【Mongodb】使用者和認證許可權總結

北在南方發表於2016-04-13
   開啟MongoDB服務時不新增任何引數時,預設是沒有許可權驗證的,登入的使用者可以對資料庫任意操作而且可以遠端訪問資料庫!
   在剛安裝完畢的時候MongoDB都預設有一個admin資料庫,此時admin資料庫是空的,沒有記錄許可權相關的資訊!當admin.system.users一個使用者都沒有時,即使mongod啟動時新增了–auth引數,如果沒有在admin資料庫中新增使用者,此時不進行任何認證還是可以做任何操作(不管是否是以–auth 引數啟動),直到在admin.system.users中新增了一個使用者。
需要注意的是:admin.system.users中將會儲存比在其它資料庫中設定的使用者許可權更大的使用者資訊,擁有超級許可權,也就是說在admin中建立的使用者可以對mongodb中的其他資料庫資料進行操作。
1 mongodb系統中,資料庫是由超級使用者來建立的,一個資料庫可以包含多個使用者,一個使用者只能在一個資料庫下,不同資料庫中的使用者可以同名!
2 當admin.system.users一個使用者都沒有時,即使mongod啟動時新增了–auth引數,如果沒有在admin資料庫中新增使用者,此時不進行任何認證還是可以做任何操作(不管是否是以–auth 引數啟動),直到在admin.system.users中新增了一個使用者。
3 特定資料庫比如DB1下的使用者User1,不能夠訪問其他資料庫DB2,但是可以訪問本資料庫下其他使用者建立的資料!
4 不同資料庫中同名的使用者不能夠登入其他資料庫!比如DB1,DB2都有user1,以user1登入DB1後,不能夠登入到DB2進行資料庫操作!
5 在admin資料庫建立的使用者具有超級許可權,可以對mongodb系統內的任何資料庫的資料物件進行操作!

下面通過實驗的方式程式驗證(可能不全面,歡迎大家指正):
1 第一次安裝monogdb時,admin資料庫中沒有任何使用者,此時不管是否以–auth方式啟動資料庫,其他資料庫(比如test資料庫)中的使用者都可以對另外的資料庫(比如db1資料庫)中的資料進行操作~!
a)以預設的方式啟動mongodb
[mongodb@rac3 bin]$ ./mongod  –dbpath=/opt/mongodata/data –port=27000
在另一個視窗進入mongodb shell,預設是直接進入test 資料庫的,並且此時使用者擁有超級許可權,可以操作任何資料庫物件!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
> show dbs
local   (empty)
#檢視admin 資料庫中的使用者資訊,因為是剛建立的資料庫所以user 為空~!
> use admin
switched to db admin
> db.system.users.find() ;
#建立test資料庫,並建立物件yql,插入資料!
> use test
switched to db test
>
> db.yql.insert({id:2,val:”yangql is learing monogdb master slave!”});
#建立db1資料庫,並建立物件db1_test,插入資料!
> use db1
switched to db db1
>
> db.db1_test.insert({id:1,val:”this data is in db1 !”});
> db.db1_test.insert({id:2,val:”this data is in db1 !”});
> db.db1_test.insert({id:3,val:”this data is in db1 !”});
#建立db2資料庫,並建立物件db2_test,插入資料!
> use db2
switched to db db2
>
> db.db2_test.insert({id:1,val:”this data is in db2!”});
> db.db2_test.insert({id:2,val:”this data is in db2!”});
> db.db2_test.insert({id:3,val:”this data is in db2!”});
> db.db2_test.find();
{ “_id” : ObjectId(“4f2bbcdf2a801e73e6493f31”), “id” : 1, “val” : “this data is in db2!” }
{ “_id” : ObjectId(“4f2bbce52a801e73e6493f32”), “id” : 2, “val” : “this data is in db2!” }
{ “_id” : ObjectId(“4f2bbce92a801e73e6493f33”), “id” : 3, “val” : “this data is in db2!” }
>
> show dbs
admin   (empty)
db1     0.203125GB
db2     0.203125GB
local   (empty)
test    0.203125GB
#在test 資料庫中建立使用者yql,密碼為yql
> use test
switched to db test
>
> db.addUser(“yql”,”yql”)
{ “n” : 0, “connectionId” : 1, “err” : null, “ok” : 1 }
{
        “user” : “yql”,
        “readOnly” : false,
        “pwd” : “868ed7035435f33b60ebeba2f363ad91”,
        “_id” : ObjectId(“4f2bbed556f179b1ccc295d1”)
}

