인증 메커니즘.
개요
이 가이드에서는 MongoDB Community Edition에서 사용할 수 있는 각 인증 메커니즘 을 사용하여 MongoDB로 인증하는 방법을 배울 수 있습니다. 인증 메커니즘은 드라이버와 서버가 보안을 보장하기 위해 ID를 확인하고 신뢰를 구축하는 프로세스입니다.
최신 버전의 MongoDB Community Edition에서 사용할 수 있는 메커니즘은 다음과 같습니다.
Kerberos
또는 LDAP
를 사용하여 인증하려면 엔터프라이즈 인증 메커니즘 가이드 를 참조하세요.
MongoDB 클러스터로의 연결 설정에 대한 자세한 내용은 연결 가이드를 참조하세요.
인증 메커니즘 지정
다음 중 하나를 사용하여 MongoDB에 연결할 때 인증 메커니즘 및 자격 증명을 지정할 수 있습니다.
연결 문자열
MongoCredential
팩토리 메서드
연결 문자열 (또는 연결 URL)은 MongoDB 클러스터에 연결하고 인증하는 방법을 지정합니다.
연결 문자열을 사용하여 인증하려면 연결 문자열에 설정을 포함하고 MongoClient.create()
메서드에 전달하여 MongoClient
를 인스턴스화합니다. 각 섹션의 Connection String 탭에서는 연결 문자열 을 사용하여 인증하기 위한 구문을 제공합니다.
또는 MongoCredential
클래스를 사용하여 인증 세부 정보를 지정할 수 있습니다. MongoCredential
클래스에는 인증 메커니즘과 자격 증명이 포함된 인스턴스를 구성하는 정적 팩토리 메서드가 포함되어 있습니다. 헬퍼 클래스를 사용하는 경우 MongoCredential
구성 시 클래스를 MongoClientSettings.Builder
사용하여 연결 설정을 구성해야 MongoClient
합니다. 각 섹션의 MongoCredential 탭은 MongoCredential
를 사용하여 인증하기 위한 구문을 제공합니다.
이러한 클래스 및 메서드에 대한 자세한 내용은 다음 API 문서를 참조하세요.
메커니즘
기본값
기본 인증 메커니즘 설정은 MongoDB Server가 지원하는 인증 메커니즘에 따라 다음 인증 메커니즘 중 하나를 사용합니다.
SCRAM-SHA-256
SCRAM-SHA-1
MONGODB-CR
서버 버전 3.6 이하에서는 MONGODB-CR
을 기본 메커니즘으로 사용합니다. 최신 버전의 서버는 지원을 알리는 메커니즘 중 하나를 사용합니다.
다음 코드 스니펫은 다음 자리 표시자를 사용하여 인증 메커니즘을 지정하는 방법을 보여줍니다.
db_username
- MongoDB database 사용자 이름db_password
- MongoDB database 사용자의 비밀번호hostname
- 클라이언트가 액세스할 수 있는 MongoDB Server의 네트워크 주소port
- MongoDB Server의 포트 번호authenticationDb
- 사용자의 인증 데이터가 포함된 MongoDB 데이터베이스. 이 매개변수를 생략하면 드라이버는 기본값admin
을 사용합니다.
이 인증 메커니즘 지정에 대한 지침과 예제 코드를 보려면 아래 Connection String 또는 MongoCredential 탭을 선택하세요.
연결 문자열을 사용하여 기본 인증 메커니즘을 지정하려면 해당 메커니즘을 생략하세요. MongoClient
를 인스턴스화하는 코드는 다음과 유사해야 합니다.
val mongoClient = MongoClient.create("mongodb://<db_username>:<db_password>@<hostname>:<port>/?authSource=<authenticationDb>")
MongoCredential
클래스를 사용하여 기본값 인증 메커니즘 을 지정하려면 createCredential()
메서드를 사용합니다. MongoClient
를 인스턴스화하는 코드는 다음과 유사해야 합니다.
val credential = MongoCredential.createCredential( "<db_username>", "<authenticationDb>", "<db_password>".toCharArray() ) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<hostname>", "<port>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
가 지원하는 CR(챌린지-응답) 및 (솔티드 챌린지-응답 인증 메커니즘)에SCRAM MongoDB SCRAM 대한 자세한 내용은 MongoDB Server 매뉴얼의 섹션을 참조하세요.
