一、MongoDB的用戶和角色權(quán)限簡介

為了強(qiáng)制開啟用戶訪問控制（用戶驗(yàn)證），則需要在MongoDB實(shí)例啟動時使用選項(xiàng)--auth或在指定啟動配置文件中添加auth=true。

• 啟用訪問控制：MongoDB使用的是基于角色的訪問控制（Role-Based Access Control，RBAC）來管理用戶對實(shí)例的訪問。通過對用戶授予一個或多個角色來控制用戶訪問數(shù)據(jù)庫資源的權(quán)限和數(shù)據(jù)庫操作的權(quán)限，在對用戶分配角色之前，用戶無法訪問實(shí)例。
• 角色：在MongoDB中通過角色對用戶授予相應(yīng)數(shù)據(jù)庫資源的操作權(quán)限，每個角色當(dāng)中的權(quán)限可以顯示指定，也可以通過集成其他角色的權(quán)限，或者兩者都存在的權(quán)限。
• 權(quán)限：權(quán)限由指定的數(shù)據(jù)庫（resource）以及允許在運(yùn)行資源上進(jìn)行的操作（action）組成。資源（resource）包括：數(shù)據(jù)庫、集合、部分集合和集群；操作（action）包括：對資源的增、刪、改、查（CRUD）操作。

在角色定義時可以包含一個或多個已存在的角色，新創(chuàng)建的角色會繼承包含的角色所有的權(quán)限。在同一個數(shù)據(jù)庫中，新創(chuàng)建角色可以繼承其他角色的權(quán)限，在admin數(shù)據(jù)庫中創(chuàng)建的角色可以繼承在其它任意數(shù)據(jù)庫中的角色的權(quán)限。

角色權(quán)限的查看，可以通過如下的命令進(jìn)行查看：

# 查詢所有角色權(quán)限(僅用戶自定義角色)
> db.runCommand({ rolesInfo: 1 })

# 查詢所有角色權(quán)限(包含內(nèi)置角色)
> db.runCommand({ rolesInfo: 1, showBuiltinRoles: true })

# 查詢當(dāng)前數(shù)據(jù)庫中的某角色的權(quán)限
> db.runCommand({ rolesInfo: “<rolename>” })

# 查詢其它數(shù)據(jù)庫中指定的角色權(quán)限
> db.runCommand({ rolesInfo: { role: “<rolename>”, db: “<database>” } }

# 查詢多個角色權(quán)限
> db.runCommand({
rolesInfo: [
“<rolename>”, { role: “<rolename>”, db: “<database>” },
…
]
})