authorization of mongoDB3.4

最新推荐文章于 2024-12-15 17:07:52 发布
转载 最新推荐文章于 2024-12-15 17:07:52 发布 · 1.4k 阅读 · 0

本文介绍了如何在MongoDB 3.4中设置授权参数并创建用户,通过修改配置文件实现安全验证,并提供了使用C++驱动进行认证的示例代码。

如果在程序中,要带口令访问mongoDB, 需要设置mongoDB的授权参数,建立用户等操作。
看到人家已经做好了这个实验, 自己也验证了一下。
发现了一个小坑,/etc/mongod.conf中是新语法,是有层级的,下一个层级的内容开始位置不要用\t,而是2个空格才生效。刚装完的mongoDB3.4的mongod.conf中有些例子,才知道要用2个空格代替\t.

虽然旧语法也能用在mongod.conf中,也好使。但是为了避免未知坑,还是用新语法。
要跟着官方文裆,测试用例,示例走,才能少入坑。

实验

设置mongodb3.4的授权

对应的mongo-cxx-driver版本为3.1.1

> use admin
switched to db admin

> db.createUser({ user: "admin", pwd: "adminpassword", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] })
Successfully added user: {
    "user" : "admin",
    "roles" : [
        {
            "role" : "userAdminAnyDatabase",
            "db" : "admin"
        }
    ]
}

> db.auth("admin", "adminpassword")
1

> exit
bye

sudo vi /etc/mongod.conf
add code below after #security:

// authorization前面是2个空格, 不能是\t
#security:
security:
  authorization: enabled

# not below, don't table key, need 2 space
#security:
#   authorization: enabled

sudo service mongod restart
now mongod error, not start
if mongod was run, info below

sudo service mongod status
[ ok ] Checking status of database: mongod running.


sudo service mongod status
[FAIL] Checking status of database: mongod apparently not running failed!

///////////////////////////////////////
back to mongo

> use admin
switched to db admin

> db.auth("admin", "adminpassword")
1

> use test
switched to db test

> db.createUser({ user: "test_usr", pwd: "test_pwd", roles: [{ role: "dbOwner", db: "test" }] })
Successfully added user: {
    "user" : "test_usr",
    "roles" : [
        {
            "role" : "dbOwner",
            "db" : "test"
        }
    ]
}

> db.auth("test_usr", "test_pwd")
1

> show collections
fs.chunks
fs.files

// the author uri is below
mongodb://youruser:yourpassword@localhost/yourdatabase
mongodb://test_usr:test_pwd@localhost/test

写测试程序进行带口令登录验证

只有增删改查时,才会用到用户登录后的权限。
如果不带口令登录,不是一上来就报错,而是要增删改查时,才抛未登录异常。

bool class_mongo_opt::test()
{
    bool b_rc = false;
    std::string errmsg;
    int i_bp_index = 0;

    printf(">> class_mongo_opt::test() v1.0.0.1\n");
    try {
        // https://docs.mongodb.com/master/reference/connection-string/
        // mongodb://192.168.2.60:27017
        // mongodb://test_usr:test_pwd@localhost/test


        // mongocxx::exception& ex = not authorized on test to execute command { aggregate: "restaurants", pipeline: [ { $group: { _id: "$borough", count: { $sum: 1 } } } ], cursor: {} }: generic server error

        printf("bp = %d\n", i_bp_index++);
        mongocxx::instance inst{}; // This should be done only once.
        printf("bp = %d\n", i_bp_index++);

        // 无认证的写法
        mongocxx::client conn{mongocxx::uri{}};

        // 有认证的写法
        /*
        mongocxx::uri uri("mongodb://test_usr:test_pwd@localhost:27017/test");
        mongocxx::client conn(uri);
        */

        printf("bp = %d\n", i_bp_index++);
        auto db = conn["test"];

