Docs 主页 → 开发应用程序 → MongoDB Manual
自动加密支持的操作
本页介绍为自动客户端字段级加密配置的驱动程序支持的特定命令、查询操作符、更新操作符、聚合阶段和聚合表达式。
支持的读取和写入命令
使用自动客户端字段级加密的驱动程序支持以下命令:
对于任何受支持的命令,如果该命令使用了不支持的操作符、聚合阶段或聚合表达式,驱动程序都会返回错误。有关支持的操作符、阶段和表达式的完整列表,请参阅本页的以下部分:
以下命令不需要自动加密。配置为自动客户端字段级加密的驱动程序将这些命令直接传递给mongod
:
通过配置为自动客户端字段级加密的驱动程序发出任何其他命令都会返回错误。
[1] | 虽然自动客户端字段级加密 (CSFLE) 不会加密getMore 命令,但对该命令的响应可能包含加密的字段值。
|
支持的查询操作符
配置为自动客户端字段级加密的驱动程序在针对确定性加密字段发出时允许使用以下查询运算符:
即使使用支持的查询运算符,将加密字段与null
或正则表达式进行比较的查询也始终会返回错误。对随机加密字段发出这些操作符的查询会返回错误。
针对确定性加密字段和随机加密字段发出的$exists
操作符均具有正常行为。
针对加密字段指定任何其他查询运算符的查询都会返回错误。
即使不是针对加密字段发出的,以下查询运算符也会返回错误:
警告
BinData 的意外行为
MongoDB 将客户端字段级加密字段存储为BinData
blob。与对解密值发出相同操作相比,对加密BinData
值发出读取和写入操作可能会出现意外或不正确的行为。某些操作具有严格的 BSON 类型支持,如果针对BinData
值发出这些操作会返回错误。
使用自动客户端字段级加密的驱动程序会解析不支持
BinData
值或在针对BinData
值发出时出现意外行为的操作符或表达式的读写操作。使用显式(手动)客户端字段级加密的应用程序可以使用此页面作为针对加密字段发出读取和写入操作的指南。
不支持的插入操作
为自动客户端字段级加密配置的驱动程序不支持具有以下行为的插入命令:
支持的更新操作符
为自动客户端字段级加密配置的驱动程序在针对确定性加密字段发布时允许以下更新操作符:
对加密字段使用$rename
操作符时,自动 JSON schema必须为源字段名称和目标字段名称指定相同的加密元数据。
针对加密字段指定任何其他更新操作符的更新操作都会返回错误。
即使使用支持的运算符,具有以下行为的更新操作也会返回错误:
更新操作会在加密路径内生成一个数组。
更新操作使用聚合表达式语法。
支持的聚合阶段
为自动客户端字段级加密配置的驱动程序支持以下聚合管道阶段:
$lookup
和$graphLookup
(有关使用要求,请参阅$lookup
和$graphLookup
行为)
对配置为自动加密的集合进行操作,如果指定任何其他阶段,则会返回错误。
对于每个受支持的管道阶段,MongoDB 会跟踪在通过受支持的管道时必须加密的字段,并将其标记为要加密。
$group
行为
$group
具有以下特定于客户端字段级加密的行为:
$group
支持:
$group 不支持:
$lookup
和$graphLookup
行为
仅当$lookup
$graphLookup
from
集合与运行聚合(具体来说,自查找操作)所针对的集合匹配时,客户端字段级自动加密才支持 和 。
引用不同from
集合的$lookup
和$graphLookup
阶段会返回错误。
支持的聚合表达式
为自动客户端字段级加密配置的驱动程序允许聚合阶段对确定性加密字段使用以下表达式:
如果针对加密字段发出,所有其他聚合表达式都会返回错误。
即使使用支持的聚合表达式,具有以下行为的聚合阶段也会返回错误:
表达式 | 拒绝的行为 | 例子 | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
该表达式指定一个字段,其加密属性直到运行时才能知道,后续聚合阶段包含引用该字段的表达式。 |
| |||||||||||||||
该表达式创建一个引用加密字段的新字段,并在同一表达式中对该新字段进行操作。 |
| |||||||||||||||
该表达式引用比较表达式中加密字段的前缀。 |
| |||||||||||||||
将表达式的结果与加密字段进行比较。 |
| |||||||||||||||
该表达式将变量绑定到加密字段或尝试重新绑定 $$CURRENT 。 |
| |||||||||||||||
表达式的第一个参数是加密字段,并且
|
|
不支持的字段类型
配置为自动客户端字段级加密 (CSFLE) 的驱动程序不支持任何需要加密以下值类型的读取或写入操作:
加密无法充分隐藏这些值的类型信息。
自动 CSFLE也不支持对确定性加密字段进行读取或写入操作,如果该操作将加密字段与以下值类型进行比较:
array
bool
decimal128
double
object