mongodb用户管理和服务安装

一、忘记密码快速找回

任何系统忘记密码都是一样的操作：以无需授权的模式开启程序，然后进入系统修改权限设置，退出来重新以授权方式开启程序。MySQL是这样，MongoDB也是这样。好的系统都提供了无授权模式。为了安全，以无需授权的模式开启程序所需要的权限非常高。
首先看一下mongo的配置文件在哪

• 方法一：查看当前正在运行的mongodb的配置文件地址，ps -aux|grep mongo
• 方法二：去往服务中（linux下的/etc/init.d，windows直接通过“计算机管理”可视化查看），查看mongod命令启动参数

编辑conf文件
//找到auth=true,将其注释掉
vim /etc/mongod.conf

重启mongodb，使上面的改动生效
service mongod restart

进入mongo交互式界面
use admin
查询所有用户
db.system.users.find()
查询所有用户的正确方法
show users
你可以把现有的所有用户remove掉。我这里直接增加一个新用户
db.createUser({ user:"haha", pwd:"admin" });

以上就增加了新用户，将mongodb配置中的auth=true开启，重新启动mongodb服务。
vim /etc/mongod.conf
service mongod restart

二、windows上把mongodb安装成服务

如果不设置成服务，开发时每次都要打开mongod程序，很繁琐。服务安装很简单，使用mongod --install命令即可。但是，这个mongod需要指明一些参数，这些参数有三种方式指明：

• 安装服务时，直接在命令行中指明，如mongod --key1 value1 --key2 value2 --install
• 安装服务后，在计算机管理中可视化操作添加运行参数
• 最好的方法：通过mongod -f mongo.conf指明配置文件的位置，这样以后直接修改配置文件、重启服务就可以了。

其中，在mongo.conf文件中，必须指明logpath参数。当服务启动失败时，直接查看日志文件输出即可。当服务无法启动时，直接查看这个日志文件即可。mongo.conf中可以使用的选项通过mongod --help命令查看。

服务安装：mongod -f c:usersmemongo.conf  --install 
安装之后默认的服务名就是MongoDB，直接使用这个默认值，最好不要更改。
服务卸载：mongod --remove
服务启动：net start mongodb
服务停止：net stop mongodb

三、创建admin数据库

admin数据库中的用户具有其他数据库的管理权限，这就是admin数据库的意义。
admin数据库并非必不可少，直接

四、理解MongoDB权限机制

学习一个系统不仅仅要学习它的用法，也要领会其中的设计思想。换言之，编程不仅仅是实现需求，更要站在产品经理的角度去理解需求、分析需求。
mysql的权限机制和mongodb的权限机制几乎是一致的，和linux的文件系统权限机制也是一样的。权限分为三类：

• 基础权限
  每个文件有可读、可写、可执行等三个细节权限
  每个数据库有可读、可写等细节权限。
• 角色
  基础权限过于细碎，不容易直接处理，所以创建角色。角色就是基础权限的集合，是模板化的用户。这对应linux中的用户组。

