概览

如果在部署了强制执行身份验证的 MongoDB 数据库中启用访问控制，会要求用户认证其身份。在连接启用了访问控制的 MongoDB 数据库时，用户只能执行他所属角色所用于的权限的相关操作。

MongoDB 支持不同的身份验证机制。

以下教程在一个独立的 mongod 实例中启用请求控制，并且使用默认的身份验证机制。

对于副本集和分片集群，你可以参考强制执行网络身份验证来开启请求控制功能。详情请参考网络身份验证章节

用户管理员

要开启请求控制，请确保在 admin 数据库中已经拥有一个 userAdmin 或者 userAdminAnyDatabase 角色的用户。这个用户可以管理用户、角色，例如：创建用户、给用户授权或者撤销角色、创建或者修改自定义角色等。

你可以在开启请求控制之前或之后创建用户。如果你在没有创建任何用户之前开启请求控制，MongoDB 抛出一个本地主机异常用于给你在 admin 数据库中创建一个用户管理员。一旦你已经创建，你需要拥有用户管理员授权才能创建其他同样的用户。

步骤

下面的步骤首先在没有开启请求控制时为 MongoDB 实例添加一个用户管理员，然后在开启请求控制。

1. 开启没有请求控制的 MongoDB 服务。

下面的例子开启一个独立的没有请求控制的 mongod 实例。

mongod --port 27017 --dbpath /data/db1

2. 连接实例

下面的例子使用 mongo 壳连接实例。

mongo --port 27017

可以适当使用额外的命令行参数去建立连接，例如 --host。

3. 创建用户管理员

在 admin 数据库中，添加一个拥有 userAdminAnyDatabase 角色的用户。下面的例子在 admin 数据库中创建 myUserAdmin 用户。

你创建用户时所在的数据库即作为改用户的认证授权数据库（此例中是 admin 数据库）。即使该用户授权给了这个数据库，这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: "abc123",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

断开 mongo 壳连接。

4. 带上请求控制参数重启 MongoDB 实例

使用命令行选项 --auth 重启 mongod 实例，如果是使用配置文件，设置 security.authorization 选项。

mongod --auth --port 27017 --dbpath /data/db1

现在连接到这个实例的客户端都必须是已授权的 MongoDB 用户。客户端也只能执行指定所属角色拥有权限的操作。

5. 使用用户管理员帐户连接和授权

如果是使用 mongo 壳，你可以：

• 通过传入用户凭证进行连接授权验证
• 不验证先连接，然后使用 db.auth() 解决授权验证问题

在连接时验证授权

在 mongo 壳中传入 -u <username>, -p <password>, --authenticationDatabase <database> 参数：

mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"

连接后验证授权

通过 mongo 壳连接 mongod：

mongo --port 27017

切换到授权数据库（此例中是 admin），使用 db.auth(<username>, <pwd>) 方法执行授权：

use admin
db.auth("myUserAdmin", "abc123" )

6. 根据需要创建其他用户

使用用户管理员授权登入后，就可以通过 db.createUser() 来创建更多用户了。你可以赋予任何内建角色或者自定义角色给这些用户。

myUserAdmin 只有管理用户和角色的权限，如果该用户尝试执行其他操作，例如在 test 数据库中的 foo 集合执行读取操作，MongoDB 会返回一个错误。

下面的操作给 test 数据库添加一个用户 myTester，该用户在 test 数据库中拥有 readWrite 角色，在 reporting 数据库中拥有 read 角色。

你创建用户时所在的数据库即作为改用户的认证授权数据库（此例中是 admin 数据库）。即使该用户授权给了这个数据库，这个用户还可以拥有其他数据库的角色。即用户的授权数据库不会限制用户的权限。

use test
db.createUser(
  {
    user: "myTester",
    pwd: "xyz123",
    roles: [ { role: "readWrite", db: "test" },
             { role: "read", db: "reporting" } ]
  }
)

7. 使用 myTester 连接和授权

在连接时验证授权
在 mongo 壳中传入 -u <username>, -p <password>, --authenticationDatabase <database> 参数：

mongo --port 27017 -u "myTester" -p "xyz123" --authenticationDatabase "test"

连接后验证授权
通过 mongo 壳连接 mongod：

mongo --port 27017

切换到授权数据库（此例中是 test），使用 db.auth(<username>, <pwd>) 方法执行授权：

use test
db.auth("myTester", "xyz123" )

往集合中插入数据
myTester 用户在 test 数据库拥有读写操作的权限（在 reporting 数据库中拥有读权限）。你可以在 test 数据库中执行下面的插入操作：

db.foo.insert( { x: 1, y: 1 } )