身份验证机制

Overview

本指南介绍了可在C驱动程序中用于对MongoDB用户进行身份验证的机制。

SCRAM-SHA-256

SCRAM-SHA-256（如RFC 7677所定义）是运行MongoDB v4.0 的MongoDB部署上的默认身份验证机制。或更高版本。

要使用SCRAM-SHA-256 进行身份验证，设立以下连接选项：

• username：要进行身份验证的用户名。 在将其包含在连接 URI 中之前，对该值进行百分比编码。

• password：用于身份验证的密码。 在将其包含在连接 URI 中之前，对该值进行百分比编码。

• authSource: 要进行身份验证的 MongoDB 数据库。默认下， C驱动程序根据连接 URI 中的数据库（如果包含数据库）进行身份验证。如果不指定身份验证数据库，则会根据 admin数据库进行身份验证。

• authMechanism：设置为SCRAM-SHA-256 。

您可以使用连接字符串中的参数来设立这些选项，如以下代码示例所示：

const char *uri = "mongodb://<percent-encoded username>:<percent-encoded password>@<hostname>:<port>/?authMechanism=SCRAM-SHA-256&authSource=<authentication database>";
mongoc_client_t *client = mongoc_client_new(uri);

SCRAM-SHA-1

SCRAM-SHA-1（如RFC 5802所定义）是运行MongoDB v3.6 的MongoDB部署上的默认身份验证机制。

要使用此机制进行身份验证，请设置以下连接选项：

• username：要进行身份验证的用户名。 在将其包含在连接 URI 中之前，对该值进行百分比编码。

• password：用于身份验证的密码。 在将其包含在连接 URI 中之前，对该值进行百分比编码。

• authSource: 要进行身份验证的 MongoDB 数据库。默认下，C 驱动程序根据 admin数据库进行身份验证。

• authMechanism：设置为"SCRAM-SHA-1" 。

您可以使用连接字符串中的参数来设立这些选项，如以下代码示例所示：

const char *uri = "mongodb://<percent-encoded username>:<percent-encoded password>@<hostname>:<port>/?authMechanism=SCRAM-SHA-1&authSource=<authentication database>";
mongoc_client_t *client = mongoc_client_new(uri);

MONGODB-X509

如果编译支持 TLS 的 C 驱动程序，则 C 驱动程序可以向 MongoDB 提供 X.509 客户端证书，以在 TLS 握手期间证明其身份。MONGODB-X509身份验证机制使用此证书对客户端进行身份验证。

要使用此机制进行身份验证，请执行以下步骤：

1. 创建 mongoc_ssl_opt_t 结构。 在此结构中，将 pem_file字段设立为包含客户端证书和私钥的 .pem文件的文件路径。

2. 在连接 URI 中，将 authMechanism 连接选项设立为 "MONGODB-X509"。

以下代码示例展示了如何创建使用 MONGODB-X509 机制进行身份验证的MongoDB客户端：

mongoc_client_t *client;
mongoc_ssl_opt_t ssl_opts = {0};
ssl_opts.pem_file = "mycert.pem";
const char *uri = "mongodb://<percent-encoded username>@<hostname>:<port>/?authMechanism=MONGODB-X509";
mongoc_client_t *client = mongoc_client_new(uri);
mongoc_client_set_ssl_opts(client, &ssl_opts);

MONGODB-AWS

MONGODB-AWS身份验证机制使用Amazon Web Services IAM（Amazon Web Services身份和访问管理）或Amazon Web Services Lambda凭证对应用程序进行身份验证。 要使用此机制对应用程序进行身份验证，请先在 $external数据库上创建一个具有关联Amazon资源名称 (ARN) 的用户。 然后，在连接 URI 中指定 MONGODB-AWS authMechanism。

当您使用 MONGODB-AWS 机制时， C驱动程序会尝试按列出的顺序从以下源检索您的 AWS凭证：

1. 传递给连接 URI 的命名参数

2. 环境变量

3. Amazon Web Services EKS AssumeRoleWithWebIdentity请求

4. ECS容器元数据

5. EC 2实例元数据

以下部分介绍如何使用C驱动程序从这些来源检索凭证，并使用它们对应用程序进行身份验证。

const char *uri = "mongodb://<AWS IAM access key ID>:<AWS IAM secret access key>@<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

const char *uri = "mongodb://<AWS IAM access key ID>:<AWS IAM secret access key>@<hostname>:<port>/?authMechanism=MONGODB-AWS&authMechanismProperties=AWS_SESSION_TOKEN:<token>");
mongoc_client_t *client = mongoc_client_new(uri);

export AWS_ACCESS_KEY_ID=<AWS IAM access key ID>
export AWS_SECRET_ACCESS_KEY=<AWS IAM secret access key>
export AWS_SESSION_TOKEN=<AWS session token>

const char *uri = "mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

export AWS_CONTAINER_CREDENTIALS_RELATIVE_URI=<URI of the ECS endpoint>

const char *uri = "mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

const char *uri = "mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS");
mongoc_client_t *client = mongoc_client_new(uri);

API 文档

要学习有关在C驱动程序中对应用程序进行身份验证的更多信息，请参阅以下API文档：

• mongoc_client_t

• mongoc_uri_t