前言

Mongodb 数据库默认情况下是没有访问控制的，整个数据库对外是开发的，只要能连上数据库，则可以进行任何操作，这会对数据带来很大的风险。当然，我们可以启用mongodb的访问控制，只让通过认证的用户才能对数据库进行角色范围内的操作。

启用访问控制可以通过在启动 mongodb 时指定 --auth 参数来设置，另外还涉及到创建用户 db.createUser 操作以及一些角色的定义，我们先来看这部分内容。

db.createUser() 用法

db.createUser({
user: “$USERNAME”,
pwd: “$PASSWROD”,
roles: [
{ role: “$ROLE_NAME”, db: “$DBNAME”}
]
})