从nacos的权限控制看nacos的配置热加载

最新推荐文章于 2024-07-11 22:42:52 发布
最新推荐文章于 2024-07-11 22:42:52 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: JAVA 文章标签: nacos docker spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjf_wei/article/details/111997947
版权

nacos的权限控制及配置热加载

最近在使用nacos,部署在k8s集群上,使用的是从源码自己打的镜像。在配置nacos的权限认证功能时, 发现无法生效,而且所谓的配置修改立即生效也无法实现,下面就探讨下这是什么原因导致的?同时也看下nacos所说配置修改立即生效是如何实现的?

基于nacos-1.3.3

nacos的权限控制是什么样的

nacos通过将用户绑定到某个角色上,然后赋予某个角色对某个资源(命名空间)的读写权限,假如当前登录的用户对某个空间没有访问权限,那么其试图访问该资源时,会通过弹框等方式予以拒绝,大致是这样的…
在这里插入图片描述

nacos是如何进行权限控制的

nacos的权限控制在AuthFilter中实现

com.alibaba.nacos.core.auth.AuthFilter#doFilter

// 被加上@Secured注解,并且auth鉴权开关打开了,将进行权限校验
if (method.isAnnotationPresent(Secured.class) && authConfigs.isAuthEnabled()) {
                
    if (Loggers.AUTH.isDebugEnabled()) {
        Loggers.AUTH.debug("auth start, request: {} {}", req.getMethod(), req.getRequestURI());
    }
    
	// 获取需要权限认证的方法, 和请求进行校验
    Secured secured = method.getAnnotation(Secured.class);
    String action = secured.action().toString();
    String resource = secured.resource();
    
    if (StringUtils.isBlank(resource)) {
        ResourceParser parser = secured.parser().newInstance();
        resource = parser.parseName(req);
    }
    
    if (StringUtils.isBlank(resource)) {
        // deny if we don't find any resource:
        throw new AccessException("resource name invalid!");
    }
	// 正真进行权限校验的地方,对当前用户及其角色的进行权限验证
    authManager.auth(new Permission(resource, action), authManager.login(req)); 
}

当方法被加上Secured注解即意味着该方法需要进行权限校验,比如"/nacos/v1/console/namespaces",其实现

@PostMapping
@Secured(action = ActionTypes.WRITE, parser = ConfigResourceParser.class)
public Boolean publishConfig(HttpServletRequest request...)

权限校验的方式并不复杂,具体就是首先获取当前登录用户的所有角色(查询roles表),如果角色具有全局的ROLE_ADMIN角色,则校验通过;
其次校验其访问的命名空间,最后查询当前用于持有的角色在permissions表中被赋予的权限,并和"@Secured"注解赋予的action权限进行对比

开启权限控制的开关

auth开关的读取是通过 ReloadableConfigs实现的,ReloadableConfigs的实现其实就是启动定时任务,不断的读取appliaction.properties的配置并更新至内存

public class ReloadableConfigs {
    
    private static final String FILE_PREFIX = "file:";
    
    private Properties properties;
    
    @Value("${spring.config.location:}")
    private String path;
    
    /**
     * Periodically load configuration file information.
     *
     * @throws IOException IOException
     */
    @Scheduled(fixedRate = 5000)
    public void reload() throws IOException {
        final Properties properties = new Properties();
        InputStream inputStream = null;
        if (StringUtils.isNotBlank(path) && path.contains(FILE_PREFIX)) {
            String[] paths = path.split(",");
            path = paths[paths.length - 1].substring(FILE_PREFIX.length());
        }
        try {
            inputStream = new FileInputStream(new File(path + "application.properties"));
        } catch (Exception ignore) {
        }
        if (inputStream == null) {
            inputStream = getClass().getResourceAsStream("/application.properties");
        }
        properties.load(inputStream);
        inputStream.close();
        this.properties = properties;
    }
    
    public final Properties getProperties() {
        return properties;
    }
}

从"spring.config.location"配置的路径下读取配置,如果文件不存在则试图读取classPath下的文件

为什么权限控制开关失效

为什么在application.properties中将nacos.core.auth.enabled=true打开,为什么当时的auth功能失效了?
在程序启动后,通过arthas读取com.alibaba.nacos.core.env.ReloadableConfigs#getProperties发现配置不变
原因就是没有读取到application.properties
首先,ReloadableConfigs#reloadspring.config.location配置在哪儿? 在程序启动脚本中是这样的

export DEFAULT_SEARCH_LOCATIONS="classpath:/,classpath:/config/,file:./,file:./conf/"
export CUSTOM_SEARCH_LOCATIONS=${BASE_DIR}/init.d/,file:${BASE_DIR}/conf/,${DEFAULT_SEARCH_LOCATIONS}

...
JAVA_OPT="${JAVA_OPT} --spring.config.location=${CUSTOM_SEARCH_LOCATIONS}"