        // Group documents by field and calculate count.
        {
            // @begin: cpp-group-documents-by-a-field-and-calculate-count
            printf("1 bp = %d\n", i_bp_index++);
            mongocxx::pipeline stages;
            printf("bp = %d\n", i_bp_index++);
            bsoncxx::builder::stream::document group_stage;

            printf("bp = %d\n", i_bp_index++);
            group_stage << "_id"
                        << "$borough"
                        << "count" << open_document << "$sum" << 1 << close_document;

            printf("bp = %d\n", i_bp_index++);
            stages.group(group_stage.view());

            printf("bp = %d\n", i_bp_index++);
            auto cursor = db["restaurants"].aggregate(stages);

            printf("8 bp = %d\n", i_bp_index++);
            // mongocxx::exception& ex = not authorized on test to execute command { aggregate: "restaurants", pipeline: [ { $group: { _id: "$borough", count: { $sum: 1 } } } ], cursor: {} }: generic server error
            // cursor 遍历时,需要登录数据库后才有权限
            for (auto&& doc : cursor) {
                printf("10 bp = %d\n", i_bp_index++);
                std::cout << bsoncxx::to_json(doc) << std::endl;
            }
            // @end: cpp-group-documents-by-a-field-and-calculate-count
        printf("9 bp = %d\n", i_bp_index++);
        }

        // Filter and group documents.
        {
            // @begin: cpp-filter-and-group-documents
            printf("3 bp = %d\n", i_bp_index++);
            mongocxx::pipeline stages;
            printf("bp = %d\n", i_bp_index++);
            bsoncxx::builder::stream::document match_stage, group_stage;

            printf("bp = %d\n", i_bp_index++);
            match_stage << "borough"
                        << "Queens"
                        << "cuisine"
                        << "Brazilian";

            printf("bp = %d\n", i_bp_index++);
            group_stage << "_id"
                        << "$address.zipcode"
                        << "count" << open_document << "$sum" << 1 << close_document;

            printf("bp = %d\n", i_bp_index++);
            stages.match(match_stage.view()).group(group_stage.view());

            printf("bp = %d\n", i_bp_index++);
            auto cursor = db["restaurants"].aggregate(stages);

            printf("bp = %d\n", i_bp_index++);
            for (auto&& doc : cursor) {
                printf("bp = %d\n", i_bp_index++);
                std::cout << bsoncxx::to_json(doc) << std::endl;
            }
            // @end: cpp-filter-and-group-documents
        printf("4 bp = %d\n", i_bp_index++);
        }

        b_rc = true;
    }
    /*
    catch(mongocxx::exception& ex) {
        printf("mongocxx::exception& ex = %s\n", ex.what());
        b_rc = false;
    }
    */

    catch(std::exception& ex) {
        errmsg = ex.what();
        printf("exception : %s\n", errmsg.c_str());
        b_rc = false;       
    }

