admin数据库

新安装的MongoDB是没有账号设置,不用安全验证,任何人只要连接上服务就可以进行CRUD操作,这是非常不安全的
mongodb没有默认管理员账号,先添加管理员账号,再开启权限认证
切换到admin数据库,添加的账号才是管理员账号
管理员可以管理所有数据库,但要先在admin数据库认证后才可以管理其他数据库
MongoDB默认有一个admin数据库,admin.system.users中将会保存比在其它数据库中设置的用户权限更大的用户信息
当admin.system.users中一个用户都没有时,即使mongod启动时添加了- -auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作,直到在admin.system.users中添加了一个用户

角色与权限

角色

数据库用户角色:read、readWrite;
数据库管理角色:dbAdmin、dbOwner、userAdmin;
集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
备份恢复角色:backup、restore;
所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色:root;
内部角色:__system;

权限

权限由指定的数据库资源(resource)以及允许在指定资源上进行的操作(action)组成。
资源(resource)包括:数据库、集合、部分集合和集群;
操作(action)包括:对资源进行的增、删、改、查(CRUD)操作。
在角色定义时可以包含一个或多个已存在的角色,新创建的角色会继承包含的角色所有的权限。在同一个数据库中,新创建角色可以继承其他角色的权限,在admin数据库中创建的角色可以继承在其它任意数据库中角色的权限。
read: 允许用户读取指定数据库
readWrite: 允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,具有所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,具有所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,具有所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,具有所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,具有所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
角色权限的查看

  1. // 查询当前数据库中的角色权限
  2. db.runCommand({ rolesInfo: "<rolename>" })
  4. // 查询其它数据库中指定的角色权限
  5. db.runCommand({ rolesInfo: { role: "<rolename>", db: "<database>" } }
  7. // 查询多个角色权限
  8. db.runCommand(
  9.     {
  10.         rolesInfo: [
  11.             "<rolename>",
  12.             { role: "<rolename>", db: "<database>" },
  13.             ...
  14.         ]     
  15.     }
  16. )
  18. // 查询所有角色权限(仅用户自定义角色)
  19. db.runCommand({ rolesInfo: 1 })
  21. // 查询所有角色权限(包含内置角色)
  22. db.runCommand({ rolesInfo: 1, showBuiltinRoles: true })

创建角色

创建普通用户

  1. use foobar
  2. db.createUser(
  3.   { 
  4.     user:"foobarUser",
  5.     pwd:"foo",
  6.     roles:[{role:"readWrite",db:”foobar”}],
  7.   }
  8. )

创建用户管理员

  1. use  admin
  2. db.createUser(
  3.   { 
  4.     user:"Useradmin",
  5.     pwd:"Userpwd",
  6.     roles:["userAdminAnyDatabase"],
  7.   }
  8. )

创建数据库管理员

  1. use  admin
  2. db.createUser(
  3.   { 
  4.     user:"DbUser",
  5.     pwd:"DbPwd",
  6.     roles:["readWriteAnyDatabase", "dbAdminAnyDatabase"],
  7.   }
  8. )

查询某个数据库下的用户

  1. db.system.users.find()

删除指定用户

  1. db.dropUser(“用户名”);

用户管理员和数据库管理员区别

用户管理员具有在admin和其他数据库创建用户账户的功能
数据库管理员账户用来管理数据库、集群、复制和MongoDB的其他方面