...
$JAVA ${JAVA_OPT} > ${BASE_DIR}/logs/start.out

而reload方法默认读取的路径是最后一个路径下的配置,如果配置不当,那么该路径下没有文件,自然就无法读取到

cjf_wei
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
authorization权限控制_Nacos 权限控制介绍及实战
weixin_28900437的博客
01-31 1030
方案背景Nacos自开源依赖,权限控制一直需求比较强烈,这也反应了用户需求将Nacos部署到生产环境的需求。最新发布的Nacos 1.2.0版本已经支持了服务发现和配置管理的权限控制,保障用户安全上生产。本文主要介绍Nacos权限控制的设计方案和使用指南。什么是权限控制?在分布式服务调用时,需要对未知的或者不受信任的请求来源的请求进行识别和拒绝。权限控制一般分为两个阶段:身份识别(Authenti...
Nacos配置中心原理分析
02-24
下面我将来和大家一起来了解下Nacos的动态配置的能力,看看Nacos是如何以简单、优雅、高效的方式管理配置,实现配置的动态变更的。我们用一个简单的例子来了解下Nacos的动态配置的功能。首先我们要准备一个Nacos的...
Nacos 权限控制介绍及实战
热门推荐
一个天秤座的架构师
04-01 7万+
方案背景 Nacos自开源依赖,权限控制一直需求比较强烈,这也反应了用户需求将Nacos部署到生产环境的需求。最新发布的Nacos 1.2.0版本已经支持了服务发现和配置管理的权限控制,保障用户安全上生产。本文主要介绍Nacos权限控制的设计方案和使用指南。 什么是权限控制? 在分布式服务调用时,需要对未知的或者不受信任的请求来源的请求进行识别和拒绝。权限控制一般分为两个阶段:身份识别(Au...
nacos1.4.2开启鉴权后提示 没有 public 命名空间的访问权限
JFENG14的博客
06-05 368
nacos的数据库的roles表中添加记录。可以在数据库中添加角色。
微服务 Spring Cloud 7,Nacos配置中心的Pull原理,附源码
学Java,找哪吒
11-17 1175
华为OD机试 2023B卷题库疯狂收录中,刷题。
Nacos动态配置管理机制
huxian1234的专栏
07-04 658
胡弦,视频号2023年度优秀创作者,互联网大厂P8技术专家,Spring Cloud Alibaba微服务架构实战派(上下册)和RocketMQ消息中间件实战派(上下册)的作者,资深架构师,技术负责人,极客时间训练营讲师,四维口袋KVP最具价值技术专家,技术领域专家团成员,2021电子工业出版社年度优秀作者,获得2023电子工业出版技术成长领路人称号,荣获2024年电子工业出版社博文视点20周年荣誉专家称号。
Nacos Spring Boot开启权限校验下的使用历程
cjf_wei的博客
01-21 5606
文章目录Nacos SpringBoot Demonacos客户端鉴权及getConfig流程 在此我们假设你已经成功启动了nacos(无论是standalone亦或是cluster模式),并且开启了权限校验 nacos.core.auth.enabled=true,如果您对权限校验还不明了,可以翻看 从nacos权限控制nacos配置加载 。 这里我们开始使用客户端来开启nacos使用之旅。好吧,先提前告知,一切并不顺利,因为我们盲目的去除了客户端依赖的fastjson… Nacos Spring
深入探索Nacos:微服务治理与配置管理核心技术与最佳实践
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
04-22 5万+
Nacos作为微服务治理与配置管理的重要工具,为全球开发者构建高效、稳定、安全的微服务体系提供了强大支撑。通过深入学习与实践Nacos的核心技术,开发者不仅能提升现有系统的性能与可靠性,更能为未来复杂、动态的业务场景做好充分准备,持续推动微服务技术的发展与创新。
Nacos学习及详细解释配置与注册
Java后端技术栈
02-17 2万+
Nacos详细解释配置与注册_L_Sueno的博客-CSDN博客_nacos配置文件详解
Nacos注册中心与配置管理
m0_62943934的博客
03-16 905
CAP定理,也称为布鲁尔定理(Brewer’s Theorem),是分布式系统设计中的一个基本概念,由加州大学伯克利分校的教授Eric Brewer在2000年提出。:一种对CAP定理的补充,提出如果在系统没有遇到网络分区(P)的情况下,那么系统需要在一致性(C)和延迟(L, Latency)之间做出选择。阶段发生在应用上下文的正常初始化之前,因此它是定义一些启动阶段行为(如配置服务器的位置、加密解密的密钥等)的理想场所。注意:项目的核心配置,需要更新的配置才有放到nacos管理的必要。
Nacos配置中心简单使用(直接可以上手)
最新发布
qq_54041019的博客
07-11 1248
记录自己学习Nacos(配置中心)的过程,可以做到开发快速使用
nacos的开启鉴权配置与mysql配置
03-23
Nacos 是一个开源的服务发现、配置管理和服务管理平台,通过在 application.properties 中配置 Nacos 的相关属性,可以实现将应用程序注册到 Nacos 服务器、从 Nacos 服务器获取配置信息等功能。 以下是 application...
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
18、分布式配置中心nacos完整源码
07-31
18、分布式配置中心nacos完整源码 参考地址:https://blog.csdn.net/qq23001186/article/details/126083648 - **附录**:资源包含了YApi的json导入,nacos配置集导入 - user_srv/main.go:健康监查与注册对象...
