mongodb之用户/认证/角色/权限管理

前言

用户权限管理很重要,只给需要的权限,防止应用系统漏洞导致脱库

认证和授权

Authentication

认证识别,解决我是谁

Authorization

操作授权,我能做什么

认证机制

MONGODB-CR

官方自定义实现认证机制,通过用户名和密码,通过challenge-response方式,来识别和验证授权。SCRAM-SHA-1认证机制有更好的安全性,新版本默认使用SCRAM-SHA-1。不建议使用MONGODB-CR模式。

SCRAM-SHA-1

3.0版本新加功能,Mongodb默认的认证模式,通过用户名和密码认证,IETF标准:RFC 5802

x.509证书

2.6版本新加功能,公钥证书结构标准,由国际电信联盟(ITU)定义。认证授权时需要通过TLS/SSL加密连接,也就是说mongodb服务需要支持加密协议访问。配置非常麻烦,建议不使用>_<

判断流程,根据公开资料猜测

LDAP

仅企业版支持

Kerberos

仅企业版支持

用户管理

添加用户

通过mongo shell终端操作,用户保存在admin数据库system.user集合中

添加普通用户

切换到需要添加用户的db
use xxxx

执行添加

db.createUser(
	{
		user:"username",
		pwd:"password",
		roles:[
			{role:"read", db:"xxxx"},
			{role:"readWrite", db:"test"}
		]
	}
)

  

添加超级用户

切换到admin数据库
use admin

执行添加

db.createUser(
	{
		user:"username",
		pwd:"password",
		roles:[
			{role:"root", db:"admin"}
		]
	}
)

  

删除用户

切换到用户授权的db
use xx

执行删除操作
db.dropUser("username")

更新用户

切换到用户授权的db
use xx

执行更新
字段会覆盖原来的内容

db.updateUser("username",{
	pwd:"new password",
	customData:{
		"title":"PHP developer"
	}
})

  

更新用户密码

use xx
db.changeUserPassword("username","newpassword")

查看用户信息

use admin
db.getUser("username")

删除用户角色

use xx

db.revokeRolesFromUser(
    "usename",
    [
      { role: "readWrite", db: "accounts" }
    ]
)

  

添加用户角色

use xx

db.grantRolesToUser(
    "reportsUser",
    [
      { role: "read", db: "accounts" }
    ]
)

  

角色管理

自定义角色

自定义角色保存在admin数据库system.roles集合中

切换到admin数据库
use admin

执行添加

db.createRole(
   {
     role: "manageOpRole",
     privileges: [
       { resource: { cluster: true }, actions: [ "killop", "inprog" ] },
       { resource: { db: "", collection: "" }, actions: [ "killCursors" ] }
     ],
     roles: []
   }
)

  

查看角色信息

use admin
db.getRole("rolename",{showPrivileges:true})

删除角色

use admin
db.dropRole("rolename")

系统内置用户角色

大部分内置的角色对所有数据库共用,少部分仅对admin生效

数据库用户类

read
非系统集合有查询权限

readWrite
非系统集合有查询和修改权限

数据库管理类

dbAdmin
数据库管理相关,比如索引管理,schema管理,统计收集等,不包括用户和角色管理

dbOwner
提供数据库管理,读写权限,用户和角色管理相关功能

userAdmin
提供数据库用户和角色管理相关功能

集群管理类

clusterAdmin
提供最大集群管理权限

clusterManager
提供集群管理和监控权限

clusterMonitor
提供对监控工具只读权限

hostManager
提供监控和管理severs权限

备份和恢复类

backup
提供数据库备份权限
restore
提供数据恢复权限

All-Database类

readAnyDatabase
提供读取所有数据库的权限除了local和config数据库之外

readWriteAnyDatabase
和readAnyDatabase一样,除了增加了写权限

userAdminAnyDatabase
管理用户所有数据库权限,单个数据库权限和userAdmin角色一样

dbAdminAnyDatabase
提供所有用户管理权限,除了local,config

超级用户类

root
数据库所有权限

内部角色

__system
提供数据库所有对象任何操作的权限,不能分配给用户,非常危险

参考资料

【1】认证识别
https://docs.mongodb.com/manual/core/authentication/

【2】openssl 证书操作命令
http://blog.csdn.net/madding/article/details/26717963

【3】维基百科X.509介绍
https://en.wikipedia.org/wiki/X.509

【4】mongodb - security-x.509
https://docs.mongodb.com/manual/core/security-x.509/

【5】Use x.509 Certificates to Authenticate Clients
https://docs.mongodb.com/manual/tutorial/configure-x509-client-authentication/

【6】Enterprise Authentication Mechanisms - ldap and Kerberos
https://docs.mongodb.com/manual/core/authentication-mechanisms-enterprise/

【7】mongodb添加用户
https://docs.mongodb.com/manual/tutorial/create-users/

【8】更改mongodb用户密码和自定义数据
https://docs.mongodb.com/manual/tutorial/change-own-password-and-custom-data/

【9】mongodb数组
http://www.cnblogs.com/ljhdo/p/5428037.html

【10】管理mongodb用户和角色
https://docs.mongodb.com/manual/tutorial/manage-users-and-roles/

【11】security-users
https://docs.mongodb.com/manual/core/security-users/

【12】Internal Authentication
https://docs.mongodb.com/manual/core/security-internal-authentication/

