updateUser

在此页面上

定义
兼容性
语法
命令字段
行为
必需的访问权限
例子

定义

updateUser

Updates the user's profile on the database on which you run the command. An update to a field completely replaces the previous field's values, including updates to the user's roles and authenticationRestrictions arrays.

提示

在 mongosh 中，该命令也可通过 db.changeUserPassword() 辅助方法运行。

辅助方法对 mongosh 用户来说很方便，但它们返回的信息级别可能与数据库命令不同。如果不追求方便或需要额外的返回字段，请使用数据库命令。

警告

When you update the roles array, you completely replace the previous array's values. To add or remove roles without replacing all the user's existing roles, use the grantRolesToUser or revokeRolesFromUser commands.

To update a user, you must specify the updateUser field and at least one other field, other than writeConcern.

兼容性

此命令可用于以下环境中托管的部署：

MongoDB Atlas：用于云中 MongoDB 部署的完全托管服务

重要

M0 、M2 、M5 、M10 + 和 Flex 集群不支持此命令。有关更多信息，请参阅不支持的命令。

MongoDB Enterprise：基于订阅、自我管理的 MongoDB 版本
MongoDB Community：源代码可用、免费使用且可自行管理的 MongoDB 版本

语法

该命令采用以下语法：

 db.runCommand(
    {
      updateUser: "<username>",
      pwd: passwordPrompt(),      // Or  "<cleartext password>"
      customData: { <any information> },
      roles: [
        { role: "<role>", db: "<database>" } | "<role>",
        ...
      ],
      authenticationRestrictions: [
         {
           clientSource: ["<IP>" | "<CIDR range>", ...],
           serverAddress: ["<IP>", | "<CIDR range>", ...]
         },
         ...
      ],
      mechanisms: [ "<scram-mechanism>", ... ],
      digestPassword: <boolean>,
      writeConcern: { <write concern> },
      comment: <any>
    }
)

命令字段

该命令接受以下字段：

字段	类型	说明
`updateUser`	字符串	要更新的用户的名称。
`pwd`	字符串	可选。用户的密码。该值可为：以明文字符串表示的用户密码，或 `passwordPrompt()`提示输入用户密码。您可以将 `passwordPrompt()` 方法与各种用户身份验证/管理方法/命令结合使用，以提示输入密码，而不是直接在方法/命令调用中指定密码。不过，您仍然可以像使用早期版本的 `mongo` shell 一样直接指定密码。
`customData`	文档	可选。任意信息。
`roles`	阵列	可选。授予用户的角色。 `roles`数组的更新会覆盖之前数组的值。
`writeConcern`	文档	可选。操作的写关注级别。请参阅写关注规范。
`authenticationRestrictions`	阵列	可选。服务器对用户实施的身份验证限制。指定 IP 地址和 CIDR 范围列表，允许这些地址和范围的用户连接至服务器或者服务器接受这些用户。
`mechanisms`	阵列	可选。针对用户档案的特定 SCRAM 机制。如果指定了 `authenticationMechanisms`，则只能指定部分 `authenticationMechanisms`。如果在没有密码的情况下更新机制字段，则只能指定用户当前机制的子集，并且仅保留指定机制或机制的现有用户档案。如果同时更新密码和机制，则会为用户存储一组新的档案。有效值为： `"SCRAM-SHA-1"` 使用 `SHA-1` 哈希函数。 `"SCRAM-SHA-256"` 使用 `SHA-256` 哈希函数。需将 featureCompatibilityVersion 设为 `4.0`。要求 DigestPassword 设置为 `true`。
`digestPassword`	布尔	可选。指示对密码进行摘要处理的是服务器还是客户端。 If `true` (default), the server receives undigested password from the client and digests the password. If `false`, the client digests the password and passes the digested password to the server. Not compatible with `SCRAM-SHA-256`
`comment`	any	可选。用户提供的待附加到该命令的注释。设置后，该注释将与该命令的记录一起出现在以下位置： mongod 日志消息，位于 `attr.command.cursor.comment` 字段中。 `command.comment` 字段中的数据库分析器输出。 `currentOp` 输出，在 `command.comment` 字段。注释可以是任何有效的 BSON 类型（字符串、整型、对象、数组等）。

