你如何改变MongoDB用户权限?

Ed *_*ris 22 rbac mongodb

例如,如果我有这个用户:

> db.system.users.find()
{ "user" : "testAdmin", "pwd" : "[some hash]", "roles" : [ "clusterAdmin" ], "otherDBRoles" : { "TestDB" : [ "readWrite" ]  } }
Run Code Online (Sandbox Code Playgroud)

我想给该用户数据库的dbAdmin权限TestDB,我可以删除用户记录,然后使用新的权限将其添加回来:

> db.system.users.remove({"user":"testAdmin"})
> db.addUser( { user: "testAdmin",
                  pwd: "[whatever]",
                  roles: [ "clusterAdmin" ],
                  otherDBRoles: { TestDB: [ "readWrite", "dbAdmin" ] } } )
Run Code Online (Sandbox Code Playgroud)

但这似乎是hacky和容易出错.

我可以更新表记录本身:

> db.system.users.update({"user":"testAdmin"}, {$set:{ otherDBRoles: { TestDB: [ "readWrite", "dbAdmin" ] }}})
Run Code Online (Sandbox Code Playgroud)

但我不确定这是否真的创造了正确的权限 - 它看起来很好,但它可能是微妙的错误.

有一个更好的方法吗?

Vla*_*nov 7

阵列更新运营商.

> db.users.findOne()
{
    "_id" : ObjectId("51e3e2e16a847147f7ccdf7d"),
    "user" : "testAdmin",
    "pwd" : "[some hash]",
    "roles" : [
        "clusterAdmin"
    ],
    "otherDBRoles" : {
        "TestDB" : [
            "readWrite"
        ]
    }
}
> db.users.update({"user" : "testAdmin"}, {$addToSet: {'otherDBRoles.TestDB': 'dbAdmin'}}, false, false)
> db.users.findOne()
{
    "_id" : ObjectId("51e3e2e16a847147f7ccdf7d"),
    "user" : "testAdmin"
    "pwd" : "[some hash]",
    "roles" : [
        "clusterAdmin"
    ],
    "otherDBRoles" : {
        "TestDB" : [
            "readWrite",
            "dbAdmin"
        ]
    },
}
Run Code Online (Sandbox Code Playgroud)

更新:

MongoDB会检查每次访问的权限.如果你看到运营商db.changeUserPassword:

> db.changeUserPassword
function (username, password) {
    var hashedPassword = _hashPassword(username, password);
    db.system.users.update({user : username, userSource : null}, {$set : {pwd : hashedPassword}});
    var err = db.getLastError();
    if (err) {
        throw "Changing password failed: " + err;
    }
}
Run Code Online (Sandbox Code Playgroud)

您将看到 - 操作员更改用户的文档.

另请参阅MongoDB身份验证的system.users权限文档委派凭据

  • 很好的答案,它缺少一小块:db.system.users.update({"user":"testAdmin"},{$ addToSet:{'otherDBRoles.TestDB':'dbAdmin'}},false,false)(使用db.system.users而不是db.users) (5认同)

Vai*_*hav 6

如果您只想更新用户角色。您可以按照以下方式进行

db.updateUser( "userName",
               {

                 roles : [
                           { role : "dbAdmin", db : "dbName"  },
                           { role : "readWrite", db : "dbName"  }
                         ]
                }
             )
Run Code Online (Sandbox Code Playgroud)

注意:-这将仅覆盖该用户的角色。