SCRAM-SHA-256
참고
SCRAM-SHA-256
MongoDB 4.0부터 지원되는 MongoDB의 기본 인증 방법입니다.
SCRAM-SHA-256
SHA-256
알고리즘으로 암호화된 사용자 이름과 비밀번호를 사용하여 사용자를 인증하는 SCRAM(솔티드 챌린지-응답 인증 메커니즘)입니다.
다음 코드 스니펫은 다음 자리 표시자를 사용하여 인증 메커니즘을 지정하는 방법을 보여줍니다.
db_username
- MongoDB database 사용자 이름 입니다.db_password
- MongoDB database 사용자의 비밀번호입니다.hostname
- 클라이언트가 액세스할 수 있는 MongoDB Server의 네트워크 주소입니다.port
- MongoDB Server의 포트 번호입니다.authenticationDb
- 사용자의 인증 데이터가 포함된 MongoDB 데이터베이스. 이 매개변수를 생략하면 드라이버는 기본값admin
을 사용합니다.
이 인증 메커니즘 지정에 대한 지침과 예제 코드를 보려면 아래 Connection String 또는 MongoCredential 탭을 선택하세요.
연결 문자열을 사용하여 SCRAM-SHA-256
인증 메커니즘을 지정하려면 연결 문자열에서 authMechanism
매개 변수에 SCRAM-SHA-256
값을 할당합니다. MongoClient
을 인스턴스화하는 코드는 다음과 유사해야 합니다.
val mongoClient = MongoClient.create("mongodb://<db_username>:<db_password>@<hostname>:<port>/?authSource=<authenticationDb>&authMechanism=SCRAM-SHA-256")
클래스를 사용하여 기본값 인증 메커니즘 을 지정하려면 MongoCredential
createScramSha256Credential() 메서드. MongoClient
를 인스턴스화하는 코드는 다음과 유사해야 합니다.
val credential = MongoCredential.createScramSha256Credential( "<db_username>", "<authenticationDb>", "<db_password>".toCharArray() ) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<hostname>", "<port>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
SCRAM-SHA-1
참고
SCRAM-SHA-1
MongoDB 버전 3.0, 3.2, 3.4, 3.6의 기본 인증 방법입니다.
SCRAM-SHA-1
SHA-1
알고리즘으로 암호화된 사용자 이름과 비밀번호를 사용하여 사용자를 인증하는 SCRAM(솔티드 챌린지-응답 메커니즘)입니다.
다음 코드 스니펫은 다음 자리 표시자를 사용하여 인증 메커니즘을 지정하는 방법을 보여줍니다.
db_username
- MongoDB database 사용자 이름 입니다.db_password
- MongoDB database 사용자의 비밀번호입니다.hostname
- 클라이언트가 액세스할 수 있는 MongoDB Server의 네트워크 주소입니다.port
- MongoDB Server의 포트 번호입니다.authenticationDb
- 사용자의 인증 데이터가 포함된 MongoDB 데이터베이스. 이 매개변수를 생략하면 드라이버는 기본값admin
을 사용합니다.
이 인증 메커니즘 지정에 대한 지침과 예제 코드를 보려면 아래 Connection String 또는 MongoCredential 탭을 선택하세요.
연결 문자열을 사용하여 SCRAM-SHA-1
인증 메커니즘을 지정하려면 연결 문자열에서 authMechanism
매개 변수에 SCRAM-SHA-1
값을 할당합니다. MongoClient
을 인스턴스화하는 코드는 다음과 유사해야 합니다.
val mongoClient = MongoClient.create("mongodb://<db_username>:<db_password>@<hostname>:<port>/?authSource=<authenticationDb>&authMechanism=SCRAM-SHA-1")
클래스를 사용하여 기본값 인증 메커니즘 을 지정하려면 MongoCredential
createScramSha1Credential() 메서드. MongoClient
를 인스턴스화하는 코드는 다음과 유사해야 합니다.
val credential = MongoCredential.createScramSha1Credential( "<db_username>", "<authenticationDb>", "<db_password>".toCharArray() ) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<hostname>", "<port>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
MONGODB-CR
MONGODB-CR
사용자 이름과 비밀번호를 사용하여 사용자를 인증하는 챌린지-응답 인증 메커니즘입니다. 이 인증 메커니즘은 MongoDB 3.6부터 사용되지 않으며 MongoDB 4.0부터 더 이상 지원되지 않습니다.
