MongoDB使用安全的sha256认证
背景:
使用MongoDB 3.2 仅支持默认SCRAM-SHA-1,不够安全需要使用SCRAM-SHA-256,但只有MongoDB4.0才支持。又因为3.2到4.0是大版本升级,云不支持在线升级,所以只能切换数据库做数据同步
步骤
1. 申请一个新的MongoDB 4.0版本(4.0版本默认创建的用户都是sha256)
2. 开启一个数据库迁移任务,数据库表迁移+全量迁移+增量迁移
迁移过程中,老账号仍然保持sha1的鉴权,如下图,所以要新建账号并且指定使用sha256的鉴权规则
3. 创建用户指定sha256
db.createUser({user: "appUser",pwd: "userPassword",roles: [{ role: "readWrite", db: "appdb" }],mechanisms: ["SCRAM-SHA-256"] // 指定SHA-256[2,4](@ref)
})4. spring应用在连接串后加上?authMechanism=SCRAM-SHA-256即可,sdk会检测到要用sha256自动转换和mongodb服务器的密码对比。
spring.data.mongodb.uri=mongodb://username:password@host:27017/database?authMechanism=SCRAM-SHA-256
切换后更新应用
待同步任务完全跑完,就可以停止任务,并且释放之前的mongodb