Docs 菜单
Docs 主页
/
MongoDB Manual
/ / /

$redact(聚合)

在此页面上

  • 定义
  • 示例
$redact

根据存储在文档本身中的信息,限制整个文档被输出或者文档中的内容被输出。

带有中间件和日志校订的安全体系结构图。

$redact 阶段具有以下原型形式:

{ $redact: <expression> }

该参数可以是任何有效的表达式,只要它解析为 $$DESCEND$$PRUNE$$KEEP 系统变量即可。有关表达式的更多信息,请参阅 表达式操作符。

系统变量
说明
$$DESCEND
$redact 将返回当前文档级别的字段,但不包括嵌入式文档。要在数组中包含嵌入式文档,请将 $cond 表达式应用于这些嵌入式文档,从而确定这些文档的访问权限。
$$PRUNE
$redact 会排除当前文档/嵌入式文档级别的所有字段,而无需进一步检查任何已排除的字段。即使已排除的字段包含可能具有不同访问级别的嵌入式文档,此情况依然适用。
$$KEEP
$redact 返回或保留当前文档/嵌入式文档级别的所有字段,无需进一步检查该级别的字段。即使包含的字段包括可能具有不同访问级别的嵌入式文档,这也适用。

本节的示例使用 db.collection.aggregate() 辅助函数。

forecasts 集合包含以下形式的文档,其中 tags 字段列出了该文档/嵌入式文档级别的不同访问值;即 [ "G", "STLW" ] 值指定 "G""STLW" 可以访问数据:

{
_id: 1,
title: "123 Department Report",
tags: [ "G", "STLW" ],
year: 2014,
subsections: [
{
subtitle: "Section 1: Overview",
tags: [ "SI", "G" ],
content: "Section 1: This is the content of section 1."
},
{
subtitle: "Section 2: Analysis",
tags: [ "STLW" ],
content: "Section 2: This is the content of section 2."
},
{
subtitle: "Section 3: Budgeting",
tags: [ "TK" ],
content: {
text: "Section 3: This is the content of section 3.",
tags: [ "HCS" ]
}
}
]
}

用户有权查看带有标签 "STLW""G" 的信息。要对该用户的所有年份为 2014 的文档运行查询,请添加 $redact 阶段,如下所示:

var userAccess = [ "STLW", "G" ];
db.forecasts.aggregate(
[
{ $match: { year: 2014 } },
{ $redact: {
$cond: {
if: { $gt: [ { $size: { $setIntersection: [ "$tags", userAccess ] } }, 0 ] },
then: "$$DESCEND",
else: "$$PRUNE"
}
}
}
]
);

该聚合操作返回以下 "redacted" 文档:

{
"_id" : 1,
"title" : "123 Department Report",
"tags" : [ "G", "STLW" ],
"year" : 2014,
"subsections" : [
{
"subtitle" : "Section 1: Overview",
"tags" : [ "SI", "G" ],
"content" : "Section 1: This is the content of section 1."
},
{
"subtitle" : "Section 2: Analysis",
"tags" : [ "STLW" ],
"content" : "Section 2: This is the content of section 2."
}
]
}

提示

另请参阅:

  • $size

  • $setIntersection

集合accounts包含以下文档:

{
_id: 1,
level: 1,
acct_id: "xyz123",
cc: {
level: 5,
type: "yy",
num: 000000000000,
exp_date: ISODate("2015-11-01T00:00:00.000Z"),
billing_addr: {
level: 5,
addr1: "123 ABC Street",
city: "Some City"
},
shipping_addr: [
{
level: 3,
addr1: "987 XYZ Ave",
city: "Some City"
},
{
level: 3,
addr1: "PO Box 0123",
city: "Some City"
}
]
},
status: "A"
}

在该示例文档中,level 字段确定查看数据所需的访问权限级别。

要对状态为 A所有文档运行查询并排除级别为 5 的文档/嵌入式文档中包含的所有字段,请包含在 then 字段中指定系统变量 "$$PRUNE"$redact 阶段:

db.accounts.aggregate(
[
{ $match: { status: "A" } },
{
$redact: {
$cond: {
if: { $eq: [ "$level", 5 ] },
then: "$$PRUNE",
else: "$$DESCEND"
}
}
}
]
);

$redact 阶段会对 level 字段进行求值,以确定访问权限。如果 level 字段等于 5,则排除该级别的所有字段,即使已排除的字段包含可能具有不同 level 值的嵌入式文档(例如 shipping_addr 字段)。

该聚合操作返回以下 "redacted" 文档:

{
"_id" : 1,
"level" : 1,
"acct_id" : "xyz123",
"status" : "A"
}

结果集显示,$redact 阶段排除了整个 cc 字段,包括 shipping_addr 字段,该字段包含 level 字段值等于 3 而不是 5 的嵌入式文档。

提示

另请参阅:

实施字段级日志校订以了解为同一数据设置多种访问权限组合的步骤。

后退

切换日志输出

在此页面上