이 메서드는 명시적으로 지정할 수 없으며 MONGODB-CR
(을)를 사용하는 기본 인증 메커니즘에서 제공하는 대체 방법을 참조하세요.
MONGODB-AWS
참고
MongoDB-AWS 인증 메커니즘은 MongoDB Atlas에 MongoDB를 배포하는 데 사용할 수 있습니다.
MONGODB-AWS
인증 메커니즘은 AWS IAM(Amazon Web Services ID 및 액세스 관리) 자격 증명을 사용하여 사용자를 인증합니다. MongoDB Atlas를 구성하는 자세한 방법은 AWS IAM 역할로 비밀번호 없는 인증 설정 가이드를 참조하세요.
드라이버에 이 인증 메커니즘을 사용하도록 지시하려면 연결 문자열의 매개변수로 또는 MongoCredential.createAwsCredential()
팩토리 메서드를 사용하여 MONGODB-AWS
를 지정할 수 있습니다.
다음 섹션에서는 이 인증 메커니즘을 지정하는 방법과 AWS IAM 자격 증명을 제공하는 다양한 방법을 알아봅니다.
이러한 섹션에는 다음 자리 표시자를 사용하는 코드 예시가 포함되어 있습니다.
awsKeyId
- AWS 액세스 키 ID의 값awsSecretKey
- AWS 시크릿 액세스 키의 값atlasUri
- MongoDB Atlas 배포의 네트워크 주소hostname
- MongoDB Atlas 배포서버의 호스트 이름port
- MongoDB Atlas 배포 포트awsSessionToken
- AWS 세션 토큰의 값
Amazon Web Services SDK
Java v1 또는 v2용 AWS SDK 중 하나를 사용하여 자격 증명을 지정할 수 있습니다. 이 메서드는 다음과 같은 기능을 제공합니다:
자격 증명을 얻기 위한 다양한 옵션
애플리케이션이 속도 제한을 예방하는 데 도움이 되는 자격 증명 캐싱
MONGODB-AWS
인증에 Java용 AWS SDK를 사용하려면 다음을 수행해야 합니다:
인증 메커니즘 지정
프로젝트에 SDK를 종속 요소로 추가하세요.
자격 증명 공급자 체인의 메서드 중 하나를 사용하여 자격 증명을 제공합니다.
MongoCredential
을 사용하여 인증 메커니즘을 지정하려면, 다음 예시와 같이 MongoCredential.createAwsCredential()
팩토리 메서드를 사용하고, MongoClient
에 MongoCredential
인스턴스를 추가합니다:
val credential = MongoCredential.createAwsCredential(null, null) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<atlasUri>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
연결 문자열에 인증 메커니즘을 지정하려면 다음 예시와 같이 이를 매개 변수로 추가합니다.
val mongoClient = MongoClient.create("mongodb://<atlasUri>?authMechanism=MONGODB-AWS")
AWS SDK를 프로젝트에 종속성으로 추가하려면 필요한 버전에 대한 다음 AWS 설명서를 참조하세요.
참고
Java v2용 AWS SDK의 경우, Java 드라이버는 현재 software.amazon.awssdk:auth:2.18.9
종속성을 사용하여 테스트를 진행 중입니다.
Java v1용 AWS SDK의 경우, Java 드라이버는 현재 com.amazonaws:aws-java-sdk-core:1.12.337
종속성을 사용하여 테스트를 진행 중입니다.
자격 증명을 제공하려면 필요한 버전에 대한 다음 AWS 설명서를 참조하세요.
드라이버가 자격 증명을 가져오는 데 사용하는 Java v2용 AWS SDK 클래스에 대해 자세히 알아보려면 DefaultCredentialsProvider API 문서를 참조하세요.
기본 자격 증명 제공자 체인 사용 섹션에서 이 클래스에 자격 증명을 제공하는 방법을 알아보세요.
드라이버가 자격 증명을 가져오는 데 사용하는 Java v1용 AWS SDK 클래스에 대해 자세히 알아보려면 DefaultAWSCredentialsProviderChain API 문서를 참조하세요.
