需创建自定义角色授予 insert 权限并精确限定集合,如 {db: "mydb", collection: "logs"},在 admin 库中定义后绑定用户,禁用 readwrite 等宽泛角色,注意 authsource=admin、大小写敏感及 upsert 触发 update 被拒。
创建只允许 insert 的 MongoDB 用户需要角色组合
MongoDB 没有内置的 “只插入” 角色,readWrite 太宽,read 又不够。必须用自定义角色,把 insert 权限单独赋予特定集合,同时显式排除 update、delete、replace 和 findAndModify 等操作。
关键点在于:角色权限是“白名单”,没列出来的操作默认拒绝——但要注意,insert 权限本身不隐含对 _id 冲突的处理能力,如果应用重复写入相同 _id,会报 duplicate key 错误,这不是权限问题,是业务逻辑问题。
- 必须在
admin数据库下创建角色,再赋给用户 - 资源范围要精确到
{ db: "mydb", collection: "logs" },不能写{ db: "mydb", collection: "" }(空字符串匹配所有集合) - 不要复用
readWrite角色再“删掉某些权限”——MongoDB 不支持权限减法,只能新建角色
实际建角色和用户的 shell 命令示例
假设你要让 user app_logger 只能往 mydb.logs 插数据,其他集合一概不可碰:
use admin
db.createRole({
role: "insertOnlyLogs",
privileges: [{
resource: { db: "mydb", collection: "logs" },
actions: ["insert"]
}],
roles: []
})
db.createUser({
user: "app_logger",
pwd: "strong-pass-2024",
roles: [{ role: "insertOnlyLogs", db: "admin" }]
})
注意:pwd 字段在 MongoDB 6.0+ 中已弃用(推荐用 SCRAM-SHA-256),但如果连接驱动较老(比如某些 Python PyMongo 3.x),仍需保留;若用 6.0+ 且驱动支持,应改用 mechanisms: ["SCRAM-SHA-256"] 并去掉 pwd,改用 passwordDigestor: "server" 配合 digestPassword: false。
应用端写入失败?先检查这几个地方
即使角色建对了,应用仍可能报 not authorized on mydb to execute command { insert: ... },常见原因不是权限漏了,而是连接或上下文错了:
- 连接字符串里没指定
authSource=admin,导致认证发生在mydb库而非admin,用户找不到 - 应用代码里用了
db.collection("logs").insertOne(...),但没确保当前 db 实例是mydb,比如误连到了test库 - 集合名大小写敏感,角色里写的是
"Logs",但代码里写的是"logs"—— MongoDB 默认区分大小写 - 用了 bulk write 但其中某条带
upsert: true,这会触发update动作,哪怕没匹配到文档也会被拒绝
为什么不用 update 授权 + 业务层拦截?
有人想绕开自定义角色,改用 readWrite 用户 + 应用层禁止调用 update/delete。这不行,因为:
- 权限控制必须落在数据库层,否则任意直连(如运维临时 mongo shell、备份脚本、日志分析工具)都能绕过业务逻辑删改
- 一个集合被多个服务共用时,你无法保证所有服务都遵守同一套“只 insert”约定
-
findAndModify、findOneAndUpdate这类命令即使参数里没写更新字段,只要命令类型是 update,就会被insert-only 角色直接拦截——这是好事,说明权限模型真正生效了
真正容易被忽略的点是:角色一旦创建,后续修改权限必须用 updateRole,不能直接改 system.roles 集合;而且角色变更不会自动同步到已存在的用户会话,新权限只对新连接生效。
