MongoDB建立只讀使用者並授權指定集合的查詢許可權
建立測試資料
use testdb
db.test_t.insertOne({id:1,name:'zhangsan'});
db.test_t.insertOne({id:2,name:'lisi'});
db.test_t1.insertOne({id:1,name:'zhangsan'});
db.test_t1.insertOne({id:2,name:'lisi'});
db.test_t2.insertOne({id:1,name:'zhangsan'});
建立一個自定義角色,只允許在 testdb
資料庫的 test_t1
和test_t2
集合上執行查詢操作。
use testdb
db.createRole({
role: "read_testdb", // 角色名稱
privileges: [
{
resource: { db: "testdb", collection: "test_t1" }, // 對testdb資料庫下的test_t1集合授予許可權
actions: [ "find" ] // 允許查詢操作(find)
},
{
resource: { db: "testdb", collection: "test_t2" }, // 對testdb資料庫下的test_t2集合授予許可權
actions: [ "find" ]
}
],
roles: [] // 沒有繼承其他角色
})
建立使用者並分配角色
use testdb
db.createUser({
user: "test_user", // 使用者名稱
pwd: "test_user", // 使用者密碼
roles: [
{ role: "read_testdb", db: "testdb" } // 分配剛才建立的角色
]
})
驗證許可權
[mongodb@mongo190 ~]$ mongosh -u test_user -p test_user 192.168.1.190:27017/testdb
Current Mongosh Log ID: 6736122884c4113b2f1bd68d
Connecting to: mongodb://<credentials>@192.168.1.190:27017/testdb?directConnection=true&appName=mongosh+1.10.1
Using MongoDB: 6.0.6
Using Mongosh: 1.10.1
For mongosh info see: https://docs.mongodb.com/mongodb-shell/
Enterprise testdb> db.test_t1.find()
[
{
_id: ObjectId("67360308cd77db51ff44f83a"),
id: 1,
name: 'zhangsan'
},
{ _id: ObjectId("67360308cd77db51ff44f83b"), id: 2, name: 'lisi' }
]
Enterprise testdb> db.test_t2.find()
[
{
_id: ObjectId("67360371cd77db51ff44f83c"),
id: 1,
name: 'zhangsan'
}
]
Enterprise testdb> db.test_t.find()
MongoServerError: not authorized on testdb to execute command { find: "test_t", filter: {}, lsid: { id: UUID("89d7523d-ce34-41f7-bb6e-d304e3ccf66a") }, $db: "testdb" }
Enterprise testdb>