기본 자격 증명 제공자 체인 사용 섹션에서 이 클래스에 자격 증명을 제공하는 방법을 알아보세요.
참고
프로젝트에 AWS SDK for Java의 v1 및 v2를 모두 포함하는 경우 v2 메서드를 사용하여 자격 증명을 제공해야 합니다.
환경에서 자격 증명 지정
드라이버에 MONGODB-AWS
인증 메커니즘을 사용하도록 지시하고 적절한 환경 변수를 설정하여 AWS IAM 자격 증명을 제공할 수 있습니다.
환경 변수를 사용하여 자격 증명을 제공하려면 다음을 수행해야 합니다.
인증 메커니즘 지정
적절한 환경 변수 추가
MongoCredential
을(를) 사용하거나 연결 문자열을 사용하여 인증 메커니즘을 지정할 수 있습니다.
MongoCredential
을 사용하여 인증 메커니즘을 지정하려면, 다음 예시와 같이 MongoCredential.createAwsCredential()
팩토리 메서드를 사용하고, MongoClient
에 MongoCredential
인스턴스를 추가합니다:
val credential = MongoCredential.createAwsCredential(null, null) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<atlasUri>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
연결 문자열에 인증 메커니즘을 지정하려면 다음 예시와 같이 이를 매개 변수로 추가합니다.
val mongoClient = MongoClient.create("mongodb://<atlasUri>?authMechanism=MONGODB-AWS")
다음 예시에서는 다음 유형의 인증에 대한 환경 변수를 설정하여 자격 증명을 제공하는 방법을 보여 줍니다.
프로그래밍 방식의 액세스 키
ECS 컨테이너 자격 증명
EC2 컨테이너 자격 증명
다음 예시는 bash
또는 유사한 셸을 사용하여 환경 변수에서 프로그래밍 방식 액세스 키를 설정하는 방법을 보여 줍니다:
export AWS_ACCESS_KEY_ID=<awsKeyId> export AWS_SECRET_ACCESS_KEY=<awsSecretKey> export AWS_SESSION_TOKEN=<awsSessionToken>
해당 역할에 대해 AWS 세션 토큰이 필요하지 않은 경우 AWS_SESSION_TOKEN
이 포함된 줄을 생략하세요.
ECS 컨테이너 자격 증명을 사용하여 인증하려면 다음 예와 같이 bash
또는 유사한 셸을 사용하여 환경 변수에서 ECS 엔드포인트 상대 URI를 설정합니다:
export AWS_CONTAINER_CREDENTIALS_RELATIVE_URI=<your ECS endpoint>
EC2 컨테이너 자격 증명을 사용하여 인증하려면 앞서 언급한 환경 변수가 설정되어 있지 않은지 확인하세요. 드라이버는 기본 IPv4 EC2 인스턴스 메타데이터 엔드포인트에서 자격 증명을 가져옵니다.
MongoCredential에서 자격 증명 지정하기
MongoCredential
인스턴스를 사용하여MongoClient
에 AWS IAM 자격 증명을 제공할 수 있습니다. MongoCredential
인증에 대한 MONGODB-AWS
인스턴스를 구성하려면 createAwsCredential() 팩토리 메서드를 사용합니다.
MongoCredential.createAwsCredential()
메서드에는 프로그래밍 방식 액세스 키만 제공할 수 있습니다. ECS 또는 EC2 컨테이너 자격 증명 을 제공해야 하는 경우 환경 또는 Amazon Web Services SDK에서 자격 증명 지정의 지침을 따르세요.
MONGODB-AWS
인증에 MongoCredential
을 사용하려면 다음을 수행해야 합니다.
