身份验证机制

Overview

本指南介绍了可在C驾驶员中用于对MongoDB用户进行身份验证的机制。

SCRAM-SHA-256

SCRAM-SHA-256 ，由 RFC7677 定义 ，是运行 MongoDB v 的 MongoDB 部署上的默认身份验证机制。40或更高版本。

要使用SCRAM-SHA- 256 进行身份验证，请设立以下连接选项：

• username：要进行身份验证的用户名。在将其包含在连接 URI 中之前，对该值进行百分比编码。

• password：用于身份验证的密码。在将其包含在连接 URI 中之前，对该值进行百分比编码。

• authSource：要进行身份验证的MongoDB 数据库。默认， C驾驶员根据连接 URI 中的数据库（如果包含数据库）进行身份验证。如果不指定身份验证数据库，则会根据 admin数据库进行身份验证。

• authMechanism：设置为SCRAM-SHA-256 。

您可以使用连接字符串中的参数来设立这些选项，如以下代码示例：

const char *uri = "mongodb://<percent-encoded username>:<percent-encoded password>@<hostname>:<port>/?authMechanism=SCRAM-SHA-256&authSource=<authentication database>";
mongoc_client_t *client = mongoc_client_new(uri);

SCRAM-SHA-1

SCRAM-SHA-1 ，由 RFC5802 定义 ，是运行 MongoDB v 的 MongoDB 部署上的默认身份验证机制。 。36

要使用此机制进行身份验证，请设置以下连接选项：

• username：要进行身份验证的用户名。在将其包含在连接 URI 中之前，对该值进行百分比编码。

• password：用于身份验证的密码。在将其包含在连接 URI 中之前，对该值进行百分比编码。

• authSource：要进行身份验证的MongoDB 数据库。默认， C驾驶员根据 admin数据库进行身份验证。

• authMechanism：设置为"SCRAM-SHA-1" 。

您可以使用连接字符串中的参数来设立这些选项，如以下代码示例：

const char *uri = "mongodb://<percent-encoded username>:<percent-encoded password>@<hostname>:<port>/?authMechanism=SCRAM-SHA-1&authSource=<authentication database>";
mongoc_client_t *client = mongoc_client_new(uri);

MONGODB-X509

如果编译支持TLS 的C驾驶员程序，则C驾驶员可以向MongoDB提供 X.509客户端证书，以在 TLS 握手期间证明其身份。 MONGODB-X 509身份验证机制使用此证书对客户端进行身份验证。

要使用此机制进行身份验证，请执行以下步骤：

1. 创建 mongoc_ssl_opt_t 结构。在此结构中，设立pem_file字段设置为包含客户端证书和私钥的 .pem文件的文件路径。

2. 在连接 URI 中，设立authMechanism 连接选项设置为 "MONGODB-X509"。

以下代码示例展示了如何创建使用 MONGODB-X 509 机制进行身份验证的MongoDB客户端：

mongoc_client_t *client;
mongoc_ssl_opt_t ssl_opts = {0};
ssl_opts.pem_file = "mycert.pem";
const char *uri = "mongodb://<percent-encoded username>@<hostname>:<port>/?authMechanism=MONGODB-X509";
mongoc_client_t *client = mongoc_client_new(uri);
mongoc_client_set_ssl_opts(client, &ssl_opts);

MONGODB-AWS

MONGODB-AWS身份验证机制使用 AWS IAM（Amazon Web Services身份和访问管理）或 AWS Lambda档案对应用程序进行凭证验证。要使用此机制对应用程序进行身份验证，请先在 $external数据库上创建一个具有关联Amazon资源名称 (ARN) 的用户。然后，在连接 URI 中指定 MONGODB-AWS authMechanism。

当您使用 MONGODB-AWS 机制时， C驾驶员会尝试按列出的顺序从以下源检索您的凭证档案：

1. 传递给连接 URI 的命名参数

2. 环境变量

3. Amazon Web Services EKS AssumeRoleWithWebIdentity请求

4. ECS容器元数据

5. EC 2实例元数据

以下部分介绍如何使用C驾驶员从这些来源检索凭证，并使用它们对应用程序进行身份验证。

const char *uri = "mongodb://<AWS IAM access key ID>:<AWS IAM secret access key>@<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

const char *uri = "mongodb://<AWS IAM access key ID>:<AWS IAM secret access key>@<hostname>:<port>/?authMechanism=MONGODB-AWS&authMechanismProperties=AWS_SESSION_TOKEN:<token>");
mongoc_client_t *client = mongoc_client_new(uri);

export AWS_ACCESS_KEY_ID=<AWS IAM access key ID>
export AWS_SECRET_ACCESS_KEY=<AWS IAM secret access key>
export AWS_SESSION_TOKEN=<AWS session token>

const char *uri = "mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

export AWS_CONTAINER_CREDENTIALS_RELATIVE_URI=<URI of the ECS endpoint>

const char *uri = "mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

const char *uri = "mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

API 文档

要学习；了解有关在C驾驶员程序中对应用程序进行身份验证的更多信息，请参阅以下API文档：

• mongoc_client_t

• mongoc_uri_t