Menu Docs
Página inicial do Docs
/
Idiomas
/
Go
/
Driver GO
/
Fundamentals

Mecanismos de autenticação

Visão geral

Neste guia, você aprenderá a usar cada mecanismo de autenticação disponível no MongoDB Community Edition. O MongoDB usa mecanismos de autenticação para confirmar uma identidade e estabelecer confiança para garantir a segurança no driver e no servidor antes da conexão.

Para autenticar usando GSSAPI/Kerberos ou LDAP, consulte a página de fundamentos do Enterprise Authentication Mechanisms . Para saber mais sobre como estabelecer uma conexão com seu Cluster MongoDB , consulte o Guia de Conexão.

Mecanismos compatíveis

O driver Go é compatível com os seguintes mecanismos de autenticação:

  • SCRAM-SHA-256

  • SCRAM-SHA-1

  • MongoDB-AWS

  • X.509

O Go Driver estabelece uma conexão com um mecanismo de autenticação por meio de um tipo de Cliente. O Client tipo especifica o mecanismo e as credenciais a serem usados como opções de conexão em um tipo de Credenciais. Para configurar estas opções, passe um Credential tipo de para o método SetAuth() do tipo ClientOptions.

As seções abaixo demonstram este processo ao usar os cinco mecanismos compatíveis com o MongoDB Community Edition.

Exemplos de convenções

Cada mecanismo de autenticação contém os seguintes placeholders:

  • db_username - Seu nome de usuário do banco de dados do MongoDB

  • db_password - A senha do usuário do banco de dados MongoDB

  • hostname - Seu endereço de rede de servidores MongoDB, acessível por seu cliente

  • port - Número da porta dos servidores MongoDB

  • authenticationDb - Seu banco de dados MongoDB que contém os dados de autenticação do usuário. Se omitir esta opção, o condutor utiliza o valor predefinido admin.

SCRAM-SHA-256

SCRAM-SHA-256 é um mecanismo de autenticação de resposta e desafio (SCRAM) que usa o nome de usuário e a senha do banco de dados , criptografados com o algoritmo SHA-256, para autenticar seu usuário. Este é o mecanismo de autenticação padrão .

Para especificar este mecanismo de autenticação padrão, omita a opção AuthMechanism:

credential := options.Credential{
   AuthSource: "<authenticationDb>",
   Username: "<db_username>",
   Password: "<db_password>",
}
clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>").
   SetAuth(credential)
client, err := mongo.Connect(clientOpts)

Você também pode especificar explicitamente o mecanismo de autenticação SCRAM-SHA-256 atribuindo à opção AuthMechanism o valor "SCRAM-SHA-256":

credential := options.Credential{
   AuthMechanism: "SCRAM-SHA-256",
   AuthSource: "<authenticationDb>",
   Username: "<db_username>",
   Password: "<db_password>",
}
clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>").
   SetAuth(credential)
client, err := mongo.Connect(clientOpts)

Para saber mais sobre os mecanismos de autenticação de resposta e desafio (SCRAM) que o MongoDB suporta, consulte a seção SCRAM do manual do servidor.

SCRAM-SHA-1

SCRAM-SHA-1 é um mecanismo de desafio-resposta (SCRAM) que utiliza seu nome de usuário e senha, criptografados usando o algoritmo do SHA-1, para autenticar seu usuário.

Para especificar o mecanismo de autenticação SCRAM-SHA-1, atribua à opção AuthMechanism o valor "SCRAM-SHA-1":

credential := options.Credential{
   AuthMechanism: "SCRAM-SHA-1",
   AuthSource: "<authenticationDb>",
   Username: "<db_username>",
   Password: "<db_password>",
}
clientOpts := options.Client().ApplyURI("mongodb://<hostname>:<port>").
   SetAuth(credential)
client, err := mongo.Connect(clientOpts)

MONGODB-AWS

O mecanismo de autenticação do MONGODB-AWS utiliza suas credenciais do Amazon Web Services Identity and Access Management (AWS IAM) para autenticar o usuário.

Para se conectar a uma instância do MongoDB com a autenticação MONGODB-AWS habilitada, especifique o mecanismo de autenticação MONGODB-AWS.

O driver verifica suas credenciais nas seguintes fontes na ordem listada:

  1. Connection string.

  2. Variáveis de ambiente.

  3. Arquivo de token de identidade da Web.

  4. Amazon Web Services ECS endpoint especificado na variável de ambiente do AWS_CONTAINER_CREDENTIALS_RELATIVE_URI .

  5. Desfecho Amazon Web Services EC2. Para saber mais, consulte Funções de IAM para tarefas na documentação do Amazon Web Services.

Importante

O motorista obtém as credenciais somente da primeira fonte na qual elas são encontradas. Por exemplo, se você especificar suas credenciais do Amazon Web Services na string de conexão, o driver ignorará todas as credenciais especificadas nas variáveis de ambiente.