> db.auth(“yql”,”yql”) #驗證函式,驗證資料庫中是否存在對應的使用者
1
>
> db.system.users.find();
{ “_id” : ObjectId(“4f2bbed556f179b1ccc295d1”), “user” : “yql”, “readOnly” : false, “pwd” : “868ed7035435f33b60ebeba2f363ad91” }
>
> exit
bye

b)關閉mongod 服務,並以認證方式啟動資料庫
[mongodb@rac3 bin]$ ./mongod  –dbpath=/opt/mongodata/data –port=27000 –auth
再次登入,雖然在test中建立了使用者,但是沒有在admin 資料庫中建立使用者,所以以預設方式登入的使用者依然具有超級許可權
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
>
> use test
switched to db test
>
> db.system.users.find();
{ “_id” : ObjectId(“4f2bbed556f179b1ccc295d1”), “user” : “yql”, “readOnly” : false, “pwd” : “868ed7035435f33b60ebeba2f363ad91” }
>
>
> use db1
switched to db db1
>
> db.db1_test.find();
{ “_id” : ObjectId(“4f2bb3a42a801e73e6493f2b”), “id” : 1, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3ae2a801e73e6493f2c”), “id” : 2, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3b32a801e73e6493f2d”), “id” : 3, “val” : “this data is in db1 !” }
>
> exit
bye
使用特定使用者登入資料庫,也可以訪問其他的資料庫。下面的例子說明,test的使用者可以訪問db1的資料
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000 -uyql -pyql
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
>
> use db1
switched to db db1
> db.db1_test.find();
{ “_id” : ObjectId(“4f2bb3a42a801e73e6493f2b”), “id” : 1, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3ae2a801e73e6493f2c”), “id” : 2, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3b32a801e73e6493f2d”), “id” : 3, “val” : “this data is in db1 !” }
>
bye

