执行器的Spring启动和安全性事件

最新推荐文章于 2023-01-05 20:32:16 发布
最新推荐文章于 2023-01-05 20:32:16 发布
阅读量167 收藏
点赞数
文章标签: java spring spring boot mysql python

Spring Boot Actuator提供了审核功能,用于在启用Spring Security的Spring Boot应用程序中发布和侦听与安全相关的事件。 默认事件是身份验证成功,身份验证失败和访问被拒绝,但是可以使用自定义事件进行扩展。

确保在项目中启用了Spring Boot Security和Actuator

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

执行器

默认情况下, /auditevents端点/auditevents启用状态,因此在启动应用程序(并使用应用程序日志中提供的用户名user和password登录)后,您可以看到当前的安全事件: 

{
  "events": [
    {
      "timestamp": "2017-03-14T22:59:58+0000",
      "principal": "user",
      "type": "AUTHENTICATION_FAILURE",
      "data": {
        "details": {
          "remoteAddress": "0:0:0:0:0:0:0:1",
          "sessionId": null
        },
        "type": "org.springframework.security.authentication.BadCredentialsException",
        "message": "Bad credentials"
      }
    },
    {
      "timestamp": "2017-03-14T23:00:07+0000",
      "principal": "user",
      "type": "AUTHENTICATION_SUCCESS",
      "data": {
        "details": {
          "remoteAddress": "0:0:0:0:0:0:0:1",
          "sessionId": null
        }
      }
    }
  ]
}

/auditevents端点接受请求的可选参数:

  • pricipal -主体名称
  • after –事件发生后的日期,格式如下: yyyy-MM-dd'T'HH:mm:ssZ
  • type –事件类型(例如AUTHORIZATION_FAILURE,AUTHENTICATION_SUCCESS,AUTHENTICATION_FAILURE,AUTHENTICATION_SWITCH)

请求示例:

http:// localhost:8080 / auditevents?type = AUTHORIZATION_FAILURE&after = 2017-03-14T23%3A14%3A12%2B0000&principal = anonymousUser

端点实现使用org.springframework.boot.actuate.audit.AuditEventRepository返回所有已注册的审核事件。

  • 自定义/auditevents端点

您可以使用endpoints.auditevents.*属性来自定义端点。 例如,要更改审核事件端点的路径,只需使用endpoints.auditevents.path属性。

使用

安全事件由执行器中的org.springframework.boot.actuate.audit.AuditEvent值对象表示。 该对象包含时间戳,用户名,事件类型和事件数据。

获得有关审核事件的最简单方法是通过Spring的org.springframework.context.event.EventListener订阅org.springframework.boot.actuate.audit.listener.AuditApplicationEvent事件: 

@Component
public class AuditApplicationEventListener {

    private static final Logger LOG = LoggerFactory.getLogger(AuditApplicationEventListener.class);

    @EventListener
    public void onAuditEvent(AuditApplicationEvent event) {
        AuditEvent actualAuditEvent = event.getAuditEvent();

        LOG.info("On audit application event: timestamp: {}, principal: {}, type: {}, data: {}",
            actualAuditEvent.getTimestamp(),
            actualAuditEvent.getPrincipal(),
            actualAuditEvent.getType(),
            actualAuditEvent.getData()
        );

    }
}

输出示例: 

2017-03-15 00:44:12.921  INFO 13316 --- [nio-8080-exec-1] p.c.d.s.s.AuditApplicationEventListener  : On audit event: timestamp: Wed Mar 15 00:44:12 CET 2017, principal: user, type: AUTHENTICATION_SUCCESS, data: {details=org.springframework.security.web.authentication.WebAuthenticationDetails@b364: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: null}

异步事件

@EventListener是同步的,但是如果需要异步行为,则可以使用@Async注释事件侦听器方法,并确保启用了异步(例如,通过@EnableAsync ): 

@Component
public class AuditApplicationEventListener {

    private static final Logger LOG = LoggerFactory.getLogger(AuditApplicationEventListener.class);

    @EventListener
    @Async
    public void onAuditEvent(AuditApplicationEvent event) {

    }
}

并配置: 

@SpringBootApplication
@EnableAsync
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class);
    }
}

使用

或者,您可以扩展org.springframework.boot.actuate.audit.listener.AbstractAuditListener并覆盖其org.springframework.boot.actuate.audit.listener.AbstractAuditListener#onAuditEvent方法: 

@Component
public class AuditEventListener extends AbstractAuditListener {

    private static final Logger LOG = LoggerFactory.getLogger(AuditEventListener.class);

    @Override
    protected void onAuditEvent(AuditEvent event) {
        LOG.info("On audit event: timestamp: {}, principal: {}, type: {}, data: {}",
            event.getTimestamp(),
            event.getPrincipal(),
            event.getType(),
            event.getData()
        );
    }
}

注意:事件存储库中不会存储任何事件,因此/auditevents端点将始终返回空数组。 要解决此问题,您可以注入审核存储库,也可以直接从org.springframework.boot.actuate.audit.listener.AuditListener扩展: 

