15.Spring Security对Actuator进行访问控制

已于 2025-05-06 17:38:49 修改
阅读量355 收藏 3
点赞数 2
分类专栏: JAVA学习笔记 文章标签: spring java 后端
于 2025-05-06 17:36:33 首次发布
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
本文链接:https://blog.csdn.net/Alsn86/article/details/147743381
版权

15.Spring Security对Actuator进行访问控制

在这里插入图片描述

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo</name>
    <description>Demo project for Spring Boot with Spring Security</description>

    <!-- Spring Boot 3.1.5 父依赖 -->
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.1.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

    <properties>
        <java.version>17</java.version> <!-- Spring Boot 3.x 需要 Java 17 -->
    </properties>

    <dependencies>
        <!-- Spring Web 依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>


<!--         Spring Security 依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <!-- Spring Boot Maven 插件 -->
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

Spring boot 启动类

DemoApplicatiom.java

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class DemoApplication {
    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }
}

运行

在pom.xml中引入spring security的依赖后,随意输入路径,便已经开始拦截了,都会跳转到默认自带的/login这个页面
在这里插入图片描述
用户名默认为user
密码会在启动时,显示在控制台,本次密码a1ea7d76-5937-4ce7-a896-c4d6f83e05c1
在这里插入图片描述
在本例中,只有登陆成功,才可以访问到actuator的端点们
在这里插入图片描述
在这里插入图片描述

自定义Spring security的账号密码

application.yml

server:
  port: 8080

management:
  endpoints:
    web:
      exposure:
        include: "*"  # 暴露actuator的所有端点
        
spring:
  security:
    user:
      name: admin
      password: admin123 #Spring security的自定义账号密码