mongodb内置角色

参考官网：http://docs.mongodb.org/manual/reference/built-in-roles/#dbAdmin

• 数据库用户角色
  针对每一个数据库进行控制。
  read :提供了读取所有非系统集合，以及系统集合中的system.indexes, system.js, system.namespaces
  readWrite: 包含了所有read权限，以及修改所有非系统集合的和系统集合中的system.js的权限.
• 数据库管理角色
  每一个数据库包含了下面的数据库管理角色。
  dbOwner：该数据库的所有者，具有该数据库的全部权限。
  dbAdmin：一些数据库对象的管理操作，但是没有数据库的读写权限。
  userAdmin：为当前用户创建、修改用户和角色。拥有userAdmin权限的用户可以将该数据库的任意权限赋予任意的用户。
• 集群管理权限
  admin数据库包含了下面的角色，用户管理整个系统，而非单个数据库。这些权限包含了复制集和共享集群的管理函数。
  clusterAdmin：提供了最大的集群管理功能。相当于clusterManager, clusterMonitor, and hostManager和dropDatabase的权限组合。
  clusterManager：提供了集群和复制集管理和监控操作。拥有该权限的用户可以操作config和local数据库（即分片和复制功能）
  clusterMonitor：仅仅监控集群和复制集。
  hostManager：提供了监控和管理服务器的权限，包括shutdown节点，logrotate, repairDatabase等。
  备份恢复权限：admin数据库中包含了备份恢复数据的角色。包括backup、restore等等。
• 所有数据库角色
  admin数据库提供了一个mongod实例中所有数据库的权限角色：
  readAnyDatabase：具有read每一个数据库权限。但是不包括应用到集群中的数据库。
  readWriteAnyDatabase：具有readWrite每一个数据库权限。但是不包括应用到集群中的数据库。
  userAdminAnyDatabase：具有userAdmin每一个数据库权限，但是不包括应用到集群中的数据库。
  dbAdminAnyDatabase：提供了dbAdmin每一个数据库权限，但是不包括应用到集群中的数据库。
• 超级管理员权限
  root: dbadmin到admin数据库、useradmin到admin数据库以及UserAdminAnyDatabase。但它不具有备份恢复、直接操作system.*集合的权限，但是拥有root权限的超级用户可以自己给自己赋予这些权限。
• 备份恢复角色：backup、restore；
• 内部角色：__system

创建管理员角色

1、mongodb安装之后默认auth=false，即无需权限验证。若要开启权限验证，先以无验证模式进入系统，添加管理员账号，再开启权限认证。
2、切换到admin数据库，添加的账号才是管理员账号。
3、用户只能在用户所在数据库登录，包括管理员账号。
4、管理员可以管理所有数据库，但需要先在admin数据库认证后才可以。

添加管理员账号不能使用collection.insert方法，而要使用系统内置的addUser函数。使用insert插入之后，密码相当于是明文，密文是啥成了未解之谜。

> show dbs
> use admin
switched to db admin
> db.createUser({user:"wyf",pwd:"dfdddf",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})
Successfully added user: {
        "user" : "wyf",
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
> show users
{
        "_id" : "admin.wyf",
        "user" : "wyf",
        "db" : "admin",
        "roles" : [
                {
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
                }
        ]
}
> show collections
system.users
system.version
> db.system.users.find()
{ "_id" : "admin.wyf", "user" : "wyf", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "fXVPt83GEoezHh0C6JVfPw==", "storedKey" : "HeJu3T7plEoHMK2mKtwoTaMlqxk=", "serverKey" : "ofn3Em9Apfhge8IBse+zcjDPw4g=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }

添加管理员账号之后，以有权限验证模式启动服务。

[root@localhost test]# vim /etc/mongodb.conf           //将auth=true前面的注释拿掉
[root@localhost test]# /etc/init.d/mongod restart      //重启生效

管理员要想管理其他数据库，必须先切换到admin进行授权。

[root@localhost test]# mongo 
> show dbs;           //显示所有数据库失败，因为还没有认证
Wed Dec  4 06:39:50.925 listDatabases failed:{ "ok" : 0, "errmsg" : "unauthorized" } at src/mongo/shell/mongo.js:46
> db.auth('tank','test');    //认证失败，因为这个用户不属于tank这个数据库
Error: 18 { code: 18, ok: 0.0, errmsg: "auth fails" }
0
> use admin        //切换到admin数据库
switched to db admin
> db.auth('tank','test');   //在admin数据库认证成功
1
> use tank;           //切换到tank数据库
switched to db tank
> show collections;   //不会在提示没有权限了
contact
system.indexes
users

和MySQL一样，普通用户也可以给其它用户授权，但是所授权限必定小于自身所拥有的权限。

直接修改用户密码，使用db.updateUser()

db.updateUser(
   "<username>",
   {
     customData : { <any information> },
     roles : [
               { role: "<role>", db: "<database>" } | "<role>",
               ...
             ],
     pwd: "<cleartext password>"
    },
    writeConcern: { <write concern> }
)

参考资料

https://blog.csdn.net/jiestyle21/article/details/51819610
https://www.jb51.net/article/50546.htm
https://www.cnblogs.com/zzw1787044/p/5773178.html