则建立数据库。 
> db.help() #显示数据库操做命令，里面有不少的命令 
> db.foo.help() #显示集合操做命令，一样有不少的命令，foo指的是当前数据库下，一个叫foo的集合，并不是真正意义上的命令 
> db.foo.find() #对于当前数据库中的foo集合进行数据查找（因为没有条件，会列出全部数据） 
> db.foo.find( { a : 1 } ) #对于当前数据库中的foo集合进行查找，条件是数据中有一个属性叫a，且a的值为1

MongoDB没有建立数据库的命令，但有相似的命令。 如：若是你想建立一个“myTest”的数据库，先运行use 
myTest命令，以后就作一些操做（如：db.createCollection(‘user’)）,这样就能够建立一个名叫“myTest”的数据库。

其余命令
> db.dropDatabase() #删除当前使用数据库
> db.cloneDatabase("127.0.0.1") #将指定机器上的数据库的数据克隆到当前数据库
> db.copyDatabase("mydb", "temp", "127.0.0.1") #将本机的mydb的数据复制到temp数据库中
> db.repairDatabase() #修复当前数据库
> db.getName() #查看当前使用的数据库，也能够直接用db
> db.stats() #显示当前db状态
> db.version() #当前db版本
> db.getMongo() ＃查看当前db的连接机器地址
> db.serverStatus() #查看数据库服务器的状态

查看分片结果：
db.printShardingStatus()

测试：向test数据库的user表中添加10w条数据：use testfor(var i=0;i<100000;i++){db.user.insert({"name":"test"+i,"age":i});}