可查询加密的支持操作

使用以下操作BinData

MongoDB 将可查询加密加密字段存储为BinData 块。针对加密的 BinData 值发出的读和写操作可能与针对解密值执行相同操作的行为不同或错误。某些操作具有严格的 BSON 类型支持，在针对 BinData 值发出时返回错误。

与可查询加密兼容的官方驱动程序解析不支持 BinData 值的运算符或表达式的读和写操作。

支持的和不支持的 BSON 类型

可查询加密支持对所有以下BSON 类型的相等查询，除了以下类型：

• double

• decimal128

• object

• array

可查询加密支持以下BSON 类型的范围内查询：

• int：32位整数

• long：64位整数

• double：双精度浮点数（IEEE 754 Binary64）

• decimal：十进制数（IEEE 754 Decimal128）

• date：UTC 日期时间（Int64）

CRUD

• 可查询加密不支持多文档更新或删除操作。《a class="leafygreen-ui-tqgtui" href="/docs/manual/reference/method/db.collection.updateMany/#mongodb-method-db.collection.updateMany">db.collection.updateMany() 和 db.collection.bulkWrite() 中包含多个更新或删除操作不被支持。

• 可查询加密限制了 db.collection.findAndModify() 参数。

  • fields 不被允许

  • new 必须为 false

• 执行更新操作时，过滤器中任何加密的字段都会从插入中排除。

支持的读写命令

可查询加密兼容驱动支持以下命令的自动加密：

• 聚合

• 计数

• 删除

• 说明

• 查找

• 查找并修改

• 插入

• 更新

对于任何受支持的命令，如果命令使用了不受支持的运算符、聚合阶段或聚合表达式，驱动程序将返回错误。有关受支持运算符、阶段和表达式的完整列表，请参阅以下章节

• 支持的查询运算符

• 支持的更新运算符

• 支持的聚合阶段

• 支持的聚合表达式

以下命令不需要自动加密。配置为自动加密的官方驱动程序将直接将这些命令传递给 mongod:

• getMore [1]

• 认证

• 问候

• 登出

• 中止事务

• 提交事务

• 结束会话

• 开始会话

• 创建

• 创建索引

• 删除

• 删除数据库

• 删除索引

• 杀死光标

• 列出集合

• 列出数据库

• 列出索引

• 重命名集合

• ping

通过配置为自动加密的兼容驱动程序发出任何其他命令将返回错误。

支持的查询运算符

配置为自动加密的驱动程序在针对加密的可查询字段发出查询时支持有限的查询运算符集。

查询非加密字段或使用受支持的查询类型查询加密字段将返回加密数据，然后在客户端进行解密。

可查询加密目前支持 none、equality 和 range 查询类型。如果未指定查询类型，则默认为 none。如果查询类型为 none，则字段被加密，客户端无法查询它。

{$expr: {$eq: ["$encrypted1", "plaintext_value"]}}

{$expr: {$eq: ["$encrypted1", "$encrypted2"]}}

配置为 queryType: "equality" 的字段支持以下表达式

• $eq

• $ne

• $in

• $nin

• $and

• $or

• $not

• $nor

• $expr

• $exists

为 queryType: "range" 配置的字段支持以下表达式

• $lt

• $lte

• $gt

• $gte

• $and

• $exists

针对加密字段使用任何其他查询运算符的查询将返回错误。

受支持的更新运算符

配置为自动加密的驱动程序在针对加密字段发出时支持以下更新运算符

• $set

• $unset

指定任何其他更新运算符对加密字段的更新将返回错误。

以下行为的更新操作将抛出错误，即使使用受支持的运算符

• 更新操作在加密路径内生成数组。

• 更新操作使用聚合表达式语法。

对于指定加密字段 查询过滤器 的更新操作，查询过滤器必须仅使用 受支持的运算符。

替换式更新

支持替换式更新，但是，如果替换文档中包含顶级加密字段内的 Timestamp(0,0)，可查询加密将出现错误。值 (0,0) 表示 mongod 应生成时间戳。由于 mongod 无法生成加密字段，因此生成的时间戳将是未加密的。

以下不支持插入操作

配置为自动加密的兼容驱动程序不支持以下行为的插入命令

• 将具有与加密字段相关联的 Timestamp(0,0) 的文档插入。值 (0,0) 表示 mongod 应生成时间戳。由于 mongod 无法生成加密字段，因此生成的时间戳将是未加密的。

不支持聚合阶段

自动加密不支持从或写入额外集合的聚合阶段。这些阶段包括

• $out

• $merge

支持的聚合阶段

支持自动加密的兼容驱动程序配置了以下聚合管道阶段

• $addFields

• $bucket

• $bucketAuto

• $collStats

• $count

• $geoNear

• $group 在未加密字段上

• $indexStats

• $limit

• $lookup 和 $graphLookup （有关使用要求，请参阅$lookup 和 $graphLookup Behavior）

• $match

• $project

• $redact

• $replaceRoot

• $sample

• $skip

• $sort

• $sortByCount

• $unwind

在配置为自动加密的集合上操作且指定了任何其他阶段的聚合管道将返回错误。

对于每个支持的管道阶段，MongoDB 会跟踪必须在通过支持的管道时加密的字段，并为其标记加密。

每个支持的阶段必须仅指定受支持的 查询运算符 和 聚合表达式。

支持的聚合表达式

配置了自动加密支持的兼容驱动程序支持以下表达式对任何加密字段的等值查询类型

• $cond

• $eq

• $ifNull

• $in

• $let

• $literal

• $ne

• $switch

其他所有聚合表达式在针对加密字段发出时返回错误。

以下行为返回错误的聚合阶段，即使使用受支持的聚合表达式

$addFields : {
  "valueWithUnknownEncryption" : {
    $cond : {
      if : { "$encryptedField" : "value" },
      then : "$encryptedField",
      else: "unencryptedValue"
    }
  }
},
{
  $match : {
    "valueWithUnknownEncryption" : "someNewValue"
  }
}

{
  $eq : [
    {"newField" : "$encryptedField"},
    {"newField" : "value"
  ]
}

{ $eq : [ "$prefixOfEncryptedField" , "value"] }

{
  $eq : [
      "$encryptedField" ,
      { $ne : [ "field", "value" ] }
  ]
}

{
  $let: {
    "vars" : {
      "newVariable" : "$encryptedField"
    }
  }
}

{
  $in : [
    "$encryptedField" ,
    "$otherEncryptedField"
  ]
}

不支持的字段类型

配置了自动加密的驱动程序不支持任何需要加密以下值类型的读取或写入操作

• MaxKey

• MinKey

• null

• undefined

可查询加密未能充分隐藏这些值的数据类型信息。

可查询加密不支持在文档数组内的字段上进行自动加密。

可查询加密不支持在加密字段上执行读取或写入操作，其中操作会将加密字段与以下值类型进行比较

• array

• decimal128

• double

• object