从nacos的权限控制看nacos的配置热加载

最新推荐文章于 2024-06-05 18:58:01 发布
最新推荐文章于 2024-06-05 18:58:01 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: JAVA 文章标签: nacos docker spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjf_wei/article/details/111997947
版权

nacos的权限控制及配置热加载

最近在使用nacos,部署在k8s集群上,使用的是从源码自己打的镜像。在配置nacos的权限认证功能时, 发现无法生效,而且所谓的配置修改立即生效也无法实现,下面就探讨下这是什么原因导致的?同时也看下nacos所说配置修改立即生效是如何实现的?

基于nacos-1.3.3

nacos的权限控制是什么样的

nacos通过将用户绑定到某个角色上,然后赋予某个角色对某个资源(命名空间)的读写权限,假如当前登录的用户对某个空间没有访问权限,那么其试图访问该资源时,会通过弹框等方式予以拒绝,大致是这样的…
在这里插入图片描述

nacos是如何进行权限控制的

nacos的权限控制在AuthFilter中实现

com.alibaba.nacos.core.auth.AuthFilter#doFilter

// 被加上@Secured注解,并且auth鉴权开关打开了,将进行权限校验
if (method.isAnnotationPresent(Secured.class) && authConfigs.isAuthEnabled()) {
                
    if (Loggers.AUTH.isDebugEnabled()) {
        Loggers.AUTH.debug("auth start, request: {} {}", req.getMethod(), req.getRequestURI());
    }
    
	// 获取需要权限认证的方法, 和请求进行校验
    Secured secured = method.getAnnotation(Secured.class);
    String action = secured.action().toString();
    String resource = secured.resource();
    
    if (StringUtils.isBlank(resource)) {
        ResourceParser parser = secured.parser().newInstance();
        resource = parser.parseName(req);
    }
    
    if (StringUtils.isBlank(resource)) {
        // deny if we don't find any resource:
        throw new AccessException("resource name invalid!");
    }
	// 正真进行权限校验的地方,对当前用户及其角色的进行权限验证
    authManager.auth(new Permission(resource, action), authManager.login(req)); 
}

当方法被加上Secured注解即意味着该方法需要进行权限校验,比如"/nacos/v1/console/namespaces",其实现

@PostMapping
@Secured(action = ActionTypes.WRITE, parser = ConfigResourceParser.class)
public Boolean publishConfig(HttpServletRequest request...)

权限校验的方式并不复杂,具体就是首先获取当前登录用户的所有角色(查询roles表),如果角色具有全局的ROLE_ADMIN角色,则校验通过;
其次校验其访问的命名空间,最后查询当前用于持有的角色在permissions表中被赋予的权限,并和"@Secured"注解赋予的action权限进行对比

开启权限控制的开关

auth开关的读取是通过 ReloadableConfigs实现的,ReloadableConfigs的实现其实就是启动定时任务,不断的读取appliaction.properties的配置并更新至内存

public class ReloadableConfigs {
    
    private static final String FILE_PREFIX = "file:";
    
    private Properties properties;
    
    @Value("${spring.config.location:}")
    private String path;
    
    /**
     * Periodically load configuration file information.
     *
     * @throws IOException IOException
     */
    @Scheduled(fixedRate = 5000)
    public void reload() throws IOException {
        final Properties properties = new Properties();
        InputStream inputStream = null;
        if (StringUtils.isNotBlank(path) && path.contains(FILE_PREFIX)) {
            String[] paths = path.split(",");
            path = paths[paths.length - 1].substring(FILE_PREFIX.length());
        }
        try {
            inputStream = new FileInputStream(new File(path + "application.properties"));
        } catch (Exception ignore) {
        }
        if (inputStream == null) {
            inputStream = getClass().getResourceAsStream("/application.properties");
        }
        properties.load(inputStream);
        inputStream.close();
        this.properties = properties;
    }
    
    public final Properties getProperties() {
        return properties;
    }
}

从"spring.config.location"配置的路径下读取配置,如果文件不存在则试图读取classPath下的文件

为什么权限控制开关失效

为什么在application.properties中将nacos.core.auth.enabled=true打开,为什么当时的auth功能失效了?
在程序启动后,通过arthas读取com.alibaba.nacos.core.env.ReloadableConfigs#getProperties发现配置不变
原因就是没有读取到application.properties
首先,ReloadableConfigs#reloadspring.config.location配置在哪儿? 在程序启动脚本中是这样的

export DEFAULT_SEARCH_LOCATIONS="classpath:/,classpath:/config/,file:./,file:./conf/"
export CUSTOM_SEARCH_LOCATIONS=${BASE_DIR}/init.d/,file:${BASE_DIR}/conf/,${DEFAULT_SEARCH_LOCATIONS}

