MongoDB：数据库角色权限

1. 理解Admin数据库

新安装的MongoDB是没有账号设置，不用安全验证，任何人只要连接上服务就可以进行CRUD操作，这是非常不安全的。

所以我们需要对MongoDB进行设置账号，来控制对数据库的访问。

mongodb没有默认管理员账号，先添加管理员账号，再开启权限认证

切换到admin数据库，添加的账号才是管理员账号

管理员可以管理所有数据库，但要先在admin数据库认证后才可以管理其他数据库

MongoDB默认有一个admin数据库，admin.system.users中将会保存比在其它数据库中设置的用户权限更大的用户信息

当admin.system.users中一个用户都没有时，即使mongod启动时添加了- -auth参数，如果没有在admin数据库中添加用户，此时不进行任何认证还是可以做任何操作，直到在admin.system.users中添加了一个用户

2. 角色与权限

Mongodb的授权采用了角色授权的方法，每个角色包括一组权限

Mongodb已经定义好了的角色叫内建角色，我们也可以自定义角色

MongoDB角色有：

• 数据库用户角色：read、readWrite;
• 数据库管理角色：dbAdmin、dbOwner、userAdmin；
• 集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager；
• 备份恢复角色：backup、restore；
• 所有数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
• 超级用户角色：root；
• 内部角色：__system；

MongoDB权限：

• read: 允许用户读取指定数据库
• readWrite: 允许用户读写指定数据库
• dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile
• userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
• clusterAdmin：只在admin数据库中可用，具有所有分片和复制集相关函数的管理权限。
• readAnyDatabase：只在admin数据库中可用，具有所有数据库的读权限
• readWriteAnyDatabase：只在admin数据库中可用，具有所有数据库的读写权限
• userAdminAnyDatabase：只在admin数据库中可用，具有所有数据库的userAdmin权限
• dbAdminAnyDatabase：只在admin数据库中可用，具有所有数据库的dbAdmin权限。
• root：只在admin数据库中可用。超级账号，超级权限

3. 创建角色

创建普通用户：

>use  foobar
>db.createUser(
  { user:"foobarUser",
    pwd:"foo",
    roles:[{role:"readWrite",db:”foobar”}],
  }
  )
           

创建用户管理员：

>use  admin
>db.createUser(
  { user:"Useradmin",
    pwd:"Userpwd",
    roles:["userAdminAnyDatabase"],
  }
  )
           

创建数据库管理员：

use  admin
db.createUser(
  { user:"DbUser",
    pwd:"DbPwd“,roles:["readWriteAnyDatabase", "dbAdminAnyDatabase"]
  }
  );
           

查询某个数据库下的用户：

删除指定用户：

用户管理员和数据库管理员区别：

• 用户管理员具有在admin和其他数据库创建用户账户的功能
• 数据库管理员账户用来管理数据库、集群、复制和MongoDB的其他方面