    catch(...) {
        printf("catch...\n");
        b_rc = false;       
    }
    return b_rc;
}
LostSpeed
关注
等保测评MongoDB数据库
m0_60936698的博客
08-01 2190
1.启动 MongoDB mongod --port 27017 --dbpath /data/db1 2.检查权限 ps -ef | egrep "^MongoDB.*$" 如果没有返回行,则权限存在问题。2)检查配置文件参数 cat /etc/mongod.conf |grep –A10 "auditLog" | grep "filter" 检查结果是否符合设置,如果不符需要修复。根据《GBT28448-2019信息安全技术 网络安全等级保护测评要求》,此项测评对象不包含数据库管理系统,此项不适用。
mongo-express远程代码执行(CVE-2019-10758)漏洞复现(msfvenom/wget,反弹shell)
negnegil的博客
09-07 4664
mongo-express mongo-express是一个MongoDB的Admin Web管理界面,基于NodeJS、Express、Bootstrap3开源编写 漏洞介绍 在开启了端口8081后,攻击者可以直接访问,而目标服务器上没有修改默认的登录密码admin/pass,则攻击者可以远程执行node.js代码 复现环境 mongo-express 0.53.0 MongoDB Version 3.4.24 漏洞环境搭建 采用github开源docker漏洞环境搭建而成 项目地址: https:/
mongodb 启用身份验证
Mori技术客栈
07-11 1000
mongodb 身份验证默认是禁用的,因此如果要启用身份验证需要在启动时指定--auth来启用身份验证 :mongod --auth所以在启用身份验证前你至少需要有一个用户。这个用户来负责创建和管理其他用户    mongodb 可用的角色有下面几种read:指定数据库里所有集合的只读访问readWrite: 指定数据库中任意集合的读写访问dbAdmin: 用户可以在指定数据库中执行管理操作,包括...
mongodb授权登录
weixin_30608131的博客
02-03 129
mongodb版本为3.2(目前最新),演示的是linux下的mongodb授权认证 第一次登录不启动授权(mongo默认不启动)    ./mongod --dbpath=/home/db/data --logpath=/home/db/logs/mongodb.log   接着使用 ./mongo 命令连接数据库 ./mongo   切换到admin数...
MongoDB 基本操作-授权
计划好了再娶吧
08-31 1433
整理一下MongoDB命令行基本操作,时间一长就容易忘。几个月前专门查过资料,几个月想在命令行查看一些东西,却莫名报出一堆错误,错误很熟悉可就是忘了 怎么解决。 好记性,不如优快云。 我的系统环境是 CentOS 7.6 我手贱, 安装时候设置了权限认证,本来对于MongoDB数据库的访问是不需要登录名和密码的,这部分主要也是对权限设置的整理。 ...
mongodb 监控权限_MongoDB 安全和访问权限控制
weixin_36040584的博客
12-24 529
MongoDB的访问控制能够有效保证数据库的安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录一,访问控制的参数1,绑定IP地址mongod 参数:--bind_ip默认值是所有的IP地址都能访问,该参数指定MongoDB对外提供服务的绑定IP地址,用于监听客户端Application的连接,客户端只能使用绑定的IP地址才能访问mongod,其他IP地址...
MongoDB的安全认证详解
Innocence_0的博客
02-29 4286
内置角色只能控制User在DB级别上执行的操作,管理员可以创建自定义角色,控制用户在集合级别(Collection-Level)上执行的操作,即,控制User在当前DB的特定集合上执行特定的操作。Scope:角色作用的范围,创建在Admin中的角色,能够在其他DB中使用;在其他DB中创建的角色,只能在当前DB中使用;Resource:角色控制的资源,表示授予在该资源上执行特定操作的权限;
mongodb 3.4下远程连接认证失败的解决方法
09-09
MongoDB 3.4版本中,远程连接时认证失败是数据库管理员和开发者经常会遇到的问题。该问题可能是由于多种原因导致的,比如认证机制的设置、用户权限的配置等。为了解决MongoDB 3.4下远程连接认证失败的问题,我们...
Mongodb3.4离线升级到4.2
ITRugod的博客
06-25 1362
声明:这是我在大学毕业后进入第一家互联网工作学习的内容 背景 生产环境使用的mongodb用的是4.2,线下开发测试环境一直用的是3.4,有需求要用到mongodb的新特性,准备开始升级。 调查 由于是线下环境的升级,所以暂时关闭mongodb没有影响,如果是生产环境在线升级建议找下其他文档。 直接升级 官方说明服务升级需要上一个特定版本 如果按照官方来做,我需要先升级3.43.6 再从3.6升级到4.0 最后从4.0升级到4.2 emmmmmm,人傻了 删除重装 调研了网上的文档,没找到用这种方式.
修复 Mac brew 安装 mongodb 报 Error: No available formula with the name ‘mongodb’ 问题详解
09-08
authorization: enabled ``` 保存并重启MongoDB服务,以使更改生效。通过这些步骤,你将能够成功安装MongoDB,并确保其在运行时具有适当的访问控制和安全设置。这个过程适用于任何遇到相同错误的Mac用户,帮助他们...
Authorization Security for Mongodb
weixin_30410119的博客
06-01 130
To keep security for the mongodb server, we can create an authorized machanism. db.createUser( { user: "user1", pwd: "passwd", roles:[{"role": "userAdminAnyDataba...
mongodb授权认证 介绍
weixin_30802171的博客
11-05 154
mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth 官方文档:https://docs.mongodb.com/manual/tutorial/enable-authentication/ db....
MongoDB系列】3. MongoDB 安全策略:验证和授权
昆吾kw的博客
08-29 2228
