身份验证

基本身份验证 (SCRAM-SHA- 256 )

MongoDB4.0 引入了对使用SCRAM协议进行身份验证的支持，该协议具有256 RFC7677 中描述的更安全的 SHA- 哈希 。使用这种身份验证机制意味着，在进行身份验证时，实际上永远不会通过网络发送密码，而是通过计算证明客户端密码与服务器已知的密码相同。 在MongoDB 4中。 0 ， C驾驶员可以为具有存储的 SCRAM-SHA- 1和SCRAM -SHA- 256档案的用户确定正确的默认凭证身份验证机制：

mongoc_client_t *client =  mongoc_client_new ("mongodb://user:password@localhost/?authSource=mydb");
/* the correct authMechanism is negotiated between the driver and server. */

或者，可以将SCRAM-SHA- 256显式指定为 authMechanism。

mongoc_client_t *client =  mongoc_client_new ("mongodb://user:password@localhost/?authMechanism=SCRAM-SHA-256&authSource=mydb");

基本身份验证 (SCRAM-SHA- 1 )

MongoDB4.0 之前的默认身份验证机制是SCRAM-SHA-1 ( RFC5802 ）。使用这种身份验证机制意味着，在进行身份验证时，实际上永远不会通过网络发送密码，而是通过计算证明客户端密码与服务器已知的密码相同。

mongoc_client_t *client = mongoc_client_new ("mongodb://user:password@localhost/?authMechanism=SCRAM-SHA-1&authSource=mydb");

传统身份验证 (MONGODB-CR)

MONGODB-CR authMechanism 已弃用，将不再在 MongoDB 4.0中运行。 相反，不指定 authMechanism，驱动程序将使用与服务器兼容的身份验证机制。

GSSAPI (Kerberos) 身份验证

GSSAPI (Kerberos)身份验证在MongoDB企业版中可用。 要使用GSSAPI进行身份验证，必须安装支持SASL 的MongoDB C驾驶员。

在类 UNIX 环境中，请先运行kinit命令，然后再使用以下身份验证方法：

$ kinit mongodbuser@EXAMPLE.COM
mongodbuser@EXAMPLE.COM's Password:
$ klistCredentials cache: FILE:/tmp/krb5cc_1000
       Principal: mongodbuser@EXAMPLE.COM
 Issued                Expires               Principal
Feb  9 13:48:51 2013  Feb  9 23:48:51 2013  krbtgt/EXAMPLE.COM@EXAMPLE.COM

现在使用 MongoDB URI 进行身份验证。 GSSAPI根据$external虚拟数据库进行身份验证，因此无需在 URI 中指定数据库。 请注意，Kerberos 主体必须进行 URL 编码：

mongoc_client_t *client;
client = mongoc_client_new ("mongodb://mongodbuser%40EXAMPLE.COM@mongo-server.example.com/?authMechanism=GSSAPI");

驱动程序支持以下 GSSAPI 属性：

• CANONICALIZE_HOST_NAME：当主机报告的主机名与Kerberos数据库中使用的主机名不同时，Cyrus-SASL 可能需要这样做。 默认值为“false”。

• SERVICE_NAME：使用不同于默认名称“ MongoDB ”的服务名称。

在URL中设置属性：

mongoc_client_t *client;
client = mongoc_client_new ("mongodb://mongodbuser%40EXAMPLE.COM@mongo-server.example.com/?authMechanism=GSSAPI&"
                            "authMechanismProperties=SERVICE_NAME:other,CANONICALIZE_HOST_NAME:true");

如果遇到Invalid net address等错误，请检查应用程序是否位于 NAT（网络地址转换）防火墙后面。 如果是这样，请创建使用forwardable和addressless Kerberos票证的票证。 这可以通过将-f -A传递给kinit来完成。

$ kinit -f -A mongodbuser@EXAMPLE.COM

SASL 普通身份验证

MongoDB Enterprise版支持SASL PLAIN身份验证机制，该机制最初用于将身份验证委托给LDAP服务器。 使用SASL PLAIN机制与使用用户名和密码的挑战响应机制非常相似。 此身份验证机制使用$external虚拟数据库来提供LDAP支持：

mongoc_client_t *client;
client = mongoc_client_new ("mongodb://user:password@example.com/?authMechanism=PLAIN");

PLAIN 根据$external数据库进行身份验证，因此无需指定 authSource数据库。

X. 509证书身份验证

$ mongod --tlsMode requireTLS --tlsCertificateKeyFile server.pem --tlsCAFile ca.pem

MONGODB-X509机制对从驾驶员在 TLS 协商期间提供的 X. 509证书的标识主题名称派生的用户名进行身份验证。 此身份验证方法需要使用带证书验证的 TLS 连接。

mongoc_client_t *client;
mongoc_ssl_opt_t ssl_opts = { 0 };
ssl_opts.pem_file = "mycert.pem";
ssl_opts.pem_pwd = "mycertpassword";
ssl_opts.ca_file = "myca.pem";
ssl_opts.ca_dir = "trust_dir";
ssl_opts.weak_cert_validation = false;
client = mongoc_client_new ("mongodb://x509_derived_username@localhost/?authMechanism=MONGODB-X509");
mongoc_client_set_ssl_opts (client, &ssl_opts);

MONGODB-X509 根据$external数据库进行身份验证，因此无需指定 authSource数据库。 有关 x 509 _衍生_用户名的更多信息，请参阅MongoDB服务器x。 509教程。

通过Amazon Web Services IAM 进行身份验证

机制使用MONGODB-AWS MongoDBAmazon Web ServicesIdentity and Access Management (IAM) 提供的档案对 服务器进行凭证验证。

要进行身份验证，请在$external数据库上创建具有关联Amazon资源名称 (ARN) 的用户，并在 URI 中指定MONGODB-AWS authMechanism 。

mongoc_uri_t *uri = mongoc_uri_new ("mongodb://localhost/?authMechanism=MONGODB-AWS");

由于MONGODB-AWS始终根据$external数据库进行身份验证，因此无需指定 authSource数据库。

档案包括access key id 、 secret access key和可选的session token 。 可以通过以下方式获取它们。

mongoc_uri_t *uri = mongoc_uri_new ("mongodb://<access key id>:<secret access key>localhost/?authMechanism=MONGODB-AWS");

mongoc_uri_t *uri = mongoc_uri_new ("mongodb://<access key id>:<secret access key>localhost/?authMechanism=MONGODB-AWS&authMechanismProperties=AWS_SESSION_TOKEN:<token>");