【13】Built-In Roles
https://docs.mongodb.com/manual/core/security-built-in-roles/

【14】reference:built-in-roles and built-in-actions
https://docs.mongodb.com/manual/reference/built-in-roles/

【15】SCRAM-SHA1认证方式介绍
https://docs.mongodb.com/manual/core/security-scram-sha-1/#authentication-scram-sha-1

时间: 2024-10-13 06:31:14

mongodb之用户/认证/角色/权限管理的相关文章

Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理10

今天把用户的菜单显示和页面的按钮显示都做好了,下面先来个效果图 接下来说下我实现的方法: 首先我在每个方法前面都加了这个属性, /// <summary> /// 表示当前Action请求为一个具体的功能页面 /// </summary> public class AdminActionMethod : Attribute { /// <summary> /// 页面请求路径 /// </summary> public string ActionUrl {

Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理

这是本人第一次写,写的不好的地方还忘包含.写这个的主要原因是翔通过这个来学习下EF的CodeFirst模式,本来也想用AngularJs来玩玩的,但是自己只会普通的绑定,对指令这些不是很熟悉,所以就基本不用了.还有最主要的原因就是锻炼下自己的能力.好了其他就不多说了,下面来看下我对这个项目的整体概述吧: 目录: 目录我以后会在这边添加上去的 一.Asp.Net MVC+BootStrap+EF6.0实现简单的用户角色权限管理 基本设计 项目中使用到的工具: Visual Studio 2013,

SpringBoot(十四):springboot整合shiro-登录认证和权限管理

原文出处: 纯洁的微笑 这篇文章我们来学习如何使用Spring Boot集成Apache Shiro.安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求.在Java领域一般有Spring Security.Apache Shiro等安全框架,但是由于Spring Security过于庞大和复杂,大多数公司会选择Apache Shiro来使用,这篇文章会先介绍一下Apache Shiro,在结合Spring Boot给出使用案例. Apache Shiro What is Ap

Spring boot 入门(四):集成 Shiro 实现登陆认证和权限管理

本文是接着上篇博客写的:Spring boot 入门(三):SpringBoot 集成结合 AdminLTE(Freemarker),利用 generate 自动生成代码,利用 DataTable 和 PageHelper 进行分页显示.按照前面的博客,已经可以搭建一个简单的 Spring Boot 系统,本篇博客继续对此系统进行改造,主要集成了 Shiro 权限认证框架,关于 Shiro 部分,在本人之前的博客(认证与Shiro安全框架)有介绍到,这里就不做累赘的介绍. 此系列的博客为实践部分

ASP.NET Identity “角色-权限”管理 1

本文是基于ASP.NET Identity v2的实施的“角色-权限”实验小结,不对基础知识进行介绍,读者需理解面向对象.接口编程.AOP.MVC,掌握ASP.NET MVC.JavaScript和EF. 环境:VS2013 update4,EF6,ASP.NET MVC 5,bootstrap,Automapper,MvcPager等. 1.       前言 VS2013 ASP.NET MVC模板只提供基础的Role-User权限管理,如:账号管理Account,登录注册等,为提高实用性,

Nodejs之MEAN栈开发(八)---- 用户认证与会话管理详解

用户认证与会话管理基本上是每个网站必备的一个功能.在Asp.net下做的比较多,大体的思路都是先根据用户提供的用户名和密码到数据库找到用户信息,然后校验,校验成功之后记住用户的姓名和相关信息,这个信息经过处理之后会保存在cookie.缓存.Session等地方,然后还有一个过期时间,避免每次都要去捞数据库.在node下基本上也是这个思路,这一节的内容会涉及到user模型的加密方式.如何生成一个Json Web Token(JWT).以及在客户端用Angular创建注册和登录页面,在请求需要认证的

用户与用户组权限管理详解

用户及用户组权限管理    Linux是一个多任务多用户的系统,多用户可以同时登陆同一台主机.为了考虑到每个人的隐私权和工作空间,这时候文件所有者(owner)就是即用户的角色就变得尤为重要了,同时为了用户与用户之间方便合作,共享一些公共资源,这时,为了实现资源的快速分配,我们把多个用户放在一个公共的空间,分别赋予他们不同的读写执行等操作的权限,这些用户共同组成的一个整体,就是所谓的用户组(group). 第一部分 Linux权限管理 用命令ls -l可以列出用户的权限. #ls -l 这里我们

RDIFramework.NET ━ 9.9 角色权限管理 ━ Web部分

RDIFramework.NET ━ .NET快速信息化系统开发框架 9.9  角色权限管理 -Web部分 角色权限管理模块主要是对角色的相应权限进行集中设置.在角色权限管理模块中,管理员可以添加或移除指定角色所包含的用户.可以分配或授予指定角色的模块(菜单)的访问权限.可以收回或分配指定角色的操作(功能)权限.可以对所有角色.用户.模块(菜单).操作(功能)权限进行集中批量设置,角色户授权范围的设置(类似于用户授权范围的设置),表字段权限的设置以及表约束条件权限的设置等.角色权限管理主界面如下

MySQL数据库(7)_用户操作与权限管理、视图、存储过程、触发器、基本函数

用户操作与权限管理 MySQL用户操作 创建用户 方法一: CREATE USER语句创建 CREATE USER "用户名"@"IP地址" IDENTIFIED BY "密码"; 方法二: INSERT语句创建 INSERT INTO mysql.user(user,host, password,ssl_cipher,x509_issuer,x509_subject) VALUES('用户名','IP地址',password('密码'),'',