一、忘记密码快速找回
任何系统忘记密码都是一样的操作:以无需授权的模式开启程序,然后进入系统修改权限设置,退出来重新以授权方式开启程序。MySQL是这样,MongoDB也是这样。好的系统都提供了无授权模式。为了安全,以无需授权的模式开启程序所需要的权限非常高。
首先看一下mongo的配置文件在哪
- 方法一:查看当前正在运行的mongodb的配置文件地址,ps -aux|grep mongo
- 方法二:去往服务中(linux下的/etc/init.d,windows直接通过“计算机管理”可视化查看),查看mongod命令启动参数
编辑conf文件
//找到auth=true,将其注释掉
vim /etc/mongod.conf
重启mongodb,使上面的改动生效
service mongod restart
进入mongo交互式界面
use admin
查询所有用户
db.system.users.find()
查询所有用户的正确方法
show users
你可以把现有的所有用户remove掉。我这里直接增加一个新用户
db.createUser({ user:"haha", pwd:"admin" });
以上就增加了新用户,将mongodb配置中的auth=true开启,重新启动mongodb服务。
vim /etc/mongod.conf
service mongod restart
二、windows上把mongodb安装成服务
如果不设置成服务,开发时每次都要打开mongod程序,很繁琐。服务安装很简单,使用mongod --install命令即可。但是,这个mongod需要指明一些参数,这些参数有三种方式指明:
- 安装服务时,直接在命令行中指明,如mongod --key1 value1 --key2 value2 --install
- 安装服务后,在计算机管理中可视化操作添加运行参数
- 最好的方法:通过mongod -f mongo.conf指明配置文件的位置,这样以后直接修改配置文件、重启服务就可以了。
其中,在mongo.conf文件中,必须指明logpath参数。当服务启动失败时,直接查看日志文件输出即可。当服务无法启动时,直接查看这个日志文件即可。mongo.conf中可以使用的选项通过mongod --help命令查看。
服务安装:mongod -f c:usersmemongo.conf --install
安装之后默认的服务名就是MongoDB,直接使用这个默认值,最好不要更改。
服务卸载:mongod --remove
服务启动:net start mongodb
服务停止:net stop mongodb
三、创建admin数据库
admin数据库中的用户具有其他数据库的管理权限,这就是admin数据库的意义。
admin数据库并非必不可少,直接
四、理解MongoDB权限机制
学习一个系统不仅仅要学习它的用法,也要领会其中的设计思想。换言之,编程不仅仅是实现需求,更要站在产品经理的角度去理解需求、分析需求。
mysql的权限机制和mongodb的权限机制几乎是一致的,和linux的文件系统权限机制也是一样的。权限分为三类:
- 基础权限
每个文件有可读、可写、可执行等三个细节权限
每个数据库有可读、可写等细节权限。 - 角色
基础权限过于细碎,不容易直接处理,所以创建角色。角色就是基础权限的集合,是模板化的用户。这对应linux中的用户组。
mongodb内置角色
参考官网:http://docs.mongodb.org/manual/reference/built-in-roles/#dbAdmin
- 数据库用户角色
针对每一个数据库进行控制。
read :提供了读取所有非系统集合,以及系统集合中的system.indexes, system.js, system.namespaces
readWrite: 包含了所有read权限,以及修改所有非系统集合的和系统集合中的system.js的权限. - 数据库管理角色
每一个数据库包含了下面的数据库管理角色。
dbOwner:该数据库的所有者,具有该数据库的全部权限。
dbAdmin:一些数据库对象的管理操作,但是没有数据库的读写权限。
userAdmin:为当前用户创建、修改用户和角色。拥有userAdmin权限的用户可以将该数据库的任意权限赋予任意的用户。 - 集群管理权限
admin数据库包含了下面的角色,用户管理整个系统,而非单个数据库。这些权限包含了复制集和共享集群的管理函数。
clusterAdmin:提供了最大的集群管理功能。相当于clusterManager, clusterMonitor, and hostManager和dropDatabase的权限组合。
clusterManager:提供了集群和复制集管理和监控操作。拥有该权限的用户可以操作config和local数据库(即分片和复制功能)
clusterMonitor:仅仅监控集群和复制集。
hostManager:提供了监控和管理服务器的权限,包括shutdown节点,logrotate, repairDatabase等。
备份恢复权限:admin数据库中包含了备份恢复数据的角色。包括backup、restore等等。 - 所有数据库角色
admin数据库提供了一个mongod实例中所有数据库的权限角色:
readAnyDatabase:具有read每一个数据库权限。但是不包括应用到集群中的数据库。