Dica

Os exemplos seguintes definem as credenciais apropriadas utilizando o método SetAuth() . Você também pode especificar estas credenciais utilizando o método ApplyURI(). Se você usar o método ApplyURI() , deverá codificar o nome de usuário e a senha por URL para garantir que eles sejam analisados corretamente.

Para se conectar à sua instância MongoDB usando suas credenciais AWS IAM, execute as seguintes etapas:

  • Atribua à opção AuthMechanism o valor MONGODB-AWS

  • Atribua à opção Username o valor do seu accessKeyID

  • Atribua à opção Password o valor do seu secretAccessKey

var accessKeyID, secretAccessKey string
awsCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
	AuthSource:    "<authenticationDb>",
	Username:      "<accessKeyID>",
	Password:      "<secretAccessKey>",
}
awsIAMClient, err := mongo.Connect(options.Client().SetAuth(awsCredential))
if err != nil {
	panic(err)
}
_ = awsIAMClient

Se você precisar especificar um token de sessão da AWS, use as credenciais temporárias retornadas de uma solicitação de assumir função .

Para utilizar credenciais temporárias, atribua o valor do seu sessionToken à opção AuthMechanismProperties:

var accessKeyID, secretAccessKey, sessionToken string
assumeRoleCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
	AuthSource:    "<authenticationDb>",
	Username:      "<accessKeyID>",
	Password:      "<secretAccessKey>",
	AuthMechanismProperties: map[string]string{
		"AWS_SESSION_TOKEN": "<sessionToken>",
	},
}
assumeRoleClient, err := mongo.Connect(options.Client().SetAuth(assumeRoleCredential))

Para autenticar na instância do MongoDB usando credenciais da AWS armazenadas em variáveis de ambiente, use um shell para definir as variáveis da seguinte forma:

export AWS_ACCESS_KEY_ID=<awsKeyId>
export AWS_SECRET_ACCESS_KEY=<awsSecretKey>
export AWS_SESSION_TOKEN=<awsSessionToken>

Observação

Se você não precisar de um token de sessão da AWS para a função com a qual está se autenticando, omita a linha que contém AWS_SESSION_TOKEN.

Depois de definir as variáveis de ambiente anteriores, especifique o mecanismo de autenticação MONGODB-AWS, conforme mostrado no exemplo a seguir:

envVariablesCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
}
envVariablesClient, err := mongo.Connect(options.Client().SetAuth(envVariablesCredential))
if err != nil {
	panic(err)
}
_ = envVariablesClient

Você pode usar o token OpenID Connect (OIDC) obtido de um provedor de identidade da web para se autenticar no Amazon Elastic Kubernetes Service (EKS) ou em outros serviços. Para usar um token OIDC, crie ou localize o arquivo que contém seu token. Em seguida, defina as seguintes variáveis de ambiente:

  • AWS_WEB_IDENTITY_TOKEN_FILE: Defina o caminho absoluto do arquivo que contém seu token OIDC.

  • AWS_ROLE_ARN: defina para o role IAM usado para conectar ao seu cluster. Por exemplo: arn:aws:iam::111122223333:role/my-role.

O comando shell a seguir define essas variáveis de ambiente:

export AWS_WEB_IDENTITY_TOKEN_FILE=<absolute path to file that contains OIDC token>
export AWS_ROLE_ARN=<IAM role name>

Depois de definir as variáveis de ambiente anteriores, especifique o mecanismo de autenticação MONGODB-AWS, conforme mostrado no exemplo a seguir:

envVariablesCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
}
envVariablesClient, err := mongo.Connect(options.Client().SetAuth(envVariablesCredential))
if err != nil {
	panic(err)
}
_ = envVariablesClient

X.509

O mecanismo de autenticação X.509 usa TLS com certificados X.509 para autenticar seu usuário, identificado pelos nomes diferenciados relativos (RDNs) do seu certificado de cliente. Quando você especifica o mecanismo de autenticação X.509, o servidor autentica a conexão usando os caminhos dos seguintes arquivos:

  • tlsCAFile que contém uma única ou um grupo de autoridades de certificação nas quais confiar ao fazer uma conexão TLS

  • tlsCertificateKeyFile que referencia o caminho para o arquivo de certificado do cliente ou o arquivo de chave privada do cliente

Para especificar o mecanismo de autenticação X.509, faça o seguinte:

  • Atribua a tlsCAFile o caminho para seu arquivo na connection string

  • Atribua a tlsCertificateKeyFile o caminho para seu arquivo na connection string

  • Atribua à opção AuthMechanism o valor "MONGODB-X509"

caFilePath := "<cafile_path>"
certificateKeyFilePath := "<client_certificate_path>"
uri := "mongodb://<hostname>:<port>/?tlsCAFile=%s&tlsCertificateKeyFile=%s"
uri = fmt.Sprintf(uri, caFilePath, certificateKeyFilePath)
credential := options.Credential{
   AuthMechanism: "MONGODB-X509",
}
clientOpts := options.Client().ApplyURI(uri).SetAuth(credential)

Voltar

Contexto

Próximo

Autenticação empresarial

Nesta página