인증 메커니즘 지정
자격 증명 부여하기
MongoCredential
을 사용하여 인증 메커니즘을 지정하려면, 다음 예시와 같이 MongoCredential.createAwsCredential()
팩토리 메서드를 사용하고, MongoClient
에 MongoCredential
인스턴스를 추가합니다:
val credential = MongoCredential.createAwsCredential("<awsKeyId>", "<awsSecretKey>".toCharArray()) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<atlasUri>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
AWS 세션 토큰을 지정해야 하는 경우 다음 예시와 같이 withMechanismProperty() 메서드에 전달합니다:
val credential = MongoCredential.createAwsCredential("<awsKeyId>", "<awsSecretKey>".toCharArray()) .withMechanismProperty("AWS_SESSION_TOKEN", "<awsSessionToken>") val settings = MongoClientSettings.builder() .applyToClusterSettings { builder: ClusterSettings.Builder -> builder.hosts( listOf(ServerAddress("<atlasUri>")) ) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
자격 증명을 새로 고치려면 다음 예와 같이 새 자격 증명을 반환하는 Supplier
lambda 표현식을 선언하면 됩니다.
val awsFreshCredentialSupplier: Supplier<AwsCredential> = Supplier { // Add your code here to fetch new credentials // Return the new credentials AwsCredential("<awsKeyId>", "<awsSecretKey>", "<awsSessionToken>") } val credential = MongoCredential.createAwsCredential("<awsKeyId>", "<awsSecretKey>".toCharArray()) .withMechanismProperty(MongoCredential.AWS_CREDENTIAL_PROVIDER_KEY, awsFreshCredentialSupplier) val settings = MongoClientSettings.builder() .applyToClusterSettings { builder -> builder.hosts(listOf(ServerAddress("<hostname>", "<port>"))) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
연결 에 Amazon Web Services IAM 자격 증명을 제공해야 하는 string 경우,MongoClientSettings
applyConnectionString() 메서드 를 호출하여 에 추가할 수 있습니다. 메서드:
val credential = MongoCredential.createAwsCredential("<awsKeyId>", "<awsSecretKey>".toCharArray()) val connectionString = ConnectionString("mongodb://<atlasUri>/?authMechanism=MONGODB-AWS&authMechanismProperties=AWS_SESSION_TOKEN:<awsSessionToken>") val settings = MongoClientSettings.builder() .applyConnectionString(connectionString) .credential(credential) .build() val mongoClient = MongoClient.create(settings)
X.509
X.509
인증 메커니즘은 X.509 인증서가 포함된 TLS를 사용하여 클라이언트 인증서의 상대 고유 이름(RDN)으로 식별되는 사용자를 인증합니다. X.509
인증 메커니즘을 지정하면 서버는 클라이언트 인증서의 주체 이름을 사용하여 연결을 인증합니다.
다음 코드 스니펫은 다음 자리 표시자를 사용하여 인증 메커니즘을 지정하는 방법을 보여줍니다.
hostname
- 클라이언트가 액세스할 수 있는 MongoDB Server의 네트워크 주소입니다.port
- MongoDB Server의 포트 번호입니다.authenticationDb
- 사용자의 인증 데이터가 포함된 MongoDB 데이터베이스. 이 매개변수를 생략하면 드라이버는 기본값admin
을 사용합니다.
이 인증 메커니즘 지정에 대한 지침과 예제 코드를 보려면 아래 Connection String 또는 MongoCredential 탭을 선택하세요.
연결 문자열을 사용하여 X.509
인증 메커니즘을 지정하려면 authMechanism
매개변수에 MONGODB-X509
값을 할당하고 tls
매개변수에 true
값을 할당하여 TLS를 활성화합니다. MongoClient
를 인스턴스화하는 코드는 다음과 유사해야 합니다.
val mongoClient = MongoClient.create("mongodb://<db_username>:<db_password>@<hostname>:<port>/?authSource=<authenticationDb>&authMechanism=MONGODB-X509&tls=true")
클래스를 사용하여 인증 메커니즘 을 X.509
MongoCredential
지정하려면 createMongoX509Credential() 메서드. 또한 활성화() enabled
true
메서드를 실행하고 SslSettings.Builder 에서 속성 을 로 설정합니다. 차단. MongoClient
을(를) 인스턴스화하는 코드는 다음과 유사해야 합니다.
val credential = MongoCredential.createMongoX509Credential() val settings = MongoClientSettings.builder() .applyToClusterSettings { builder -> builder.hosts(listOf( ServerAddress("<hostname>", "<port>")) ) } .applyToSslSettings { builder -> builder.enabled(true) } .credential(credential) .build() val mongoClient = MongoClient.create(settings)
인증서를 사용하도록 애플리케이션을 구성하는 방법과 TLS/SSL 옵션에 대한 자세한 내용은 TLS/SSL 가이드를 참조하세요.