@Component
public class AuditEventListener extends AbstractAuditListener {

    private static final Logger LOG = LoggerFactory.getLogger(AuditEventListener.class);

    @Autowired
    private AuditEventRepository auditEventRepository;

    @Override
    protected void onAuditEvent(AuditEvent event) {

        LOG.info("On audit event: timestamp: {}, principal: {}, type: {}, data: {}",
            event.getTimestamp(),
            event.getPrincipal(),
            event.getType(),
            event.getData()
        );

        auditEventRepository.add(event);
    }
}

与事件发布者发布自己的审核事件

在下面的示例中,使用应用程序事件发布者( org.springframework.context.ApplicationEventPublisher )来发布类型为CUSTOM_AUDIT_EVENT的自定义审核事件。 新的侦听器方法仅侦听那些新事件,而先前的方法将忽略它们(请注意,这只是一个示例)。 与其他事件一样,自定义事件将使用审核事件存储库进行存储。 

@Component
public class AuditApplicationEventListener {

    private static final Logger LOG = LoggerFactory.getLogger(AuditApplicationEventListener.class);

    @Autowired
    private ApplicationEventPublisher applicationEventPublisher;

    @EventListener(condition = "#event.auditEvent.type != 'CUSTOM_AUDIT_EVENT'")
    @Async
    public void onAuditEvent(AuditApplicationEvent event) {
        AuditEvent actualAuditEvent = event.getAuditEvent();

        LOG.info("On audit application event: timestamp: {}, principal: {}, type: {}, data: {}",
            actualAuditEvent.getTimestamp(),
            actualAuditEvent.getPrincipal(),
            actualAuditEvent.getType(),
            actualAuditEvent.getData()
        );
        applicationEventPublisher.publishEvent(
            new AuditApplicationEvent(
                new AuditEvent(actualAuditEvent.getPrincipal(), "CUSTOM_AUDIT_EVENT")
            )
        );
    }

    @EventListener(condition = "#event.auditEvent.type == 'CUSTOM_AUDIT_EVENT'")
    public void onCustomAuditEvent(AuditApplicationEvent event) {
        LOG.info("Handling custom audit event ...");
    }
}

注意示例代码

可以在spring-boot-thymeleaf存储库中找到本文的示例代码。 默认情况下,两个配置文件中的安全性均处于禁用状态。 通过更改application.propertiessecurity.basic.enabled属性来启用它。

