ClientEncryption.decrypt()_MonogDB 中文网

MongoDB 中文手册

参考 > 参考 > mongo Shell方法 > 客户端字段级加密方法 > ClientEncryption.decrypt()

在本页面

行为
例

4.2版中的新功能。

ClientEncryption.decrypt（encryptionValue ）¶

ClientEncryption.decrypt解密encryptionValue 如果当前的数据库连接与访问密钥管理服务（KMS）和用于加密密钥库配置encryptionValue。

decrypt 具有以下语法：

复制

clientEncryption = db.getMongo().getClientEncryption()

clientEncryption.decrypt(encryptedValue)

的encryptedValue 必须是与对象亚型6 使用客户端字段级加密创建。binary data

返回：	解密后的值。

行为¶

从数据库连接发出的读取操作configured 可以访问正确的密钥管理服务（KMS），并且Key Vault可以自动解密使用加密的字段值 ClientEncryption.encrypt()。客户只需要使用 decrypt()解密Binary未存储在文档字段中的子类型6值。

在数据库连接上启用客户端字段级加密¶

该mongo客户端的字段级的加密方法需要与客户端的字段级加密的数据库连接启用。如果当前数据库连接不是在启用客户端字段级加密的情况下启动的，则可以：

使用外壳程序中的Mongo()构造函数mongo与所需的客户端字段级加密选项建立连接。该Mongo()方法同时支持Amazon Web Services和本地密钥管理服务（KMS）提供程序，用于客户主密钥（CMK）管理。

要么
使用mongoshell 命令行选项与所需选项建立连接。命令行选项仅支持AWS KMS提供程序进行CMK管理。

例子¶

以下示例将本地管理的KMS用于客户端字段级加密配置。

为本地管理的密钥配置客户端字段级加密需要指定没有换行符的base64编码的96字节字符串。以下操作将生成满足所述要求的密钥并将其加载到mongo外壳中：

复制

TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")

mongo --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"

使用生成的本地密钥字符串创建客户端字段级加密对象：

复制

var ClientSideFieldLevelEncryptionOptions = {
  "keyVaultNamespace" : "encryption.__dataKeys",
  "kmsProviders" : {
    "local" : {
      "key" : BinData(0, TEST_LOCAL_KEY)
    }
  }
}

使用Mongo()构造函数使用客户端字段级加密选项创建数据库连接。用目标集群mongodb://myMongo.example.net的连接字符串URI替换 URI 。

复制

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
  ClientSideFieldLevelEncryptionOptions
)

检索ClientEncryption对象并使用该ClientEncryption.decrypt()方法解密由加密的值ClientEncryption.encrypt()。

复制

clientEncryption = encryptedClient.getClientEncryption();

clientEncryption.decrypt(BinData(6,"AmTi2H3xaEk8u9+jlFNaLLkC3Q/+kmwDbbWrq+h9nuv9W+u7A5a0UnpULBNZH+Q21fAztPpU09wpKPrju9dKfpN1Afpj1/ZhFcH6LYZOWSBBOAuUNjPLxMNSYOOuITuuYWo="))

如果成功，则decrypt()返回解密后的值：

"123-45-6789"

有关在启用客户端字段级加密的情况下启动MongoDB连接的完整文档，请参阅Mongo()。