...
JAVA_OPT="${JAVA_OPT} --spring.config.location=${CUSTOM_SEARCH_LOCATIONS}"

...
$JAVA ${JAVA_OPT} > ${BASE_DIR}/logs/start.out

而reload方法默认读取的路径是最后一个路径下的配置,如果配置不当,那么该路径下没有文件,自然就无法读取到

cjf_wei
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nacos配置中心原理分析
02-24
下面我将来和大家一起来了解下Nacos的动态配置的能力,看看Nacos是如何以简单、优雅、高效的方式管理配置,实现配置的动态变更的。我们用一个简单的例子来了解下Nacos的动态配置的功能。首先我们要准备一个Nacos的...
nacos的开启鉴权配置与mysql配置
03-23
Nacos 是一个开源的服务发现、配置管理和服务管理平台,通过在 application.properties 中配置 Nacos 的相关属性,可以实现将应用程序注册到 Nacos 服务器、从 Nacos 服务器获取配置信息等功能。 以下是 application...
nacos权限认证(二) 开启权限认证
热门推荐
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos权限认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos权限漏洞问题就解决了。
【云原生】nacos权限制认证--官方参考文档一阅
一个菜鸡的博客
12-04 6267
启用鉴权之后,需要在使用用户名和密码登录之后,才能正常使用nacos。开启鉴权之前,application.properties中的配置信息为: 开启鉴权之后,application.properties中的配置信息为: 注意:鉴权开关是修改之后立马生效的,不需要重启服务端。官方镜像如果使用官方镜像,请在启动docker容器时,添加如下环境变量 例如,可以通过如下命令运行开启了鉴权的容器: 除此之外,还可以添加其他鉴
nacos1.4.2开启鉴权后提示 没有 public 命名空间的访问权限
最新发布
JFENG14的博客
06-05 320
nacos的数据库的roles表中添加记录。可以在数据库中添加角色。
Hdfs页面操作文件出现 Permission denied: user=dr.who, access=WRITE, inode=“/“:hadoop:supergroup:drwxr-xr问题解决
biuubi的博客
05-24 1万+
错误描述:Permission denied: user=dr.who, access=WRITE, inode="/":hadoop:supergroup:drwxr-xr-x 先开始一直纠结我是用hadoop用户登录操作的,为什么会是dr.who,dr.who其实是hadoop中http访问的静态用户名,并没有啥特殊含义,可以在core-default.xml中看到其配置, hadoop.http.staticuser.user=dr.who 我们可以通过修改core-site.xml,配置为当前用户,
问题:Permission denied: user=dr.who, access=WRITE, inode=“/“:hadoop:supergroup:drwxr-xr-x
Shenshen2017的博客
12-26 2882
搭建Hadoop HA集群时,遇到的问题:Permission denied: user=dr.who, access=WRITE, inode=“/“:hadoop:supergroup:drwxr-xr-x 即在HDFS提供的网页上新建文件等其他操作、Linux系统的hdfs fs -mkdir /input 等其他操作时,提示报错,不能实现操作 解决方法:采用在Linux系统编辑opt/ha/hadoop-3.1.3/etc/hadoop/core-site.xml 添加: <prope.
nacos登录 提示权限认证失败 没有命名空间的访问权限
MssGuo的博客
04-19 1万+
nacos登录 提示权限认证失败 没有命名空间的访问权限
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
18、分布式配置中心nacos完整源码
07-31
18、分布式配置中心nacos完整源码 参考地址:https://blog.csdn.net/qq23001186/article/details/126083648 - **附录**:资源包含了YApi的json导入,nacos配置集导入 - user_srv/main.go:健康监查与注册对象...
腾讯云微服务引擎的nacos使用问题个人总结
u013081768的博客
03-24 4096
微服务引擎的nacos存在问题: 问题1、配置管理里新建的用户在命名空间导入配置时提示没有权限,无法批量导入配置,只有最初的nacos用户可以,新建用户有对应命名空间的读写权限; 解答:基于安全问题,在TSE创建的Nacos实例,控制台默认开启了鉴权,相当于Nacos配置文件中nacos.core.auth.enabled设置为true,这样设置后,在nacos源码的实现中,是仅支持有public读写权限的用户进行配置删除及导入的。 解决方法:为用户分配public命名空间的读写权限
Nacos 获取配置时启用权限认证
架构师的成长之路的博客
04-28 9674
默认情况下获取Nacos中的配置是不需要权限认证的, 这个估计是由其使用场景决定的(绝大多数都是仅内网可访问). 今天调查了下如何在获取配置时增加权限验证以提高其安全性. 1. 启用 Nacos权限认证 只要nacos.core.auth.enabled设置为true就行了. ### If turn on auth system: nacos.core.auth.enabled=true 2. 添加 Nacos 用户 默认的用户nacos绑定的角色是ROLE_ADMIN...
