ClientEncryption.decrypt()

在此页面上

行为

例子

ClientEncryption.decrypt(encryptedValue)

ClientEncryption.decrypt()如果encryptionValue 当前数据库连接配置为具有对 KMS (KMS ) 和用于加密的密钥保管库的访问权限，则encryptionValue 解密。

decrypt() 通过以下语法实现：

clientEncryption = db.getMongo().getClientEncryption()
clientEncryption.decrypt(encryptedValue)

必须encryptedValue 是具有子类型6 binary data 的对象使用客户端字段级加密创建。

返回：	解密的值。

行为

configured从有权访问正确 KMS (KMS ) 和密钥保管库的数据库连接发出的读取操作可以自动解密使用ClientEncryption.encrypt() 加密的字段值。客户端只需使用decrypt()来解密未存储在文档字段中的Binary子类型6值。

在数据库连接上启用客户端字段级加密

mongosh 客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接在启动时未启用客户端字段级加密，则任选以下其一：

使用 mongosh 中的 Mongo() 构造函数建立连接，并提供所需的客户端字段级加密选项。Mongo() 方法支持以下用于“客户主密钥”(KMS) 管理的“密钥管理服务”(CMK) 提供商：
or
使用 mongosh 命令行选项，用所需选项建立连接。命令行选项仅支持用于 CMK 管理的 Amazon Web Services KMS 提供商。

例子

以下示例使用本地托管的 KMS 进行客户端字段级加密配置。

为本地管理的密钥配置客户端字段级加密：

生成不带换行符的 base64 编码的 96 字节字符串
使用 mongosh 加载密钥

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

使用生成的本地密钥字符串创建客户端字段级加密对象：

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI 。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

检索ClientEncryption对象并使用ClientEncryption.decrypt()方法对ClientEncryption.encrypt()加密的值进行解密。

clientEncryption = encryptedClient.getClientEncryption();
clientEncryption.decrypt(BinData(6,"AmTi2H3xaEk8u9+jlFNaLLkC3Q/+kmwDbbWrq+h9nuv9W+u7A5a0UnpULBNZH+Q21fAztPpU09wpKPrju9dKfpN1Afpj1/ZhFcH6LYZOWSBBOAuUNjPLxMNSYOOuITuuYWo="))

如果成功， decrypt()将返回解密后的值：

"123-45-6789"

有关在启用客户端字段级加密的情况下启动 MongoDB 连接的完整文档，请参阅Mongo() 。

后退

ClientEncryption.encrypt

来年

getClientEncryption