mongodb授权只读

原创

mob64ca12edad02 2024-01-06 12:18:49 ©著作权

©著作权归作者所有：来自51CTO博客作者mob64ca12edad02的原创作品，请联系作者获取转载授权，否则将追究法律责任

MongoDB授权只读的实现步骤

1. 创建一个只读用户角色

首先，我们需要在MongoDB中创建一个只读用户角色，用于授权给用户只能进行读取操作而不能进行写入操作。下面是创建角色的代码：

use admin
db.createRole({
   role: "readonly",
   privileges: [
      { resource: { db: "", collection: "" }, actions: ["find", "aggregate", "count"] }
   ],
   roles: []
})

这段代码中，我们首先使用use admin切换到admin数据库，然后使用db.createRole()方法创建一个名为"readonly"的角色。privileges字段指定了该角色可以进行的操作，这里包括了"find"、"aggregate"和"count"，这些操作可以用于读取数据。roles字段指定了该角色所继承的角色，这里为空。

2. 创建一个只读用户

接下来，我们需要创建一个只读用户，并将刚刚创建的只读角色授权给该用户。下面是创建用户和授权的代码：

use admin
db.createUser({
   user: "readonlyuser",
   pwd: "password",
   roles: [{ role: "readonly", db: "mydatabase" }]
})

这段代码中，我们首先使用use admin切换到admin数据库，然后使用db.createUser()方法创建一个名为"readonlyuser"的用户，密码为"password"。roles字段指定了该用户所拥有的角色，这里只有之前创建的"readonly"角色，并且限定了该角色的数据库为"mydatabase"。

3. 启用授权认证

默认情况下，MongoDB是没有启用授权认证的，需要手动进行启用。下面是启用授权认证的代码：

# 修改配置文件
vi /etc/mongod.conf

打开/etc/mongod.conf文件，并找到以下行：

#security:
#  authorization: enabled

将注释去掉，并将enabled改为true，保存并退出。然后重启MongoDB服务：

# 重启MongoDB服务
sudo service mongod restart

4. 验证只读用户的权限

最后，我们需要验证刚刚创建的只读用户是否能够成功登录并且只能进行读取操作。下面是验证的代码：

# 使用只读用户登录
mongo -u readonlyuser -p password --authenticationDatabase mydatabase

这段代码中，我们使用mongo命令登录MongoDB，并指定用户名、密码以及认证数据库。如果登录成功，则说明只读用户的权限设置正确。在登录成功后，尝试进行写入操作，例如插入一条数据：

use mycollection
db.mycollection.insert({ name: "John" })

如果此时提示"Unauthorized"，则说明只读用户无法进行写入操作，授权只读功能已经成功实现。

状态图

stateDiagram
    [*] --> 创建只读角色
    创建只读角色 --> 创建只读用户
    创建只读用户 --> 启用授权认证
    启用授权认证 --> 验证权限
    验证权限 --> [*]

以上是实现MongoDB授权只读的步骤和相应代码。首先，我们创建一个只读角色，然后创建一个只读用户，并将只读角色授权给只读用户。接着，我们启用授权认证并验证只读用户的权限。最后，我们可以看到只读用户只能进行读取操作而无法进行写入操作，授权只读功能已经成功实现。

参考链接：

[MongoDB Manual - Create a Role](

[MongoDB Manual - Create a User](

[MongoDB Manual - Enable Authentication](

[MongoDB Manual - Authenticate](