Hadoop[3.3.x]Permission denied: user=dr.who, access=WRITE, inode=“/“:xxx:supergroup:drwxr-xr-x
雨潇的专栏
04-09 1215
在core-site.xml文件中添加如上配置,然后重启dfs,再回到页面操作文件就正常了。这个用户没有操作的权限,需要给改用户添加页面相关操作的权限
nacos开启注册认证。springbootspringcloud)
qq_44810112的博客
10-20 3409
springboot使用设置nacos认证
Nacos2.2.2开启鉴权配置
AnAnCow
04-21 2万+
最近公司开启了一个新的电商项目,项目中用到了Naocs作为注册中心和配置中心,在将Nacos服务器启动后,发现是直接可以访问Nacos的后台不用登录,看了一下官方的介绍,开启登录的的话需要开启鉴权,那么将我实测后的配置记录一下!
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
(自用小结)错误描述:Permission denied: user=dr.who, access=WRITE, inode=“/“:hadoop:supergroup:drwxr-xr-x
bmxhzp的博客
12-08 4473
一开始四处搜索原因跟解决办法,大多数都是下面提到的两种办法,但是也碰到了一个大坑,属于是新手连环套了。。 翻阅了多个解决办法之后定位到是web用户默认使用的dr.who登录导致,一直纠结这个dr.who的设置,结果在hadoop3.2.1中一直没找到core-default.xml的配置,找了其他xml也没发现网上所谓的hadoop.http.staticuser.user=dr.who配置,最后只能先尝试使用了搜到的两种办法 一是直接修改/tmp目录的权限设置,操作如下, [hadoop@server m
Nacos—鉴权详解
深圳市多克创新科技有限公司
10-30 8285
Nacos—鉴权
Hadoop常见错误及解决方案、Permission denied: user=dr.who, access=WRITE, inode=“/“:summer:supergroup:drwxr-xr-x
Redamancy06的博客
08-08 5059
配置HDFS网页登录使用的静态用户、主机名称不要起hadoop hadoop000等特殊名称、DataNode和NameNode进程同时只能工作一个、执行命令不生效,粘贴Word中命令时,遇到-和长–没区分开。导致命令失效、jps发现进程已经没有,但是重新启动集群,提示进程已经开启、jps不生效原因:全局变量hadoop java没有生效。解决办法:需要source /etc/profile文件。、8088端口连接不上、防火墙没关闭、或者没有启动YARN...
nacos配置中心部署配置
04-29
Nacos配置中心支持部署配置,即在配置文件被修改后,能够自动更新应用程序中的配置信息,无需重启应用程序。 要实现配置中心的部署,首先需要在应用程序中使用Nacos配置客户端来获取配置信息。然后,在Nacos配置中心修改配置信息时,Nacos会自动通知应用程序更新配置信息。 具体实现步骤如下: 1. 在应用程序中引入Nacos配置客户端依赖,例如在Maven项目中,可以添加以下依赖: ```xml <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId> </dependency> ``` 2. 在应用程序的配置文件中配置Nacos配置中心地址和应用程序的配置项,例如: ```yaml spring: application: name: my-application cloud: nacos: config: server-addr: localhost:8848 namespace: your-namespace group: your-group refreshable-dataids: your-config-id ``` 其中,`server-addr`是Nacos配置中心地址,`namespace`是Nacos的命名空间,`group`是配置的分组,`refreshable-dataids`是要部署的配置项的ID。 3. 在应用程序中使用`@Value`注解来获取配置项的值,例如: ```java @RestController public class MyController { @Value("${your-config-id}") private String configValue; @GetMapping("/config") public String getConfig() { return configValue; } } ``` 4. 在Nacos配置中心修改配置信息时,Nacos会自动通知应用程序更新配置信息。应用程序会重新加载最新的配置信息,无需重启应用程序。 需要注意的是,部署的配置项需要在配置文件中加上`@NacosConfigurationProperties`注解,例如: ```java @Configuration @NacosConfigurationProperties(prefix = "your-config-id", dataId = "your-config-id", groupId = "your-group", autoRefreshed = true) public class MyConfig { private String configValue; public String getConfigValue() { return configValue; } public void setConfigValue(String configValue) { this.configValue = configValue; } } ``` 这样,在配置文件中修改配置信息时,应用程序会自动更新`MyConfig`类中的`configValue`属性,无需手动获取配置项的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值