actuator的自定义权限控制

最新推荐文章于 2024-05-07 20:00:00 发布
最新推荐文章于 2024-05-07 20:00:00 发布
阅读量3.4k 收藏 3
点赞数 2
文章标签: actuator springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanzch/article/details/94464698
版权

因公司安全需求,springboot自带的actuator必须加上权限控制。
但是我又不想因为这个而加上spring-security和数据库,因为很多微服务是不需要这两个的。
当然为了安全原因,用户名密码什么的也不可能代码里写死。
于是想自己添加一个拦截器,碰到actuator请求就检查一下token。

  1. 首先想到的是handlerinterceptor。
    写了个handlerinterceptor,却发现拦截不到actuator的请求。对普通请求是能拦截到的。
  2. 于是改用Filter。
    写完后运行,发现不管是普通的请求还是actuator请求,都可以拦截到,以为大功告成了。于是又设置了一下management.server.port,惊奇的发现,filter不起作用了。

不管百度还是谷歌,都没有找到解决方案,毕竟,官方的方案是加上security。但是我不想那么复杂。
最后无奈翻看actuator的源代码,终于找到了解决方案:
在spring.factories里增加一行:
org.springframework.boot.actuate.autoconfigure.web.ManagementContextConfiguration=xxxxxxxx
即通过上述方式,把configure文件指定为actuator需要加载的配置,同时configure文件里注入filter的bean。这样就一切正常了。

究其原因,是因为独立端口时,actuator使用了自己的一个applicationContext,所以默认的注入方式不会进入actuator的context。
(课后作业:security本质也是注入了filter,为什么会在actuator里生效呢?)

另外,其实还有一个问题,注入filter是需要指定path的,而actuator的path可以通过如下3个参数修改:

  • server.servlet.context-path
  • management.server.servlet.context-path
  • management.endpoints.web.basepath
    那么,注入filter时,path指定什么呢?
    同样翻看源代码,发现可以通过注入 WebEndpointProperties类,来获取到basepath。
varnson
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
详解配置spring-boot-actuator时候遇到的一些小问题
08-28
主要介绍了详解配置spring-boot-actuator时候遇到的一些小问题,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
示例代码:spring actuator添加自定义endpoint
最新发布
06-15
这些端点默认是安全的,可以通过Spring Security进行配置来控制访问权限。 要创建自定义Endpoint,我们首先要创建一个实现`Endpoint`接口的Java类。这个接口有两个主要方法:`id()`和`invoke()`。`id()`方法返回的...
如何解决 Spring Boot Actuator 的未授权访问漏洞
09-22 3587
的作用是提供了一组管理和监控端点,允许你查看应用程序的运行时信息,例如健康状态、应用程序信息、性能指标等。这些端点对于开发、和运维团队来说都非常有用,可以帮助快速诊断问题、监控应用程序的性能,并采取必要的措施来维护和管理应用程序。
Spring actuator漏洞防御措施
Hack_ing的博客
05-07 449
Spring Actuator漏洞防御措施
SpringBoot 监控管理模块actuator没有权限的问题解决方法
08-28
主要介绍了SpringBoot 监控管理模块actuator没有权限的问题解决方法,需要的朋友可以参考下
SpringBoot 监控管理模块actuator没有权限的问题
weixin_33696106的博客
12-14 247
SpringBoot 1.5.9 版本加入actuator依赖后, 访问/beans 等敏感的信息时候报错,如下 Tue Mar 07 21:18:57 GMT+08:00 2017There was an unexpected error (type=Unauthorized, status=401).Full authentication is required to access...
Spring Security ,Spring Actuator添加登录认证
三侠剑的博客
09-28 3903
一、继承WebSecurityConfigurerAdapter @Configuration(proxyBeanMethods = false) public class ActuatorSecurity extends WebSecurityConfigurerAdapter { } 二、 配置限制 1. 不认证 @Override protected void configure(HttpSecurity http) throws Exception { ...
springboot-actuator 401 无权限
konghen12的博客
08-25 1136
在使用springboot-actuator模块时,在 pom.xml 的dependency节点中,新增spring-boot-starter-actuator的依赖:<dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-actuator</artifac
死磕源码系列【springboot actuator使用相同或不同management.server.port端口ApplicationContext应用程序上下文源码详解】
OceanSky的专栏
11-24 7608
springboot actuator用于springboot项目健康监控,默认端口和应用程序相同,这时它们使用同一个应用程序上下文及tomcat容器;当management.server.port端口和应用程序不同时,actuator的应用上下文是系统的子上下文,使用独立的tomcat容器,这时如果我想拦截actuator应用程序的端点、管理actuator的容器及bean又该如何下手呢? 1.监控的端口相同时正常的拦截器及过滤器都可以拦截到端点的请求,但是当端口不同的时候这些统统失效了,啊啊崩溃,如.
使用SpringBoot Actuator监控应用示例
08-27
对于敏感信息的访问限制Actuator默认对某些端点设置了权限控制,只有具有特定角色(如ACTUATOR)的用户才能访问。你可以通过设置`management.security.enabled`为`false`来禁用所有安全限制,或者结合Spring ...
最新SpringBoot框架后台管理模板(带权限控制)
12-22
5.监控框架---------actuator、remote-shell 6.日志-------------logback 7.前台框架---------thymeleaf 8.生成工具---------generator(自动生成bean、mapper、SQL) 9.分页插件---------pagehelper 功能: 1....
SpringBoot2.0-Actuator监控参数说明
07-10
- **Endpoint Security**:默认情况下,Actuator端点是开放的,但在生产环境中,为了安全考虑,通常需要进行权限控制,可以通过`management.security.enabled`属性来启用或禁用端点的安全性。 - **自定义Endpoint*...
Springboot入门之集成Actuator
qq_34253002的博客
03-19 683
Actuator是spring boot下的一个模块,提供http (或JMX)端点来实现对应用程序的监视和管理、收集运行状况等功能。
Spring Boot Actuator 基本配置以及使用 Shiro 进行安全认证
梦想触手可及
05-31 1521
***模块提供了生产级别的功能,比如健康检查、审计、指标收集、HTTP跟踪等,帮助我们更好地管理 **_Spring Boot _**应用。
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 1万+
1、信息泄露:未授权的访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
spring boot 源码解析55-spring boot actuator HandlerMapping全网独家揭秘
qq_26000415的博客
02-01 1万+
全网独家揭秘--> 揭开EndpointHandlerMapping的面纱,深度好文,等你来读
Spring Boot后端: Actuator未授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator未授权访问漏洞解决
SpringBoot - 集成Actuator(应用信息显示、修改系统日志、增加账号密码登录)
weixin_39651356的博客
11-30 2097
SpringBoot - 集成Actuator(应用信息显示、修改系统日志、增加账号密码登录)
springboot actuator 权限
05-15
Spring Boot Actuator 提供了可视化的监控和管理应用程序的端点。但是,默认情况下,所有的 Actuator 端点都是公开的,任何人都可以访问这些端点。如果我们希望限制某些端点的访问权限,可以通过以下几种方式实现: 1. 基于角色的访问限制:可以通过在应用程序的 application.properties/yaml 中配置 management.endpoints.web.access.roles 属性来限制某些 Actuator 端点的访问。例如,配置 management.endpoints.web.access.roles=ACTUATOR_USER 将只允许具有 ACTUATOR_USER 角色的用户访问 Actuator 端点。 2. 自定义访问限制:如果需要更复杂的访问限制,可以实现自定义访问限制类,并配置到应用程序的容器中。例如,可以实现一个基于 IP 地址访问限制的类,只允许特定 IP 地址访问 Actuator 端点。 3. 安全框架访问限制:如果应用程序已经使用了安全框架,如 Spring Security,可以通过配置安全框架来限制 Actuator 端点的访问权限,例如基于用户认证授权和角色授权等。 综上所述,Spring Boot Actuator 提供了多种方式来限制 Actuator 端点的访问权限,应用程序可以根据自己的需求选择适合自己的方式实现。限制访问权限有助于保护应用程序的敏感信息,提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值