2 在admin.system.users中新增使用者之後,mongodb的認證,授權服務生效! 
#在admin 資料庫中建立使用者!supper 密碼為sup
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
> use admin
switched to db admin
>
> db.addUser(“supper”, “sup”)  
{ “n” : 0, “connectionId” : 4, “err” : null, “ok” : 1 }
{
        “user” : “supper”,
        “readOnly” : false,
        “pwd” : “51a481f72b8b8218df9fee50b3737c44”,
        “_id” : ObjectId(“4f2bc0d357a309043c6947a4”)
}
>
> db.auth(“supper”,”sup”)
1
>
> exit
bye
[mongodb@rac3 bin]$
預設方式登入,即以無認證使用者登入,查詢的時候會顯示無許可權!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
>
> db.system.users.find();
error: {
        “$err” : “unauthorized db:test lock type:-1 client:127.0.0.1”,
        “code” : 10057
}
>
> show dbs 
Fri Feb  3 19:12:30 uncaught exception: listDatabases failed:{ “errmsg” : “need to login”, “ok” : 0 }
>
>
> exit
bye
在admin資料庫建立使用者後,使用認證方式登入,可進行對應資料庫的查詢操作且僅僅能夠查詢對應的資料庫中的資訊!不能夠查詢其他mongodb系統的其他資料庫資訊!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000 -uyql -pyql
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
>
> db.system.users.find();
{ “_id” : ObjectId(“4f2bbed556f179b1ccc295d1”), “user” : “yql”, “readOnly” : false, “pwd” : “868ed7035435f33b60ebeba2f363ad91” }
>
> db.yql.find();
{ “_id” : ObjectId(“4f2bb3662a801e73e6493f2a”), “id” : 2, “val” : “yangql is learing monogdb master slave!” }
> 查詢系統資料庫資訊時,報如下錯誤!
> show dbs; 
Fri Feb  3 19:15:56 uncaught exception: listDatabases failed:{ “errmsg” : “need to login”, “ok” : 0 }
#登入db1
> use db1
switched to db db1
#查詢的時候,會報錯,非授權使用者!
> db.db1_test.find();
error: {
        “$err” : “unauthorized db:db1 lock type:-1 client:127.0.0.1”,
        “code” : 10057
}
> use db2
switched to db db2
>
> db.db2_test.find()
error: {
        “$err” : “unauthorized db:db2 lock type:-1 client:127.0.0.1”,
        “code” : 10057
}
>
> exit
bye
使用db1的使用者可以查詢db1的資料,但是不能檢視其他的資料庫的資料!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/db1 -udb1 -pdb1
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/db1
>
> db.db1_test.find()
{ “_id” : ObjectId(“4f2bb3a42a801e73e6493f2b”), “id” : 1, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3ae2a801e73e6493f2c”), “id” : 2, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3b32a801e73e6493f2d”), “id” : 3, “val” : “this data is in db1 !” }
>
> db.system.users.find();
{ “_id” : ObjectId(“4f2bc2d7b85653a70aa4fc50”), “user” : “db1”, “readOnly” : false, “pwd” : “08a3bfa3cdef4464c4738a7180465adf” }
>
> db.auth(“db1″,”db1”)
1
>
> show dbs
Fri Feb  3 19:21:08 uncaught exception: listDatabases failed:{ “errmsg” : “need to login”, “ok” : 0 }
>
> use db2
switched to db db2
>
> show collections
Fri Feb  3 19:21:24 uncaught exception: error: {
        “$err” : “unauthorized db:db2 lock type:-1 client:127.0.0.1”,
        “code” : 10057
}
> use db1
switched to db db1
> show collections
db1_test
system.indexes
system.users
>

特定資料庫比如DB1下的使用者User1,是可以訪問本資料庫下其他使用者建立的資料
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/db2 -udb1 -pdb1
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/db2
> 
> db.user_db1.insert({id:1,val:”this data is created by db1 in db2!”});
> db.user_db1.insert({id:2,val:”this data is created by db1 in db2!”});
> exit
bye
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/db2 -udb2 -pdb2
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/db2
> 
> db.user_db1.find();
{ “_id” : ObjectId(“4f2bd237c19753688c950aaf”), “id” : 1, “val” : “this data is created by db1 in db2!” }
{ “_id” : ObjectId(“4f2bd23bc19753688c950ab0”), “id” : 2, “val” : “this data is created by db1 in db2!” }
> 
 