前面文章中通过客户端工具(MongoDB Shell、Robo 3T)连接 MongoDB 服务时,只要有 IP 地址和端口号,就能连接到数据库,之后就能操作数据库。这是因为默认安装的 MongoDB 没有启用身份验证,也没有设置初始用户名和密码。然而这会导致很多数据安全问题。MongoDB 提供了多种方式来提高数据库的安全性,例如身份验证访问控制加密等。本文主要介绍 MongoDB 提供的内置角色和权限,然后通过开启身份验证,为用户指定不同的访问权限,来提供数据库的安全性。
MongoDB安全认证
Kiven_ch的博客
08-07 780
安全认证概述   MongoDB 默认是没有账号的,可以直接连接,无须身份验证。实际项目中肯定是要权限验证的,否则后果不堪设想。从2016年开始 发生了多起MongoDB黑客赎金事件,大部分MongoDB安全问题 暴露出了安全问题的短板其实是用户,首先用户对于数据库的安全不重视,其次用户在使用过程中可能没有养成定期备份的好习惯,最后是企业可能缺乏有经验和技术的专业人员。所以对MongoDB进行安全认证是必须要做的。 用户相关操作 切换到admin数据库对用户的添加 use admin; db.createU
Mongodb 启用认证
江江的博客
12-15 2027
确保 mongod.conf 中已启用认证(即 authorization: enabled)。在 MongoDB 配置文件中(通常为 mongod.conf),需要启用认证功能。如果数据库未启用用户认证,可以先以无认证模式启动 MongoDB,创建管理员用户。如果需要对特定数据库的访问权限进行限制,可以创建普通用户。
MongoDB 权限 linux环境
weibeixu的博客
04-22 328
完事后, sudo systemctl restart mongod 重启一下MongoDB。上面是新建超级管理员,啥权限都有,要新建其他管理员的,去别人的文章看看。二、sudo vi /etc/mongod.conf。1.bindIp改成上面的,这样本地就能连接远程。修改MongoDB的配置文件,保存退出。一、进入MongoDBmongo。输入上面的内容,这样就表示开启了权限。返回1就是登录成功,然后就可以操作了。测试账号是否有用,返回1就是有用。然后重新进入mongo
MongoDB设置登录账号,密码及权限
weixin_45167444的博客
05-19 9630
readAnyDatabase(在所有数据库上都有读取数据的权限)、readWriteAnyDatabase(在所有数据库上都有读写数据的权限)、userAdminAnyDatabase(在所有数据库上都有管理user的权限)、dbAdminAnyDatabase(管理所有数据库的权限);:clusterAdmin(管理机器的最高权限)、clusterManager(管理和监控集群的权限)、clusterMonitor(监控集群的权限)、hostManager( 管理Server);
mongodb 开启权限控制
____
07-11 1591
问题 安装了mongodb之后,发现了一个问题,创建一个普通的read权限用户,他居然可以删除 root账号,而且任意创建各种账号修改各种账号。。。傻眼,这样怎么能用。 解决 修改配置文件 ,将 security.authorization 改为 enabled,默认值是 disabled,然后重启mongo 官方文档:https://docs.mongodb.com/manual/referen...
MongoDB的权限验证
weixin_45568648的博客
11-06 1115
开启验证 需要在mongod.conf需要开启认证 在启动的时候需要加入–auth开启认证 # 1在启动的时候需要加入--auth开启认证 mongod -f /etc/mongod.conf --auth 配置文件里配置 security: #开启授权认证 authorization: enabled 创建用户: db.createUser({user:"myroot",pwd:"123456",roles:[ { "role" : "root", "db" : "admin" }
spring-boot-starter-oauth2-authorization-server 3.4 集成企业微信扫码登录
最新发布
03-25
<think>好的,我现在需要帮助用户解决如何集成Spring Boot Starter OAuth2 Authorization Server 3.4与企业微信实现扫码登录的问题。首先,我需要回忆一下相关的知识,确保自己理解用户的需求和正确的技术路径。 用户提到的是OAuth2 Authorization Server 3.4版本,这应该是Spring Authorization Server项目,因为Spring官方已经不再维护Spring Security OAuth,转而推荐使用Spring Authorization Server。企业微信的扫码登录属于OAuth2的流程,所以需要将Authorization Server配置为企业微信的OAuth2客户端,同时处理回调、用户认证等步骤。 首先,我需要确定所需的依赖项。用户使用的是Spring Boot,所以应该添加Spring Authorization Server和Spring Security相关的starter。另外,可能还需要Spring Web和Thymeleaf(如果前端需要页面的话)。不过企业微信扫码登录通常涉及后端处理回调,所以可能不需要前端模板,但可能需要配置一些端点。 接下来,配置Authorization Server。需要定义RegisteredClientRepository、AuthorizationServerSettings,以及配置SecurityFilterChain来设置OAuth2的相关端点。这里需要注册企业微信作为客户端,填写client-id、client-secret、redirect-uri等。企业微信的OAuth2配置可能需要特定的授权范围和令牌端点,需要查阅企业微信的文档获取正确的URL,比如授权端点和令牌端点的路径。 然后,处理用户认证。用户扫码后,企业微信会回调到我们的redirect-uri,通常需要处理授权码,获取access token,然后获取用户信息。这里可能需要自定义UserDetailsService,将企业微信返回的用户信息转换为系统内的用户凭证。同时,可能需要实现OAuth2UserService来加载用户信息。 另外,需要配置Spring Security的安全策略,允许公开授权端点和回调端点,同时保护其他端点。可能需要自定义登录页面,或者直接重定向到企业微信的扫码页面。 可能遇到的问题包括:配置client-authentication-method为client_secret_post或client_secret_basic,企业微信可能要求特定的认证方式;redirect-uri需要与企业微信后台配置的一致;scope需要正确设置以获取用户信息;还有处理用户信息的方式,可能需要自定义OAuth2UserService来解析企业微信返回的数据。 