MongoDB設定存取權限、設定使用者

標籤：

mongo                          # 運行用戶端（也可以去mongodb安裝目錄下運行這個）
use admin                      # 切換到系統帳戶表
db.system.users.find()         # 查看當前帳戶（密碼有加密過）
db.system.users.remove({})     # 刪除所有帳戶
db.addUser(‘admin‘,‘password‘) # 添加新帳戶

 

 

MongoDB已經使用很長一段時間了，基於MongoDB的資料存放區也一直沒有使用到許可權訪問（MongoDB預設設定為無許可權訪問限制），今天特地花了一點時間研究了一下，研究成果如下：

註：研究成果基於Windows平台

MongoDB在本機安裝部署好後

1. 輸入命令：show dbs，你會發現它內建有兩個資料庫，一個名為admin，一個名為local。local好像沒啥用，如果哪位在使用過程中發現了這個local表的用途，希望能夠留言提醒，那我們就專心來說說admin表

2. 輸入命令：use admin，你會發現該DB下包含了一個system.user表，呵呵，沒錯，這個表就等同於MsSql中的使用者表，用來存放超級管理員的，那我們就往它裡面添加一個超級管理員試試看

3. 輸入命令：db.addUser(‘sa‘,‘sa‘)，這裡我添加一個超級管理使用者，username為sa，password也為sa，即然我們添加了超級管理員，那咱們就來測試下，看看咱們再次串連MongoDB需不需要提示輸入使用者名稱、密碼，我們先退出來(ctrl+c)

4. 輸入命令：use admin

5. 輸入命令：show collections，查看該庫下所有的表，你會發現，MongoDB並沒有提示你輸入使用者名稱、密碼，那就奇怪了，這是怎麼回事呢？在文章最開始提到了，

MongoDB預設設定為無許可權訪問限制，即然這樣，那我們就先把它設定成為需要許可權訪問限制，咱們再看看效果，怎麼設定呢？

6. 在註冊表中，找到MongoDB的節點，在它的ImgPath中，我們修改一下，加入 -auth，如下所示：

"D:\Program Files\mongodb\bin\mongod" -dbpath  e:\work\data\mongodb\db  -logpath  e:\work\data\mongodb\log -auth -service

7. 輸入命令：use admin

8. 輸入命令：show collections，呵呵，我們發現無法查看該庫下的表了，提示："$err" : "unauthorized db:admin lock type:-1 client:127.0.0.1"，很明顯，提示沒有許可權，看來關鍵就在於這裡，我們在啟動MongoDB時，需要加上-auth參數，這樣我們設定的許可權才會生效，好，接下來我們使用剛剛之前設定的使用者名稱、密碼來訪問

9. 輸入命令：db.auth(‘sa‘,‘sa‘)，輸出一個結果值為1，說明這個使用者匹配上了，如果使用者名稱、密碼不對，會輸入0

10. 輸入命令：show collections，呵呵，結果出來了，到這裡，使用權限設定還只講到一多半，接著往下講，我們先退出來(ctrl+c)

11. 輸入命令：mongo TestDB，我們嘗試串連一個新的庫（無論這個庫是否存在，如果不存在，往該庫中添加資料，會預設建立該庫），然後，我們想看看該庫中的表

12. 輸入命令：show collections，好傢夥，沒許可權，我們輸入上面建立的使用者名稱、密碼

13. 輸入命令：db.auth(‘sa‘,‘sa‘)，輸入結果0，使用者不存在，這下有人可能就不明白了，剛剛前面才建立，怎麼會不存在呢？原因在於：當我們單獨訪問MongoDB的資料庫時，需要許可權訪問的情況下，使用者名稱密碼並非超級管理員，而是該庫的system.user表中的使用者，注意，我這裡說的是單獨訪問的情況，什麼是不單獨訪問的情況呢？接下來再講，現在咋辦，沒許可權，那我們就嘗試給庫的system.user表中添加使用者

14. 輸入命令：db.addUser(‘test‘,‘111111‘)，哇靠，仍然提示沒有許可權，這可咋辦，新的資料庫使用超級管理員也無法訪問，建立使用者也沒有許可權，呵呵，別急，即然設定了超級管理使用者，那它就一定有許可權訪問所有的庫

15. 輸入命令：use admin

16. 輸入命令：db.auth(‘sa‘,‘sa‘)

17. 輸入命令：use TestDB

18. 輸入命令：show collections，哈哈，一路暢通無阻，我們發現可以利用超級管理使用者訪問其它庫了，呵呵，這個就是不單獨訪問的情況，不難發現，我們是先進入admin庫，再轉到其它庫來的，admin相當於是一個最進階別官員所在地區，如果你是個地產商，想在地方弄個大工程做做，你想不經過那些進階官員就做，這是行不通的，你需要先去到他們那裡，送點禮，再順著下到地方，工程你就可以拿到手了，此言論僅為個人觀點，不代表部落格園；即然工程拿到手了，就要開始建了，那我們不至於每加塊磚、添個瓦都得去和那幫進階官員打招呼吧，所以我們得讓這個工程合法化，咱們得把相關的手續和證件弄齊全，不至於是違建

19. 輸入命令：db.addUser(‘test‘,‘111111‘)，我們給TestDB庫添加一個使用者，以後每次訪問該庫，我都使用剛剛建立的這個使用者，我們先退出（ctrl+c）

20. 輸入命令：mongo TestDB

21. 輸入命令：show collections，提示沒有許可權

22. 輸入命令：db.auth(‘test‘,‘111111‘)，輸出結果1，使用者存在，驗證成功

23. 輸入命令：show collections，沒再提示我沒有許可權，恭喜您，成功了

MongoDB設定存取權限、設定使用者