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000 -usupper -psup
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
Fri Feb  3 19:16:55 uncaught exception: login failed
exception: login failed
3 使用supper 使用者登入!可以對mongodb系統內的所有資料庫進行查詢,DML操作!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/admin  -usupper -psup
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/admin
>
> show dbs
admin   0.203125GB
db1     0.203125GB
db2     0.203125GB
local   (empty)
test    0.203125GB
>
> use db1
switched to db db1
> db.db1_test.find()
{ “_id” : ObjectId(“4f2bb3a42a801e73e6493f2b”), “id” : 1, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3ae2a801e73e6493f2c”), “id” : 2, “val” : “this data is in db1 !” }
{ “_id” : ObjectId(“4f2bb3b32a801e73e6493f2d”), “id” : 3, “val” : “this data is in db1 !” }
> use db2
switched to db db2
> db.db2_test.find()
{ “_id” : ObjectId(“4f2bbcdf2a801e73e6493f31”), “id” : 1, “val” : “this data is in db2!” }
{ “_id” : ObjectId(“4f2bbce52a801e73e6493f32”), “id” : 2, “val” : “this data is in db2!” }
{ “_id” : ObjectId(“4f2bbce92a801e73e6493f33”), “id” : 3, “val” : “this data is in db2!” }
>
> use test
switched to db test
>
> db.system.users.find();
{ “_id” : ObjectId(“4f2bbed556f179b1ccc295d1”), “user” : “yql”, “readOnly” : false, “pwd” : “868ed7035435f33b60ebeba2f363ad91” }
>
> db.yql.find();
{ “_id” : ObjectId(“4f2bb3662a801e73e6493f2a”), “id” : 2, “val” : “yangql is learing monogdb master slave!” }
>
> db.yql.remove();###刪除資料###
>
> db.yql.find();
>
> use db1
switched to db db1
>
> db.addUser(“db1”, “db1”)  
{ “n” : 0, “connectionId” : 9, “err” : null, “ok” : 1 }
{
        “user” : “db1”,
        “readOnly” : false,
        “pwd” : “08a3bfa3cdef4464c4738a7180465adf”,
        “_id” : ObjectId(“4f2bc2d7b85653a70aa4fc50”)
}
> exit
bye
4 不同資料庫中的使用者可以同名,不同資料庫中同名的使用者依然不登入其他資料庫!比如DB1,DB2都有user1,以user1登入DB1後,不能夠登入到DB2進行資料庫操作!
在不同資料庫中建立相同的使用者,進行測試!
測試場景:在test,db2資料庫中建立使用者db1,密碼db1
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/admin  -usupper -ppwd2
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/admin
>  
> use db2
switched to db db2
>  
> db.addUser(“db1”, “db1”)  
{ “n” : 0, “connectionId” : 17, “err” : null, “ok” : 1 }
{
        “user” : “db1”,
        “readOnly” : false,
        “pwd” : “08a3bfa3cdef4464c4738a7180465adf”,
        “_id” : ObjectId(“4f2bccb3e39cb674302ce2dd”)
}
>  
> exit
bye
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000 -uyql -ppwd1
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/test
>  
> db.addUser(“db1”, “db1”)  
{ “n” : 0, “connectionId” : 19, “err” : null, “ok” : 1 }
{
        “user” : “db1”,
        “readOnly” : false,
        “pwd” : “08a3bfa3cdef4464c4738a7180465adf”,
        “_id” : ObjectId(“4f2bcce9b5accbdac9e71a93”)
}
> exit
bye
[mongodb@rac3 bin]$ 
使用使用者db1登入db2資料庫,然後嘗試登入db1,並進行查詢測試,報錯顯示未授權!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/db2 -udb1 -pdb1
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/db2
>  
> use db1
switched to db db1
>  
> db.db1_test.find();
error: {
        “$err” : “unauthorized db:db1 lock type:-1 client:127.0.0.1”,
        “code” : 10057
}
>  
某個資料庫中對應的使用者只能對本資料庫進行操作,而不能操作其他資料庫,包括查詢和建立其他資料庫!
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/db1 -udb1 -pdb1       
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/db1
>  
>  
> use db3
switched to db db3
>  
> db.db3_test.insert({id:1,val:”this data is in db3!”});
unauthorized
> db.db3_test.insert({id:2,val:”this data is in db3!”});
unauthorized
> db.db3_test.find();
error: {
        “$err” : “unauthorized db:db3 lock type:-1 client:127.0.0.1”,
        “code” : 10057

}
> exit
bye

使用db.auth()可以對資料庫中的使用者進行驗證,如果驗證成功則返回1,否則返回0!

db.auth() 只能針對登入使用者所屬的資料庫的使用者資訊進行驗證,不能驗證其他資料庫的使用者資訊,因為訪問不了其他資料庫(有點小白的解釋)
[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27000/db1 -udb1 -pdb1
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27000/db1
>
> db.auth(“yql”,”pwd”)
0
> db.auth(“db1″,”db1”)
1
>
> exit
bye


相關文章