readWriteAnyDatabase:具有readWrite每一个数据库权限。但是不包括应用到集群中的数据库。
userAdminAnyDatabase:具有userAdmin每一个数据库权限,但是不包括应用到集群中的数据库。
dbAdminAnyDatabase:提供了dbAdmin每一个数据库权限,但是不包括应用到集群中的数据库。 - 超级管理员权限
root: dbadmin到admin数据库、useradmin到admin数据库以及UserAdminAnyDatabase。但它不具有备份恢复、直接操作system.*集合的权限,但是拥有root权限的超级用户可以自己给自己赋予这些权限。 - 备份恢复角色:backup、restore;
- 内部角色:__system
创建管理员角色
1、mongodb安装之后默认auth=false,即无需权限验证。若要开启权限验证,先以无验证模式进入系统,添加管理员账号,再开启权限认证。
2、切换到admin数据库,添加的账号才是管理员账号。
3、用户只能在用户所在数据库登录,包括管理员账号。
4、管理员可以管理所有数据库,但需要先在admin数据库认证后才可以。
添加管理员账号不能使用collection.insert方法,而要使用系统内置的addUser函数。使用insert插入之后,密码相当于是明文,密文是啥成了未解之谜。
> show dbs
> use admin
switched to db admin
> db.createUser({user:"wyf",pwd:"dfdddf",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})
Successfully added user: {
"user" : "wyf",
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
]
}
> show users
{
"_id" : "admin.wyf",
"user" : "wyf",
"db" : "admin",
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
]
}
> show collections
system.users
system.version
> db.system.users.find()
{ "_id" : "admin.wyf", "user" : "wyf", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "fXVPt83GEoezHh0C6JVfPw==", "storedKey" : "HeJu3T7plEoHMK2mKtwoTaMlqxk=", "serverKey" : "ofn3Em9Apfhge8IBse+zcjDPw4g=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }
添加管理员账号之后,以有权限验证模式启动服务。
[root@localhost test]# vim /etc/mongodb.conf //将auth=true前面的注释拿掉
[root@localhost test]# /etc/init.d/mongod restart //重启生效
管理员要想管理其他数据库,必须先切换到admin进行授权。
[root@localhost test]# mongo
> show dbs; //显示所有数据库失败,因为还没有认证
Wed Dec 4 06:39:50.925 listDatabases failed:{ "ok" : 0, "errmsg" : "unauthorized" } at src/mongo/shell/mongo.js:46
> db.auth('tank','test'); //认证失败,因为这个用户不属于tank这个数据库
Error: 18 { code: 18, ok: 0.0, errmsg: "auth fails" }
0
> use admin //切换到admin数据库
switched to db admin
> db.auth('tank','test'); //在admin数据库认证成功
1
> use tank; //切换到tank数据库
switched to db tank
> show collections; //不会在提示没有权限了
contact
system.indexes
users
和MySQL一样,普通用户也可以给其它用户授权,但是所授权限必定小于自身所拥有的权限。
直接修改用户密码,使用db.updateUser()
db.updateUser(
"<username>",
{
customData : { <any information> },
roles : [
{ role: "<role>", db: "<database>" } | "<role>",
...
],
pwd: "<cleartext password>"
},
writeConcern: { <write concern> }
)
参考资料
https://blog.csdn.net/jiestyle21/article/details/51819610
https://www.jb51.net/article/50546.htm
https://www.cnblogs.com/zzw1787044/p/5773178.html