我正在启用授权的情况下运行MongoDB,并创建了多个用户。
现在,我希望客户端也能够匿名连接,并且能够在不进行身份验证的情况下对数据库执行选定的操作。
是否可以将Mongo配置为在身份验证的同时启用未经身份验证的访问,并控制未经身份验证的用户可以做什么?
答案 0 :(得分:0)
允许对匿名客户端的有限许可可能会损害您的应用程序。您永远无法预测客户端的行为,总是会有一定程度的不确定性,这使您的应用程序容易受到恶意利用。
理想的方法是让您的应用程序代码以一组有限的权限(例如,只读,定位特定的数据库)与数据库通信。您可以公开一些实现匿名客户端所需功能的api。