Snappy Java API简介
cjf_wei的博客
06-09 1万+
Snappy是Google开源的压缩/解压缩库。和其他压缩库相比,snappy的压缩率并不是最高的,兼容性也并非最好的。相反,它的诞生旨在以极高的压缩/解压缩速率提供合理的压缩率。Snappy官指出:在64位单核core-i7处理器下,snappy的压缩率能够达到250MB/S,而解压缩速度则能达到500MB/S。目前很多软件使用(或支持)snappy作为压缩库,如MongoDB,Cassandr...
使用Hadoop的JAVA API远程访问HDFS
cjf_wei的博客
02-10 1万+
之前分别介绍了使用Hadoop的C API操作HDFS和使用Hadoop的Java API操作HDFS,在介绍Java访问方式时(C API不存在这样的问题),程序是部署在Hadoop安装环境的,这具有一定的局限性,因为客户端不可能总是运行在Hadoop安装节点上。本文介绍以Java方式远程访问/操作HDFS。 在Hadoop安装环境中和远程访问的主要区别在于Hadoop环境配置的获取和程序的执...
基于Protobuf协议的Dubbo与SpringBoot的结合
cjf_wei的博客
01-17 3032
文章目录工程概况父pomdubbo-provider通过proto3定义服务打包发布服务dubbo-provider-service实现服务dubbo-provider-web提供服务dubbo-consumerdubbo-consumer-apidubbo-consumer-servicedubbo-consumer-web提供服务 这里使用Protobuf作为IDL 定义Dubbo服务,并于SpringBoot相结合,搭建最原始的服务提供及消费模型。基于dubbo2.7.13,注册中心使用zookeep
Redis之Lua脚本:原子性的执行exsits&incr
cjf_wei的博客
07-11 2233
Redis提供的命令虽然不少, 但是严格的说计算能力还是比较有限的. 好在Redis2.6版本后引入Lua脚本, 大大增强了这方面的计算能力. 最重要的是执行lua脚本还具备原子性, 所以在对一致性要求高的环境下, lua脚本或许是个不错的选择.本文通过具体的场景来简介下lua脚本的使用.这里,我们基于Springboot框架的RedisTemplate来操作redis. 问题抽象: 使用redis计数, 计数器的key会在生命周期是15分钟; 每次优先查询redis中的计数器,当计数值不存在时,从数据库
nacos配置中心部署配置
04-29
Nacos配置中心支持部署配置,即在配置文件被修改后,能够自动更新应用程序中的配置信息,无需重启应用程序。 要实现配置中心的部署,首先需要在应用程序中使用Nacos配置客户端来获取配置信息。然后,在Nacos配置中心修改配置信息时,Nacos会自动通知应用程序更新配置信息。 具体实现步骤如下: 1. 在应用程序中引入Nacos配置客户端依赖,例如在Maven项目中,可以添加以下依赖: ```xml <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId> </dependency> ``` 2. 在应用程序的配置文件中配置Nacos配置中心地址和应用程序的配置项,例如: ```yaml spring: application: name: my-application cloud: nacos: config: server-addr: localhost:8848 namespace: your-namespace group: your-group refreshable-dataids: your-config-id ``` 其中,`server-addr`是Nacos配置中心地址,`namespace`是Nacos的命名空间,`group`是配置的分组,`refreshable-dataids`是要部署的配置项的ID。 3. 在应用程序中使用`@Value`注解来获取配置项的值,例如: ```java @RestController public class MyController { @Value("${your-config-id}") private String configValue; @GetMapping("/config") public String getConfig() { return configValue; } } ``` 4. 在Nacos配置中心修改配置信息时,Nacos会自动通知应用程序更新配置信息。应用程序会重新加载最新的配置信息,无需重启应用程序。 需要注意的是,部署的配置项需要在配置文件中加上`@NacosConfigurationProperties`注解,例如: ```java @Configuration @NacosConfigurationProperties(prefix = "your-config-id", dataId = "your-config-id", groupId = "your-group", autoRefreshed = true) public class MyConfig { private String configValue; public String getConfigValue() { return configValue; } public void setConfigValue(String configValue) { this.configValue = configValue; } } ``` 这样,在配置文件中修改配置信息时,应用程序会自动更新`MyConfig`类中的`configValue`属性,无需手动获取配置项的值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值