Visão geral
Neste guia, você aprenderá a usar cada mecanismo de autenticação disponível no MongoDB Community Edition. O MongoDB usa mecanismos de autenticação para confirmar uma identidade e estabelecer confiança para garantir a segurança no driver e no servidor antes da conexão.
Para autenticar usando GSSAPI/Kerberos ou LDAP, consulte a página de fundamentos do Enterprise Authentication Mechanisms . Para saber mais sobre como estabelecer uma conexão com seu Cluster MongoDB , consulte o Guia de Conexão.
Mecanismos compatíveis
O driver Go é compatível com os seguintes mecanismos de autenticação:
O Driver Go estabelece uma conexão com um mecanismo de autenticação por meio de um tipo Cliente. O tipo Client especifica o mecanismo e as credenciais a serem usados como opções de conexão em um tipo Credencial. Para configurar essas opções, passe um tipo Credential para o método SetAuth() do tipo ClientOptions.
As seções abaixo demonstram este processo ao usar os cinco mecanismos compatíveis com o MongoDB Community Edition.
Exemplos de convenções
Cada mecanismo de autenticação contém os seguintes placeholders:
db_username- Seu nome de usuário do banco de dados do MongoDBdb_password- A senha do usuário do banco de dados MongoDBhostname- Seu endereço de rede de servidores MongoDB, acessível por seu clienteport- Número da porta dos servidores MongoDBauthenticationDb- Seu banco de dados MongoDB que contém os dados de autenticação do usuário. Se omitir esta opção, o condutor utiliza o valor predefinidoadmin.
Default
O mecanismo padrão usa um dos seguintes mecanismos de autenticação, dependendo das versões do MongoDB compatíveis com o seu servidor:
Mecanismo | Versões |
|---|---|
| MongoDB 4.0 e mais recente |
| MongoDB 3.0, 3.2, 3.4 e 3.6 |
| MongoDB 2.6 e mais antiga |
Para especificar o mecanismo de autenticação padrão, omita a opção AuthMechanism:
credential := options.Credential{ AuthSource: "<authenticationDb>", Username: "<db_username>", Password: "<db_password>", } clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>"). SetAuth(credential) client, err := mongo.Connect(context.TODO(), clientOpts)
Para saber mais sobre os mecanismos de autenticação de resposta e desafio (CR) e mecanismos de autenticação de resposta e desafio baseada em senha (SCRAM) que o MongoDB suporta, consulte a seção SCRAM do manual do servidor.
SCRAM-SHA-256
Importante
SCRAM-SHA-256 é o método de autenticação padrão para o MongoDB começando no MongoDB 4.0.
SCRAM-SHA-256 é um mecanismo de autenticação de desafio-resposta (SCRAM) que usa seu nome de usuário e senha do banco de dados, criptografados com o algoritmo SHA-256 para autenticar seu usuário.
Para especificar o mecanismo de autenticação SCRAM-SHA-256, atribua à opção AuthMechanism o valor "SCRAM-SHA-256":
credential := options.Credential{ AuthMechanism: "SCRAM-SHA-256", AuthSource: "<authenticationDb>", Username: "<db_username>", Password: "<db_password>", } clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>"). SetAuth(credential) client, err := mongo.Connect(context.TODO(), clientOpts)
SCRAM-SHA-1
Importante
SCRAM-SHA-1 é o método de autenticação padrão para as versões 3.0, 3.2, 3.4 e 3.6. do MongoDB.
SCRAM-SHA-1 é um mecanismo de desafio-resposta (SCRAM) que utiliza seu nome de usuário e senha, criptografados usando o algoritmo do SHA-1, para autenticar seu usuário.
Para especificar o mecanismo de autenticação SCRAM-SHA-1, atribua à opção AuthMechanism o valor "SCRAM-SHA-1":
credential := options.Credential{ AuthMechanism: "SCRAM-SHA-1", AuthSource: "<authenticationDb>", Username: "<db_username>", Password: "<db_password>", } clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>"). SetAuth(credential) client, err := mongo.Connect(context.TODO(), clientOpts)
MONGODB-CR
MONGODB-CR é um mecanismo de autenticação de resposta e desafio que usa seu nome de usuário e senha para autenticar seu usuário.
Importante
Esse mecanismo de autenticação começou a ficar obsoleto no MongoDB 3.6 e não é mais compatível no MongoDB 4.0.
MONGODB-AWS
Importante
O mecanismo de autenticação MONGODB-AWS está disponível somente nas versões 4.4 e mais recentes do MongoDB.
O mecanismo de autenticação do MONGODB-AWS utiliza suas credenciais do Amazon Web Services Identity and Access Management (AWS IAM) para autenticar o usuário.
Para se conectar a uma instância do MongoDB com a autenticação MONGODB-AWS habilitada, especifique o mecanismo de autenticação MONGODB-AWS.
O driver verifica suas credenciais nas seguintes fontes na ordem listada:
Connection string.
Variáveis de ambiente.
Arquivo de token de identidade da Web.
Amazon Web Services ECS endpoint especificado na variável de ambiente do
AWS_CONTAINER_CREDENTIALS_RELATIVE_URI.Desfecho AWS EC. Para2 saber mais, consulte Funções de IAM para tarefas na documentação da AWS.
