Docs 菜单
Docs 主页
/
语言
/
Javascript
/
Node.js
/
Fundamentals
/
身份验证

身份验证机制

在此页面上

  • DEFAULT
  • SCRAM-SHA-256
  • SCRAM-SHA-1
  • MONGODB-CR
  • MONGODB-AWS
  • X.509
  • TLS/SSL 选项

在本指南中,您可找到使用 MongoDB Community Edition 中提供的每种身份验证机制连接到 MongoDB 的样本代码:DEFAULTSCRAM-SHA-256SCRAM-SHA-1MONGODB-CRMONGODB-AWSX.509

DEFAULT

DEFAULT 身份验证机制是一种后备设置,指示驱动程序按以下优先顺序协商服务器支持的第一个身份验证机制:

  1. SCRAM-SHA-256

  2. SCRAM-SHA-1

  3. MONGODB-CR

如果指定了 DEFAULT 选项,则驱动程序将首先尝试使用 SCRAM-SHA-256 进行身份验证。如果 MongoDB 实例的版本不支持该机制,则驱动程序将尝试使用 SCRAM-SHA-1 进行身份验证。如果实例也不支持该机制,则驱动程序将尝试使用 MONGODB-CR 进行身份验证。

您可以通过在连接字符串中将 authMechanism 参数设置为 DEFAULT 来指定此身份验证机制,也可以省略该参数,因为它是默认值。此外,请按以下代码所示输入用户名和密码。

重要

始终使用 encodeURIComponent 方法对用户名和密码进行 URI 编码,以确保正确解析它们。

const { MongoClient } = require("mongodb");
// Replace the following with values for your environment.
const username = encodeURIComponent("<username>");
const password = encodeURIComponent("<password>");
const clusterUrl = "<MongoDB cluster url>";
const authMechanism = "DEFAULT";
// Replace the following with your MongoDB deployment's connection string.
const uri =
  `mongodb+srv://${username}:${password}@${clusterUrl}/?authMechanism=${authMechanism}`;
// Create a new MongoClient
const client = new MongoClient(uri);
// Function to connect to the server
async function run() {
  try {
    // Establish and verify connection
    await client.db("admin").command({ ping: 1 });
    console.log("Connected successfully to server");
  } finally {
    // Ensures that the client will close when you finish/error
    await client.close();
  }
}
run().catch(console.dir);

要了解有关 MongoDB 支持的质询-响应 (CR) 和 Salted 质询-响应身份验证机制 (SCRAM) 的更多信息,请参阅手册的 SCRAM 部分。

SCRAM-SHA-256

注意

SCRAM-SHA-256 是从 MongoDB 4.0 开始使用的默认身份验证方法

SCRAM-SHA-256 是一种盐值挑战 — 响应身份验证机制 (SCRAM),使用用 SHA-256 算法加密的用户名和密码来验证用户身份。

您可通过在连接字符串中将 authMechanism 设为 SCRAM-SHA-256 值来指定此身份验证机制,如以下示例代码所示。

重要

始终使用 encodeURIComponent 方法对用户名和密码进行 URI 编码,以确保正确解析它们。

const { MongoClient } = require("mongodb");
// Replace the following with values for your environment.
const username = encodeURIComponent("<username>");
const password = encodeURIComponent("<password>");
const clusterUrl = "<MongoDB cluster url>";
const authMechanism = "SCRAM-SHA-256";
// Replace the following with your MongoDB deployment's connection string.
const uri =
  `mongodb+srv://${username}:${password}@${clusterUrl}/?authMechanism=${authMechanism}`;
// Create a new MongoClient
const client = new MongoClient(uri);
// Function to connect to the server
async function run() {
  try {
    // Establish and verify connection
    await client.db("admin").command({ ping: 1 });
    console.log("Connected successfully to server");
  } finally {
    // Ensures that the client will close when you finish/error
    await client.close();
  }
}
run().catch(console.dir);

SCRAM-SHA-1

注意

SCRAM-SHA-1 是 MongoDB 版本 3.0、3.2、3.4 和 3.6 的默认身份验证方法。

SCRAM-SHA-1 是一种盐化质询-响应机制 (SCRAM),它使用您的用户名和密码,并通过 SHA-1 算法加密,来对您的用户进行身份验证。

您可通过在连接字符串中将 authMechanism 参数设为 SCRAM-SHA-1 值来指定此身份验证机制,如以下示例代码所示。

重要

始终使用 encodeURIComponent 方法对用户名和密码进行 URI 编码,以确保正确解析它们。

const { MongoClient } = require("mongodb");
// Replace the following with values for your environment.
const username = encodeURIComponent("<username>");
const password = encodeURIComponent("<password>");
const clusterUrl = "<MongoDB cluster url>";
const authMechanism = "SCRAM-SHA-1";
// Replace the following with your MongoDB deployment's connection string.
const uri =
  `mongodb+srv://${username}:${password}@${clusterUrl}/?authMechanism=${authMechanism}`;
// Create a new MongoClient
const client = new MongoClient(uri);
// Function to connect to the server
async function run() {
  try {
    // Establish and verify connection
    await client.db("admin").command({ ping: 1 });
    console.log("Connected successfully to server");
  } finally {
    // Ensures that the client will close when you finish/error
    await client.close();
  }
}
run().catch(console.dir);

