我试图创建一个对特定数据库只有读/写权限的用户,但当作为新用户登录时,它有权创建用户、修改所有内容等。
> use testdb
< 'switched to db testdb'
> db.createUser({
user: 'testuser',
pwd: 'totallysecurepassword',
roles: [{
role: 'readWrite', db: 'testdb'
}]
})
< { ok: 1 }
> db.getUser('testuser')
< {
_id: 'testdb.testuser',
userId: UUID("1896349f-c17c-4755-9918-ea9977b98331"),
user: 'testuser',
db: 'testdb',
roles: [ { role: 'readWrite', db: 'testdb' } ],
mechanisms: [ 'SCRAM-SHA-1', 'SCRAM-SHA-256' ]
}
我不确定我做错了什么,我百分之百确定我是以正确的用户身份登录的。
我觉得很笨,我忘了添加--auth标志