MongoDB 缺省是沒有設置鑒權的，業界大部分使用 MongoDB 的項目也沒有設置訪問權限。這就意味著只要知道 MongoDB 服務器的端口，任何能訪問到這臺服務器的人都可以查詢和操作 MongoDB 數據庫的內容。在一些項目當中，這種使用方式會被看成是一種安全漏洞。

本文介紹如何在單臺 MongoDB 服務器上設置鑒權。設置完後，MongoDB 客戶端必須用正確的用戶名和密碼登錄，才能在指定的數據庫中操作。

首先介紹下 MongoDB 的用戶和權限。每個數據庫都有自己的用戶，創建用戶的命令是db.createUser()（文檔），當你創建一個用戶時，該用戶就屬於你當前所在的數據庫。

每個用戶包含三個要素：用戶名、密碼和角色列表。下面是一個例子：

{ user: "dbuser", pwd : "dbpass", roles: ["readWrite", "clusterAdmin"] }

這個例子表示一個名為dbuser的用戶，它在當前的數據庫中擁有 readWrite 和 clusterAdmin 兩個角色。

--------------------------------------------------------------------------------------------------------------------------

MongoDB 內置了很多角色，但要註意，不是每個數據庫的內置角色都一樣。其中 admin 數據庫就包含了一些其他數據庫所沒有的角色。

熟悉 Oracle 的童鞋們都知道，數據庫用戶有兩種，一種是管理員，用來管理用戶，一種是普通用戶，用來訪問數據。類似的，為 MongoDB 規劃用戶鑒權時，至少要規劃兩種角色：用戶管理員和數據庫用戶。如果搭建了分片或主從，可能還會要規劃數據庫架構管理員的角色，它們專門用來調整數據庫的分布式架構。

在創建用戶之前，我們首先要修改 MongoDB 的啟動方式。缺省方式下 MongoDB 是不進行鑒權檢查的。我們只要在運行 MongoDB 的命令後面加上一個 --auth 參數即可，例如：

mongod --dbpath ./db1 --port 20000 --auth

如何創建用戶管理員

用戶管理員是第一個要創建的用戶。在沒有創建任何用戶之前，你可以隨意創建用戶；但數據庫中一旦有了用戶，那麽未登錄的客戶端就沒有權限做任何操作了，除非使用db.auth(username, password)方法登錄。

用戶管理員的角色名叫 userAdminAnyDatabase，這個角色只能在 admin 數據庫中創建。下面是一個例子：

> use admin switched to db admin > db.createUser({user:"root",pwd:"root123",roles:["userAdminAnyDatabase"]}) Successfully added user: { "user" : "root", "roles" : [ "userAdminAnyDatabase" ] }

這個例子創建了一個名為 root 的用戶管理員。創建完了這個用戶之後，我們應該馬上以該用戶的身份登錄：

> db.auth("root","root123") 1 db.auth() 方法返回 1 表示登錄成功。接下來我們為指定的數據庫創建訪問所需的賬號。

--------------------------------------------------------------------------------------------------------------------------

如何創建數據庫用戶

首先保證你已經以用戶管理員的身份登錄 admin 數據庫。然後用 use 命令切換到目標數據庫，同樣用 db.createUser() 命令來創建用戶，其中角色名為 “readWrite”。

普通的數據庫用戶角色有兩種，read 和 readWrite。顧名思義，前者只能讀取數據不能修改，後者可以讀取和修改。 下面是一個例子：

> use test switched to db test > db.createUser({user:"testuser",pwd:"testpass",roles:["readWrite"]}) Successfully added user: { "user" : "testuser", "roles" : [ "readWrite" ] } > db.auth("testuser","testpass") 1

這樣 MongoDB 的數據安全性就得到保障了，沒有登錄的客戶端將無法執行任何命令。

Mongodb 細節1