Importante
O motorista obtém as credenciais somente da primeira fonte na qual elas são encontradas. Por exemplo, se você especificar suas credenciais do Amazon Web Services na string de conexão, o driver ignorará todas as credenciais especificadas nas variáveis de ambiente.
Dica
Os exemplos seguintes definem as credenciais apropriadas utilizando o método SetAuth() . Você também pode especificar estas credenciais utilizando o método ApplyURI(). Se você usar o método ApplyURI() , deverá codificar o nome de usuário e a senha por URL para garantir que eles sejam analisados corretamente.
Para se conectar à sua instância MongoDB usando suas credenciais AWS IAM, execute as seguintes etapas:
Atribua à opção
AuthMechanismo valorMONGODB-AWSAtribua à opção
Usernameo valor do seuaccessKeyIDAtribua à opção
Passwordo valor do seusecretAccessKey
var accessKeyID, secretAccessKey string awsCredential := options.Credential{ AuthMechanism: "MONGODB-AWS", AuthSource: "<authenticationDb>", Username: "<accessKeyID>", Password: "<secretAccessKey>", } awsIAMClient, err := mongo.Connect( context.TODO(), options.Client().SetAuth(awsCredential)) if err != nil { panic(err) } _ = awsIAMClient
Se você precisar especificar um token de sessão da AWS, use as credenciais temporárias retornadas de uma solicitação de assumir função .
Para utilizar credenciais temporárias, atribua o valor do seu sessionToken à opção AuthMechanismProperties:
var accessKeyID, secretAccessKey, sessionToken string assumeRoleCredential := options.Credential{ AuthMechanism: "MONGODB-AWS", AuthSource: "<authenticationDb>", Username: "<accessKeyID>", Password: "<secretAccessKey>", AuthMechanismProperties: map[string]string{ "AWS_SESSION_TOKEN": "<sessionToken>", }, } assumeRoleClient, err := mongo.Connect(context.TODO(), options.Client().SetAuth(assumeRoleCredential))
Para autenticar na instância do MongoDB usando credenciais da AWS armazenadas em variáveis de ambiente, use um shell para definir as variáveis da seguinte forma:
export AWS_ACCESS_KEY_ID=<awsKeyId> export AWS_SECRET_ACCESS_KEY=<awsSecretKey> export AWS_SESSION_TOKEN=<awsSessionToken>
Observação
Se você não precisar de um token de sessão da AWS para a função com a qual está se autenticando, omita a linha que contém AWS_SESSION_TOKEN.
Depois de definir as variáveis de ambiente anteriores, especifique o mecanismo de autenticação MONGODB-AWS, conforme mostrado no exemplo a seguir:
envVariablesCredential := options.Credential{ AuthMechanism: "MONGODB-AWS", } envVariablesClient, err := mongo.Connect( context.TODO(), options.Client().SetAuth(envVariablesCredential)) if err != nil { panic(err) } _ = envVariablesClient
Você pode usar o token OpenID Connect (OIDC) obtido de um provedor de identidade da web para se autenticar no Amazon Elastic Kubernetes Service (EKS) ou em outros serviços. Para usar um token OIDC, crie ou localize o arquivo que contém seu token. Em seguida, defina as seguintes variáveis de ambiente:
AWS_WEB_IDENTITY_TOKEN_FILE: Defina o caminho absoluto do arquivo que contém seu token OIDC.AWS_ROLE_ARN: defina para o role IAM usado para conectar ao seu cluster. Por exemplo:arn:aws:iam::111122223333:role/my-role.
O comando shell a seguir define essas variáveis de ambiente:
export AWS_WEB_IDENTITY_TOKEN_FILE=<absolute path to file that contains OIDC token> export AWS_ROLE_ARN=<IAM role name>
Depois de definir as variáveis de ambiente anteriores, especifique o mecanismo de autenticação MONGODB-AWS, conforme mostrado no exemplo a seguir:
envVariablesCredential := options.Credential{ AuthMechanism: "MONGODB-AWS", } envVariablesClient, err := mongo.Connect( context.TODO(), options.Client().SetAuth(envVariablesCredential)) if err != nil { panic(err) } _ = envVariablesClient
X.509
O mecanismo de autenticação do X.509 utiliza TLS com certificados X.509 para autenticar seu usuário, identificado pelos nomes diferenciados relativos (RDNs) do seu certificado de cliente. Quando você especifica o mecanismo de autenticação X.509, o servidor autentica a conexão usando os caminhos dos seguintes arquivos:
tlsCAFileque contém uma única ou um grupo de autoridades de certificação nas quais confiar ao fazer uma conexão TLStlsCertificateKeyFileque referencia o caminho para o arquivo de certificado do cliente ou o arquivo de chave privada do cliente
Para especificar o mecanismo de autenticação X.509, faça o seguinte:
Atribua a
tlsCAFileo caminho para seu arquivo na connection stringAtribua a
tlsCertificateKeyFileo caminho para seu arquivo na connection stringAtribua à opção
AuthMechanismo valor"MONGODB-X509"
caFilePath := "<cafile_path>" certificateKeyFilePath := "<client_certificate_path>" uri := "mongodb://<hostname>:<port>/?tlsCAFile=%s&tlsCertificateKeyFile=%s" uri = fmt.Sprintf(uri, caFilePath, certificateKeyFilePath) credential := options.Credential{ AuthMechanism: "MONGODB-X509", } clientOpts := options.Client().ApplyURI(uri).SetAuth(credential)