然后,我需要检查是否遗漏了任何步骤,比如是否需要配置JWT或者Token的生成方式,但用户的问题主要是扫码登录,可能默认使用Opaque Token,或者根据需求配置JWT。不过企业微信的集成可能只需要标准的OAuth2流程,不需要修改Token的生成方式。 最后,需要提供配置示例和依赖说明,确保用户能够按照步骤操作。可能还需要提醒用户替换实际参数,如corp-id、secret、redirect-uri等,并检查企业微信的应用配置是否正确。 总结步骤: 1. 添加依赖:Spring Authorization Server, Spring Security, Spring Web。 2. 配置Authorization Server的RegisteredClient,使用企业微信的客户端信息。 3. 配置SecurityFilterChain,设置OAuth2端点和安全规则。 4. 实现UserDetailsService,可能关联本地用户数据。 5. 处理回调,获取用户信息,可能需要自定义OAuth2UserService。 6. 测试整个流程,确保扫码登录成功。 现在需要将这些步骤整理成结构化的回答,包含配置代码示例和依赖说明,同时确保引用正确的引用来源,比如引用[1]和[2]中提到的UserDetailsService的配置,可能需要结合到回答中。</think>### 分步实现企业微信扫码登录集成 #### 1. 添加依赖 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-oauth2-authorization-server</artifactId> <version>3.4.0</version> </dependency> ``` #### 2. 配置企业微信客户端信息 ```java @Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient qywxClient = RegisteredClient.withId("qywx") .clientId("企业微信CORP_ID") .clientSecret("{noop}企业微信SECRET") .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC) .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE) .redirectUri("https://your-domain.com/login/oauth2/code/qywx") .scope(new OAuth2Scope("snsapi_login")) .clientSettings(ClientSettings.builder() .requireAuthorizationConsent(false) .build()) .build(); return new InMemoryRegisteredClientRepository(qywxClient); } ``` #### 3. 配置Authorization Server端点 ```java @Bean @Order(1) public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception { OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http); http.getConfigurer(OAuth2AuthorizationServerConfigurer.class) .oidc(Customizer.withDefaults()); http.exceptionHandling(exceptions -> exceptions.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login")) ); return http.build(); } @Bean public AuthorizationServerSettings authorizationServerSettings() { return AuthorizationServerSettings.builder() .issuer("https://your-domain.com") .build(); } ``` #### 4. 实现用户关联逻辑(需自定义) ```java @Component public class QywxOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> { @Override public OAuth2User loadUser(OAuth2UserRequest request) throws OAuth2AuthenticationException { // 调用企业微信API获取用户信息 String userInfoUrl = "https://qyapi.weixin.qq.com/cgi-bin/user/getuserinfo?access_token=" + request.getAccessToken().getTokenValue(); // 解析用户信息并关联本地账户 // 返回包含权限信息的UserDetails对象 return new DefaultOAuth2User(...); } } ``` #### 5. 配置安全策略 ```java @Bean @Order(2) public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/login/**").permitAll() .anyRequest().authenticated() ) .oauth2Login(oauth2 -> oauth2 .userInfoEndpoint(userInfo -> userInfo .userService(qywxOAuth2UserService) ) ); return http.build(); } ``` ### 企业微信端配置要点 1. 登录企业微信后台 > 应用管理 > 创建扫码登录应用 2. 设置授权回调域为`your-domain.com` 3. 获取`CORP_ID`和`SECRET`填入客户端配置 ### 测试流程 1. 访问`/oauth2/authorize?response_type=code&client_id=CORP_ID&scope=snsapi_login` 2. 重定向到企业微信扫码页面 3. 扫码成功后回调到配置的redirect_uri 4. 系统自动完成用户关联与登录[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值