MongoDB 验证-JavaScript中文网-JavaScript教程资源分享门户

启用验证

MongoDB 提供了多种方式来确保数据的安全性。启用验证是其中一种保护数据库免受未授权访问的方法。通过启用验证，可以限制对数据库的访问权限，并确保只有经过身份验证的用户才能执行特定的操作。

设置用户认证

在启用验证之前，首先需要创建用户并分配角色。用户可以被分配到一个或多个角色，每个角色定义了一组权限。以下是创建用户的步骤：

创建管理员用户

管理员用户具有管理其他用户的权限。首先，切换到 admin 数据库：

use admin

然后，使用 db.createUser() 方法创建一个管理员用户：

db.createUser({
    user: "myAdminUser",
    pwd: "myAdminPassword",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
})

这里我们创建了一个名为 myAdminUser 的用户，并为其分配了 userAdminAnyDatabase 角色。这意味着该用户可以在任何数据库上进行用户管理操作。

创建普通用户

接下来，在具体的数据库中创建普通用户。例如，为 myDatabase 创建一个普通用户：

use myDatabase

db.createUser({
    user: "myUser",
    pwd: "myPassword",
    roles: [ { role: "readWrite", db: "myDatabase" } ]
})

这里我们创建了一个名为 myUser 的用户，并为其分配了 readWrite 角色，使其能够在 myDatabase 上读取和写入数据。

启用验证

完成用户创建后，接下来需要在服务器级别启用验证。这可以通过修改 MongoDB 配置文件来实现。配置文件通常位于 /etc/mongod.conf 或 /etc/mongodb.conf。找到 security 部分，并添加以下内容：

security:
  authorization: "enabled"

保存配置文件并重启 MongoDB 服务，以使更改生效。

验证连接

验证启用后，尝试使用 MongoDB shell 连接到数据库，并确认需要提供用户名和密码。例如，连接到前面创建的 myDatabase 并使用已创建的用户进行身份验证：

mongo -u "myUser" -p "myPassword" --authenticationDatabase "myDatabase"

如果一切正常，您应该能够成功登录并访问数据库。

验证机制

MongoDB 支持多种验证机制，包括 SCRAM-SHA-1 和 SCRAM-SHA-256。这些机制用于安全地传输和存储用户凭证。

SCRAM-SHA-1

SCRAM-SHA-1 是 MongoDB 默认使用的验证机制。当启用验证时，MongoDB 会自动使用 SCRAM-SHA-1 对用户密码进行哈希处理，并安全地存储。

SCRAM-SHA-256

SCRAM-SHA-256 提供了更高的安全性，尤其是在处理敏感数据时。为了使用 SCRAM-SHA-256，需要在配置文件中指定 security.authenticationMechanisms 参数，并确保 MongoDB 服务器版本支持该机制。

配置验证机制

如果您希望更改默认的验证机制，可以在 MongoDB 配置文件中指定。例如，要将默认机制更改为 SCRAM-SHA-256，可以添加以下配置：

security:
  authorization: "enabled"
  authenticationMechanisms: "SCRAM-SHA-256"

然后重启 MongoDB 服务。

用户管理与权限控制

除了创建和验证用户之外，还需要有效地管理用户及其权限。MongoDB 提供了灵活的角色系统，允许您根据具体需求分配不同的权限。

角色管理

角色定义了用户在数据库中的操作权限。常见的内置角色包括 read, readWrite, dbAdmin, userAdmin, 和 clusterAdmin 等。您可以自定义角色来满足特定需求。

自定义角色

自定义角色允许您精确控制用户的权限。例如，创建一个仅允许插入和查询集合的自定义角色：

db.createRole({
    role: "customReadInsert",
    privileges: [
        { resource: { db: "myDatabase", collection: "" }, actions: [ "find", "insert" ] }
    ],
    roles: []
})

然后，为用户分配此角色：

db.grantRolesToUser("myUser", [{ role: "customReadInsert", db: "myDatabase" }])

权限控制

权限控制不仅涉及用户层面，还涉及到对集合、文档甚至字段级别的访问控制。利用角色和权限规则，您可以非常细粒度地控制用户对数据库资源的访问。

实践示例

假设您正在开发一个电商网站，需要为不同类型的员工分配不同的权限。例如，销售人员只需要访问订单信息，而管理人员需要访问所有数据。这时，可以创建多个角色，每个角色对应一种权限集，然后根据员工类型分配相应的角色。

通过以上介绍，您可以了解到如何在 MongoDB 中启用和配置验证，以及如何管理用户和权限。这些知识对于构建安全可靠的数据库环境至关重要。