翻译自: https://www.javacodegeeks.com/2017/03/spring-boot-security-events-actuator.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot Actuator执行器运行原理详解
08-24
在 application.properties 文件中,需要禁用执行器端点的安全性: ```properties management.security.enabled = false ``` YAML 文件用户可以在 application.yml 文件中添加以下属性: ```yaml management: ...
springboot actuator_Springboot之Actuator详解
weixin_39532421的博客
11-26 842
SpringBoot提供了很多的附加功能用来监控及管理它;提供了两种方式进行管理:HTTP和JMX方式。启用方式:项目中直接加入依赖即可pom.xml org.springframework.boot spring-boot-starter-actuator Actuator提供了如下端点显示功能:/auditevents:显示当前应用程序的审核事件信息。...
Spring注解 @EventListener 的介绍与使用示例以及异常处理
热门推荐
i余数的博客
01-05 1万+
将一个方法标记为监听器,用于监听应用程序事件事件可以是 ApplicationEvent实例,也可以是其他任意的对象。
jHipster学习第一步
疯狂的蒲公英
08-15 1210
下图在放在官网上的结构。对新手来说,能读出来的信息量几乎没有。这里解读一下,jHipster除了以下绿框问题需要根据项目的业务类型去创建,其他需要的工具它基本上帮我们准备好了,直接拿来用即可。如果觉得jHipster很庞大,无从下手,建议从它各个板块单独 去理解。jHipster Registry + uaa + Getway + microservices app 这四个会用就基本入门了。 ...
Spring Boot + Spring Security Oauth 搭建SSO服务器和客户端教程
李剑
04-26 2447
简介 本项目分为auth-server(auth-server-demo)和auth-client(auth-clien-demo)两个部分,两个项目都采用Spring boot搭建,为了演示方便,采用内存存储用户和token,登录与授权页面都引用自带的页面,虽然样式不美观,但不影响演示效果。 auth-server-demo引用了spring-cloud-starter-oauth2依赖,他...
spring boot 源码解析31-AuthenticationAuditListener,AuthorizationAuditListener
qq_26000415的博客
01-23 1万+
前言这篇文章我们来分析一下org.springframework.boot.actuate.security,org.springframework.boot.actuate.audit中的代码,这2个包的类是对spring security 的事件进行处理的.类图如下:解析AuditEventAuditEvent–> 1个值对象–>代表了1个audit event: 在特定的时间,1个特定的用户或
学习笔记随记-2019-01-11-Spring Cloud Security+Oauth2+JWT权限认证与zuul结合遇到的问题
nvluco的博客
01-13 1万+
20190111 1.学到的知识 1.1.记录问题 1.1.1回到昨天的问题,继续解决: 报错二: postman的返回结果信息如下: 将日志输出转换为debug,查看控制台日志如下: 2019-01-11 00:13:04.663 DEBUG 21056 --- [http-nio-9090-exec-6] o.s.boot.actuate.audit.listener.AuditList...
spring boot如何添加拦截器
08-30
Spring Boot应用中,添加拦截器是实现特定功能,如权限控制、日志记录或性能监控等的关键步骤。本文将详细介绍如何在Spring Boot项目中配置和...通过这种方式,你可以灵活地控制应用程序的行为,增强其功能和安全性
SpringCloud 25 道面试题和答案.docx
06-14
Spring Cloud流应用程序启动器简化了创建和运行集成应用程序的过程,而Spring Cloud Task 则专注于短暂任务的执行。 使用Spring Cloud的优势主要体现在以下几个方面: 1. **服务发现**:Spring Cloud 提供了Eureka...
SpringCloud面试专题
01-15
Spring Cloud 流应用程序启动器则是为了简化集成外部系统,而Spring Cloud Task 则用于构建执行一次性任务的微服务。 **使用Spring Cloud的优势:** 1. **简化分布式系统复杂性**:Spring Cloud 提供了一套统一的...
Spring Boot Actuator:健康检查、审计、统计和监控,Shutdown Endpoint增加用户认证
z69183787的专栏
11-11 1518
Spring Boot Actuator可以帮助你监控和管理Spring Boot应用,比如健康检查、审计、统计和HTTP追踪等。所有的这些特性可以通过JMX或者HTTP endpoints来获得。 Actuator同时还可以与外部应用监控系统整合,比如 Prometheus, Graphite, DataDog, Influx, Wavefront, New Relic等。这些系统提供了非常好的仪表盘、图标、分析和告警等功能,使得你可以通过统一的接口轻松的监控和管理你的应用。 Actuator使用Mi
Spring Boot运行状态监控 Actuator
weixin_42466157的博客
02-20 1243
Spring Boot的Actuator提供了运行状态的监控的功能,Actuator的监控数据可以通过REST、远程shell(1.5之后的版本弃用)和JMX方式获得。我们首先介绍通过REST方式查看Actuator的节点的方法,这是最常见且简单的方法。 在工程的pom文件中引入Actuator的起步依赖spring-boot-starter-actuator,代码清单如下: <depend...
跟着JHipster学做项目 (4)审计功能
java_augur的专栏
05-09 1054
JHipster的基础应用里实现了对用户登录的审计功能,该功能可以控制用户密码输入错误次数的限定。此外,通过扩展模块实现了实体审计功能。 实体的审计功能分两个方面: 在对实体进行创建或者修改时,自动添加用户和更改日期等信息。 在对实体进行创建或者修改时,系统自动记录每次更改的内容,相当于对实体实现版本记录功能。 下面来分别看一下JHipster的具体实现方式。 用户登录审计功能: 创建自定义repository来实现AuditEventRepository,如下所示: @Repository
springboot研究七:springboot自带监控actuator
zjj2006的专栏
05-06 4273
springboot中自带监控工具actuator,在对监控要求不高的情况下,可以满足我们使用
06-SpringBoot核心功能之指标监控(了解)
05-27 399
目录提前预知01、SpringBoot Actuator1.1、简介1.2、如何使用02、Actuator Endpoint03、定制 Endpoints04、 提前预知 课程笔记来源于雷神的SpringBoot2教程 参考文档地址:参考文档 要学会查看官方文档!!!!!!!!! 01、SpringBoot Actuator 1.1、简介 每一个微服务在云上部署以后,我们都需要对其进行监控、追踪、审计、控制等。SpringBoot就抽取了Actuator场景,使得我们每个微服务快速引用即可获得生产级别的
你是否已经精通了SpringBoot执行器功能了呢?不精通就来学
jinggege795的博客
04-30 207
Spring Boot执行器功能 仅创建有效应用程序并共享标准化API说明文档并非我们的全部目标,特别是如果我们谈论的是微服务,其中有许多独立实体需要构建一个托管环境。因此,下一个值得一提的重要事项是监控和收集来自应用程序的指标信息。在这方面,Spring Boot也全程参与。项目Spring Boot执行器(Spring Boot Actuator)提供了许多内置端点(Endpoint),允许开发人员监控应用程序并与之交互。要在项目中启用它,开发人员应该在依赖项中包含 spring-boot-start
Springboot Actuator之十:actuator中的audit包
weixin_30337157的博客
08-09 979
前言这篇文章我们来分析一下org.springframework.boot.actuate.security,org.springframework.boot.actuate.audit中的代码,这2个包的类是对spring security 的事件进行处理的.类图如下: 二、源码解析 2.1、AuditEvent事件类 AuditEvent–> 1个值对象–>代表了1个a...
Spring Boot执行原理
最新发布
07-27
Spring Boot的执行原理包括以下几个关键步骤: ...总体来说,Spring Boot的执行原理是通过自动配置、外部化配置和条件化加载等机制,简化了开发者的工作,使得应用可以快速启动,并按需加载所需的组件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值