身份验证机制
Overview
在本指南中,可以了解如何使用 MongoDB Community Edition 中提供的每种身份验证机制。MongoDB 使用身份验证机制来确认身份并建立信任,确保连接之前驱动程序和服务器的安全。
要使用 GSSAPI/Kerberos或LDAP进行身份验证,请参阅企业身份验证机制基础知识页面。 要学习;了解有关建立与MongoDB 集群连接的更多信息,请参阅连接指南。
支持的机制
Go 驱动程序支持以下身份验证机制:
Go 驱动程序通过一个 Client 类型与身份验证机制建立连接。Client 类型指定了在 Credential 类型中用作连接选项的机制和凭证。若要配置这些选项,请将 Credential 类型传递给 ClientOptions 类型的 SetAuth() 方法。
以下部分将通过 MongoDB Community Edition 支持的五种机制来演示这一过程。
示例规则
每种身份验证机制都包含以下占位符:
username- 您的 MongoDB 用户名password— 您的 MongoDB 用户密码hostname- 您的 MongoDB 服务器网络地址(可由您的客户访问)port- 您的 MongoDB Server 端口号authenticationDb- 包含用户身份验证数据的 MongoDB 数据库。如果省略此选项,驱动程序将使用默认值admin。
默认
默认机制使用以下身份验证机制之一, 具体取决于服务器支持的 MongoDB 版本:
机制 | 版本 |
|---|---|
SCRAM-SHA-256 | MongoDB 4.0 及更高版本 |
SCRAM-SHA-1 | MongoDB 3.0、3.2、3.4 和 3.6 |
MONGODB-CR | MongoDB 2.6 及更早版本 |
如需指定默认身份验证机制,请省略 AuthMechanism 选项:
credential := options.Credential{ AuthSource: "<authenticationDb>", Username: "<username>", Password: "<password>", } clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>"). SetAuth(credential) client, err := mongo.Connect(context.TODO(), clientOpts)
如要进一步了解有关 MongoDB 支持的质询-响应 (CR) 和 salted 质询-响应身份验证机制 (SCRAM) ,请参阅 server 手册的 SCRAM 部分。
SCRAM-SHA-256
重要
SCRAM-SHA-256 是从 MongoDB 4.0 开始使用的 MongoDB 默认身份验证方法。
SCRAM-SHA-256 是一种挑战-响应身份验证机制 (SCRAM),使用通过 SHA-256 算法加密的用户名和密码来验证用户身份。
要指定 SCRAM-SHA-256 身份验证机制,请为 AuthMechanism 选项指定值 "SCRAM-SHA-256":
credential := options.Credential{ AuthMechanism: "SCRAM-SHA-256", AuthSource: "<authenticationDb>", Username: "<username>", Password: "<password>", } clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>"). SetAuth(credential) client, err := mongo.Connect(context.TODO(), clientOpts)
SCRAM-SHA-1
重要
SCRAM-SHA-1 是 MongoDB 版本 3.0、3.2、3.4 和 3.6 的默认身份验证方法。
SCRAM-SHA-1 是一种盐化质询-响应机制 (SCRAM),它使用您的用户名和密码,并使用 SHA-1 算法加密,来对您的用户进行身份验证。
要指定 SCRAM-SHA-1 身份验证机制,请为 AuthMechanism 选项指定值 "SCRAM-SHA-1":
credential := options.Credential{ AuthMechanism: "SCRAM-SHA-1", AuthSource: "<authenticationDb>", Username: "<username>", Password: "<password>", } clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>"). SetAuth(credential) client, err := mongo.Connect(context.TODO(), clientOpts)
MONGODB-CR
MONGODB-CR 是一种挑战-响应身份验证机制,它使用您的用户名和密码
来验证您的用户。
重要
从 MongoDB 3.6 开始,这种身份验证机制已被弃用, 从 MongoDB 4.0 开始不再支持。
MONGODB-AWS
重要
MONGODB-AWS身份验证机制仅适用于MongoDB 4.4及更高版本。
MONGODB-AWS 身份验证机制使用 Amazon Web Services Identity and Access Management (AWS IAM) 档案对用户进行身份验证。
如需指定 MONGODB-AWS 身份验证机制,请执行以下操作:
为
AuthMechanism选项指定值MONGODB-AWS为
Username选项指定accessKeyID的值为
Password选项指定secretAccessKey的值
var accessKeyID, secretAccessKey string awsCredential := options.Credential{ AuthMechanism: "MONGODB-AWS", AuthSource: "<authenticationDb>", Username: "<accessKeyID>", Password: "<secretAccessKey>", } awsIAMClient, err := mongo.Connect( context.TODO(), options.Client().SetAuth(awsCredential)) if err != nil { panic(err) } _ = awsIAMClient
如果需要指定Amazon Web Services会话令牌,请使用从假设角色请求返回的临时凭证。
要使用临时凭据,请将 AuthMechanismProperties 选项指定为 sessionToken 的值:
var sessionToken string assumeRoleCredential := options.Credential{ AuthMechanism: "MONGODB-AWS", AuthSource: "<authenticationDb>", Username: "<accessKeyID>", Password: "<secretAccessKey>", AuthMechanismProperties: map[string]string{ "AWS_SESSION_TOKEN": "<sessionToken>", }, } assumeRoleClient, err := mongo.Connect(context.TODO(), options.Client().SetAuth(assumeRoleCredential))
X.509
X.509 身份验证机制使用 TLS 以及 X.509 证书对用户进行身份验证,并由客户端证书的相对标识名 (RDN) 进行标识。当您指定 X.509 身份验证机制时,服务器将使用以下文件的路径对连接进行身份验证:
tlsCAFile其中包含在建立 TLS 连接时要信任的单个或一组证书颁发机构tlsCertificateKeyFile,它会引用客户端证书文件或客户端私钥文件的路径
如需指定 X.509 身份验证机制,请执行以下操作:
在连接字符串中为
tlsCAFile指定文件路径在连接字符串中为
tlsCertificateKeyFile指定文件路径为
AuthMechanism选项指定值"MONGODB-X509"
caFilePath := "<cafile_path>" certificateKeyFilePath := "<client_certificate_path>" uri := "mongodb://<hostname>:<port>/?tlsCAFile=%s&tlsCertificateKeyFile=%s" uri = fmt.Sprintf(uri, caFilePath, certificateKeyFilePath) credential := options.Credential{ AuthMechanism: "MONGODB-X509", } clientOpts := options.Client().ApplyURI(uri).SetAuth(credential)