MONGODB-CR

警告

MONGODB-CR 从 MongoDB 3.6 开始已弃用,并从 MongoDB 4.0 起不再受支持

MONGODB-CR 是一种挑战-响应身份验证机制,它使用您的用户名和密码 来验证您的用户。

您可以通过在连接字符串中将 authMechanism 参数设置为值 MONGODB-CR 来指定此选项,如以下示例代码所示。

重要

始终使用 encodeURIComponent 方法对用户名和密码进行 URI 编码,以确保正确解析它们。

const { MongoClient } = require("mongodb");
// Replace the following with values for your environment.
const username = encodeURIComponent("<username>");
const password = encodeURIComponent("<password>");
const clusterUrl = "<MongoDB cluster url>";
// Replace the following with your MongoDB deployment's connection string.
const uri =
  `mongodb+srv://${username}:${password}@${clusterUrl}/?authMechanism=${authMechanism}&tls=true&tlsCertificateKeyFile=${clientPEMFile}`;
// Create a new MongoClient
const client = new MongoClient(uri);
// Function to connect to the server
async function run() {
  try {
    // Establish and verify connection
    await client.db("admin").command({ ping: 1 });
    console.log("Connected successfully to server");
  } finally {
    // Ensures that the client will close when you finish/error
    await client.close();
  }
}
run().catch(console.dir);

重要

如果您已将身份验证模式从 MONGODB-CR 升级到 SCRAM,则所有 MONGODB-CR 用户身份验证请求都会失败。

MONGODB-AWS

注意

MONGODB-AWS 身份验证机制仅适用于 MongoDB 4.4 及更高版本。

MONGODB-AWS 身份验证机制使用 Amazon Web Services Identity and Access Management (AWS IAM) 凭证对用户进行身份验证。如果你还没有 AWS 签名库,则使用以下 npm 命令进行安装:

npm install aws4

要连接到启用了 MONGODB-AWS 身份验证的 MongoDB 实例,请指定 MONGODB-AWS 身份验证机制。

驱动程序会按顺序在以下来源中检查是否存在您的档案:

  1. 连接字符串

  2. 环境变量

  3. 网络身份令牌文件

  4. AWS ECS 端点 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI

  5. AWS EC2 端点。有关更多信息,请参阅针对任务的 IAM 角色

重要

驱动程序只会按照上述列表中的顺序,从其检测到的第一个方法读取凭证。例如,如果您在连接字符串中指定了 AWS 凭证,则驱动程序将忽略您在环境变量中指定的任何凭证。

重要

检索 AWS 档案

从版本 4.11 开始,当您安装可选的 aws-sdk/credential-providers 依赖项时,驱动程序将使用 AWS SDK 从环境中检索凭证。因此,如果您有共享的 AWS 凭证文件或配置文件,驱动程序将默认使用这些凭证。

您可以通过执行下列操作之一来覆盖此行为:

  • 在 shell 中设置 AWS_SHARED_CREDENTIALS_FILE 变量以指向您的档案文件。

  • 在应用程序中设置等效的环境变量以指向您的凭证文件。

  • 为您的 MongoDB 档案创建 AWS 配置文件,并将 AWS_PROFILE 环境变量设置为该配置文件的名称。

X.509

注意

X.509 身份验证机制仅适用于 MongoDB 2.6 及更高版本。

X.509 身份验证机制使用带有 X.509 证书的 TLS,通过从客户端证书中检索标识名 (DN) 进行身份验证。

您可以通过设置连接字符串的以下参数来指定这种身份验证机制:

  • authMechanism 参数设为 MONGODB-X509

  • tls 参数设为 true

将客户端证书文件的位置作为连接 URI 参数的 tlsCertificateKeyFile 值进行传递。

重要

始终使用 encodeURIComponent 方法对证书文件路径进行 URI 编码,以确保对其进行正确解析。

const { MongoClient } = require("mongodb");
// Replace the following with values for your environment.
const clusterUrl = "<MongoDB cluster url>";
const clientPEMFile = encodeURIComponent("<path to the client pem certificate file>");
const authMechanism = "MONGODB-X509";
// Replace the following with your MongoDB deployment's connection string.
const uri =
  `mongodb+srv://${clusterUrl}/?authMechanism=${authMechanism}&tls=true&tlsCertificateKeyFile=${clientPEMFile}`;
// Create a new MongoClient
const client = new MongoClient(uri);
// Function to connect to the server
async function run() {
  try {
    // Establish and verify connection
    await client.db("admin").command({ ping: 1 });
    console.log("Connected successfully to server");
  } finally {
    // Ensures that the client will close when you finish/error
    await client.close();
  }
}
run().catch(console.dir);

TLS/SSL 选项

下表描述了可以作为连接 URI 中的参数传递的每个 TLS/SSL 选项。

参数名称
类型
默认值
说明
tls
布尔
false
指定是否使用 TLS/SSL 连接。
tlsInsecure
布尔
false
指定是否允许无效证书和错配的主机名。设置为 true 时,相当于将 tlsAllowInvalidCertificatestlsAllowInvalidHostnames 设置为 true
tlsCAFile
字符串
一个文件的路径,此文件中包含 TLS 连接中使用的单个或一组受信任证的书颁发机构。
tlsCertificateKeyFile
字符串
客户端证书文件或客户端私钥文件的路径。如果同时需要这两份文件,则必须将这两者合并为一个文件。
tlsCertificateKeyFilePassword
缓冲区或字符串
包含密码的字符串或缓冲区,该密码被用来对客户端私钥进行解密。
tlsAllowInvalidCertificates
布尔
false
指定该驱动程序是否允许使用无效证书进行连接。
tlsAllowInvalidHostnames
布尔
false
指定驱动程序是否应允许服务器主机名和 TLS 证书主机名不匹配。
← 身份验证
企业身份验证机制 →

在此页面上