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

备注:如果要进行更细粒度的访问控制,可以使用spring security编写代码,对具体的路径进行访问控制

spring security 用户授权/访问控制
swadian2008的博客
09-12 1981
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
Spring Boot 2.x 中的 Actuator
vx539413949的博客
04-08 742
1. 前言 Spring Boot 提供了很多开箱即用的starter,其中有一款非常特别的starter——actuator 。它是用来对Spring Boot 应用进行监控、指标采集、管理,并提供一些很有用的端点(endpoint)来实现上述功能。这有助于我们对Spring Boot 应用进行监视和管理。我们本文将探讨Spring Boot 2.x下的actuator的一些知识点。 2. 集成 像其它starter一样,通过非常简单的依赖集成即可开箱即用。我们通过在项目中引入(以maven为例):
Spring Security+Spring Actuator实践
superwind
11-22 1716
Spring Security+Spring Actuator实践
24.Spring-Boot-ActuatorSpring-Security整合应用
盲目的拾荒者的博客
03-30 6085
文章是指,在生产环境不是每一个用户都可以查看监控springboot应用的运行情况,通过整合spring security配置指定用户访问ActuatorSpring Boot包含了一些额外的特性,可以帮助您在应用程序在上生产时监控和管理应用程序。您可以选择使用HTTP管理监视您的应用程序。端点,带有JMX,甚至是远程shell (SSH或Telnet)。审计、健康和度...
Spring Boot Actuator未授权访问漏洞利用
热门推荐
Bird&Bird
08-24 6万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 4053
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
Spring Boot之Actuator介绍
一个老Java开发的自白
09-04 1938
Spring Boot Actuator 是一个强大的工具,用于监控和管理 Spring Boot 应用。通过提供一系列内置的端点,它使得你可以轻松地获取应用程序的运行时信息,并进行必要的调整。此外,你还可以根据需要自定义端点,并将其与各种监控系统集成。
微服务(三)Actuator监控、Spring Security、Ribbon客户端负载均衡
qq_40223516的博客
07-20 680
Actuator监控、Spring Security、Ribbon客户端负载均衡
Springboot Admin 整合 Spring Security 服务端与客户端加密,解决Actuator未授权访问漏洞
qq_44785123的博客
05-21 772
2、编写配置文件 3、编写配置类 4、启动项加注解 二、客户端-普通客户端 1、添加pom 2、编写配置文件 3、编写配置类 三、客户端-网关-SpringCloudGateway SpringCloud Gateway 网关作为 Springboot Admin客户端时,配置和普通客户端有所不同 2、编写配置文件 和普通客户端配置相同 四、注意事项 1、注册中心 如果使用eureka作为注册中心,客户端更改如下配置
Spring Boot 2.x中Actuator的一些知识点
08-25
默认情况下,Actuator端点没有安全保护,因此应当在生产部署时配置安全措施,如使用Spring Security。可以将Actuator端点限制在特定的IP地址、使用API密钥或者集成OAuth2进行身份验证。 ### 4. 自定义端点 除了...
Spring Security OAuth2】- 项目结构
smart_an的专栏
10-09 962
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
SpringBoot企业级开发之【文章列表(条件分页)】
2301_79619694的博客
05-05 271
这是SpringBoot企业级开发的第十期-【文章列表(条件分页)】
SpringBoot统一功能处理
最新发布
2301_80363309的博客
05-09 214
preHandle()⽅法:⽬标⽅法执⾏前执⾏. 返回true: 继续执⾏后续操作;afterCompletion()⽅法:视图渲染完毕后执⾏,最后执⾏(后端开发现在⼏乎不涉及视图, 暂不了。这个⽅法以及 afterCompletion() ⽅法,执⾏完毕之后,最终给浏览器响应数据.添加拦截器后, 执⾏Controller的⽅法之前, 请求会先被拦截器拦截住. 执⾏。⽅法. 如果返回false,则不会放⾏(controller中的⽅法也不会执⾏).postHandle()⽅法:⽬标⽅法执⾏后执⾏。
SpringBoot优雅参数检查
学习记录
05-07 898
可通过组合String message() default "自定义错误消息";Class<?Class<?创建一个通用的响应类(如ResultVo@Data// 状态码(如 400 表示参数错误)// 错误描述// 错误详情(如具体字段的校验失败信息)// 快速生成失败响应。
Spring MVC Session 属性 (@SessionAttributes) 是什么?如何使用它共享数据?
专注于技术分享
05-09 604
Spring MVC 为简化特定场景(如多步骤表单)中的会话数据管理而提供的便捷机制,通过将模型属性自动在请求和会话之间同步来实现。是一个类级别的注解,用于表示 Spring MVC 将 Controller 中的属性存储到 HTTP Session 中,以便在同一用户会话的后续请求中可以访问这些属性。提供了一种与 Spring MVC 的模型和请求处理机制更紧密集成的方式来管理会话范围的数据,特别是与。但在某些场景下,我们需要在同一个用户的多个连续请求之间共享数据,最典型的例子就是。
SpringBoot中使用MQTT实现消息的订阅
qq_39636932的博客
05-09 195
创建消费者客户端配置类MqttConsumerConfig,读取application.yml中的相关配置,并初始化创建MQTT的连接。打开浏览器,输入地址http://localhost:18083/,在EMQX管理界面可以看到连接上来的两个客户端。接下来,创建Controller控制器MqttController,并实现MQTT连接的建立和断开等方法。修改application.yml配置文件,增加MQTT相关配置。5 创建Controller控制器,实现MQTT连接的建立和断开。
SpringBoot Starter简介-笔记
taotiezhengfeng的博客
05-06 474
本文件介绍了Spring Boot Starter 的基本功能,并以 spring-boot-starter-web 搭建web应用为例,给出用法演示
spring ai alibaba 使用 SystemPromptTemplate 很方便的集成 系统提示词
zqy216_2008的博客
05-09 158
ai agent 开发 系统提示词 是很重要很基础的一块,如何方便快捷的集成提示词 spring ai SystemPromptTemplate 提供了很好的解决办法
SpringBoot集成minio分片上传合并(前端直传minio)
曹俊的博客
05-08 738
前端直传minio 后段提供校验md5、初始化、合并接口,上传速度很快
Spring Boot未授权访问漏洞 actuator 使用 Spring Security依赖 解决
12-26
Spring Boot Actuator是一个强大的工具包,它提供了一些内置的监控端点,方便开发者管理和监控应用。然而,如果不正确地配置,Actuator的一些端点可能会暴露敏感信息,导致未授权访问的安全漏洞。 默认情况下,Spring Boot并未对Actuator的HTTP端口启用安全控制。为了防止未经授权的访问,需要利用Spring Security来进行权限管理。以下是解决步骤: 1. **添加Spring Security依赖**: 首先,在你的`pom.xml`或`build.gradle`文件中添加Spring Security的相关依赖: ```xml <!-- Maven --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Gradle (Kotlin) --> implementation 'org.springframework.boot:spring-boot-starter-security' ``` 2. **配置Security元数据**: 在Spring Boot主配置类(如`ApplicationConfig.java`或`main.kt`)中,添加Security配置。通常会创建一个`WebSecurityConfigurerAdapter`或`@Configuration`注解的类,并覆盖`configure(HttpSecurity http)`方法: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ...省略其他配置 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/actuator/**").hasRole("ADMIN") // 只允许已授权用户访问Actuator .anyRequest().authenticated() // 其他请求需认证 .and() .formLogin() // 添加登录页面 .loginPage("/login") .permitAll() .and() .logout() // 登出功能 .logoutSuccessUrl("/") .logoutRequestMatcher(new AntPathRequestMatcher("/logout")) .permitAll(); } } ``` 3. **处理用户身份验证**: 你需要实现一个UserDetailsService来加载用户信息并进行认证,同时配置一个AuthenticationManager,可以使用Spring Security的默认密码编码器或者其他自定义策略。 4. **运行应用并配置登录界面**: 现在启动你的应用程序,你应该能看到登录页面,只有输入正确的用户名和密码才能访问Actuator端点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值