角色

在 roles 字段中，可以指定内置角色和用户自定义角色。

要指定运行 updateUser 的同一数据库中存在的角色，可以使用角色名称指定角色：

"readWrite"

或者，可以使用文档指定角色，如下所示：

{ role: "<role>", db: "<database>" }

要指定存在于其他数据库中的角色，请使用文档指定该角色。

authenticationRestrictions

authenticationRestrictions 文档只能包含以下字段。如果 authenticationRestrictions 文档包含无法识别的字段，服务器会引发错误：

字段名称	值	说明
`clientSource`	IP 地址和/或 CIDR 范围的数组	如果存在，则在对用户进行身份验证时，服务器会验证客户端的 IP 地址是否在给定列表中或属于列表中的 CIDR 范围。如果客户端的 IP 地址不存在，服务器不会对用户进行身份验证。
`serverAddress`	IP 地址和/或 CIDR 范围的数组	客户端可以连接的 IP 地址或 CIDR 范围列表。如果存在，服务器将验证客户端的连接是否已通过给定列表中的 IP 地址接受。如果通过无法识别的 IP 地址接受连接，服务器不会对用户进行身份验证。

重要

如果用户继承的多个角色具有不兼容的身份验证限制，则该用户将不可用。

例如，如果用户继承了一个角色（其中 clientSource 字段为 ["198.51.100.0"]）和另一个角色（其中 clientSource 字段为 ["203.0.113.0"]），则服务器无法对该用户进行身份验证。

有关MongoDB中身份身份验证的更多信息，请参阅自托管部署上的身份验证。

行为

警告

默认情况下，updateUser 以明文形式将所有指定数据发送到 MongoDB 实例，即使使用 passwordPrompt() 也是如此。使用 TLS 传输加密来保护客户端和服务器之间的通信，包括 updateUser 发送的密码。有关启用 TLS 传输加密的操作说明，请参阅为 TLS/SSL 配置 mongod 和 mongos。

MongoDB 不以明文形式存储密码。仅当未启用 TLS 传输加密时，密码才会在客户端与服务器之间的传输过程中容易受到攻击。

必需的访问权限

要更新用户的 roles 数组，您必须具有包含所有数据库上的revokeRole动作的访问权限。

必须对某一角色的数据库执行 grantRole 操作才能向用户添加角色。

要更改其他用户的 pwd 或 customData 字段，必须对该用户的数据库分别执行 changePassword 和 changeCustomData 操作。

要修改自己的密码和自定义数据，您必须具有分别授予在用户数据库上执行 changeOwnPassword 和 changeOwnCustomData 动作的特权。

例子

假定在 products 数据库中有用户 appClient01，其用户信息如下：

{
   "_id" : "products.appClient01",
   "userId" : UUID("c5d88855-3f1e-46cb-9c8b-269bef957986"),
   "user" : "appClient01",
   "db" : "products",
   "customData" : { "empID" : "12345", "badge" : "9156" },
   "roles" : [
       { "role" : "readWrite",
         "db" : "products"
       },
       { "role" : "read",
         "db" : "inventory"
       }
   ],
   "mechanisms" : [
      "SCRAM-SHA-1",
      "SCRAM-SHA-256"
   ]
}

The following updateUser command completely replaces the user's customData and roles data:

use products
db.runCommand( {
   updateUser : "appClient01",
   customData : { employeeId : "0x3039" },
   roles : [ { role : "read", db : "assets" } ]
} )

products 数据库中的用户 appClient01 现在具有以下用户信息：

{
   "_id" : "products.appClient01",
   "userId" : UUID("c5d88855-3f1e-46cb-9c8b-269bef957986"),
   "user" : "appClient01",
   "db" : "products",
   "customData" : { "employeeId" : "0x3039" },
   "roles" : [
       { "role" : "read",
         "db" : "assets"
       }
   ],
   "mechanisms" : [
      "SCRAM-SHA-1",
      "SCRAM-SHA-256"
   ]
}

后退

revokeRolesFromUser

来年

usersInfo