常见的配置中心:Apollo(三)-安全相关

最新推荐文章于 2024-07-25 09:00:00 发布
最新推荐文章于 2024-07-25 09:00:00 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: 微服务 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiranet/article/details/116431400
版权

配置中心作为基础服务,存储着公司非常重要的配置信息,所以安全因素需要大家重点关注,Apollo提供多方面的实践

1 认证

1.1 使用Apollo提供的Spring Security简单认证

可能很多公司并没有统一的登录认证系统,如果自己实现一套会比较麻烦。Apollo针对这种情况,从0.9.0开始提供了利用Spring Security实现的Http Basic简单认证版本。

从0.9.0版开始之后执行完Apollo的sql脚本之后,能使用apollo/admin登录Apollo管理界面。

1.2 使用SSO方式登录

在官方文档中说道

  1. SSO会提供一个jar包,需要配置一个filter
  2. filter会拦截所有请求,检查是否已经登录
  3. 如果没有登录,那么就会跳转到SSO的登录页面
  4. 在SSO登录页面登录成功后,会跳转回apollo的页面,带上认证的信息
  5. 再次进入SSO的filter,校验认证信息,把用户的信息保存下来,并且把用户凭证写入cookie或分布式session,以免下次还要重新登录
  6. 进入Apollo的代码,Apollo的代码会调用UserInfoHolder.getUser获取当前登录用户

注意,以上1-5这几步都是SSO的代码,不是Apollo的代码,Apollo的代码只需要你实现第6步。

其实当执行UserInfoHolder.getUser的时候已经完成了Spring Security登录的过滤链,通过查看代码AuthConfiguration可知Apollo通过不同的profile来实现登录方法的初始化,因此可以通过在代码中追加自定义的SSO逻辑链路来支持SSO登录,由于篇幅较大,日后时间会写另外一遍博文进行阐述。

除此之外Apollo还提供了LDAP和OIDC的登录,鉴于作者目前碰到的系统少有使用,所以就不做讨论。

2 授权

2.1 用户管理

http://127.0.0.1:8070/user-manage.html中新增访问系统的用户

2.2 项目管理员权限

创建项目时填写的应用负责人默认会成为项目的管理员之一,如果还需要其他人也成为项目管理员,可以按照下面步骤操作:

进入管理项目页面

追加用户到管理员当中

2.3 编辑、发布权限授权

项目管理员拥有细分权限的赋权权限,因此如果只允许其只有发布或编辑某个权限,那么就在对应配置上面给予对应账号权限即可

没有发布权限

没有编辑权限

2.4 查看权限

从1.1.0版本开始,apollo-portal增加了查看权限的支持,可以支持配置某个环境只允许项目成员查看私有Namespace的配置。 这里的项目成员是指: 项目的管理员 具备该私有Namespace在该环境下的修改或发布权限 

通过追加环境来禁止人员查看配置,在管理员工具-》系统参数的configView.memberOnly.envs

没有查看权限的时候

拥有查看权限的时候

3 系统访问

3.1 敏感配置访问

Apollo从1.6.0版本开始增加访问密钥机制,从而只有经过身份验证的客户端才能访问敏感配置。如果应用开启了访问密钥,客户端需要配置密钥,否则无法获取配置。

在管理秘钥页面启用秘钥

所有尝试拉取该环境配置的服务将会被拒绝

reason: java.io.IOException: Server returned HTTP response code: 401 for URL

需要在客户端进行配置,方能正常拉取配置

apollo:
  accesskey:
    secret: 098f6bcd4621d373cade4e832627b4f6 #在portal中的环境秘钥

3.2 admin-service访问控制

1.7.1及以上版本可以考虑为apollo-adminservice开启访问控制,从而只有受控的apollo-portal才能访问对应接口,增强安全性

admin-service.access.control.enabled默认为fale,当设置为true的时候并且同时设置admin-service.access.tokens将可以设置admin-service访问控制

portal的日志和界面都会提示无法访问

org.springframework.web.client.ResourceAccessException: I/O error on GET request for "http://172.16.0.5:8090/health": Connect to 172.16.0.5:8090 [/172.16.0.5] failed: Connection refused (Connection refused); nested exception is org.apache.http.conn.HttpHostConnectException: Connect to 172.16.0.5:8090 [/172.16.0.5] failed: Connection refused (Connection refused)

通过在数据库设置对应的token来进行访问

{"dev" : "098f6bcd4621d373cade4e832627b4f6"}

引用:https://www.apolloconfig.com/#/zh/usage/apollo-user-guide?id=_71-安全相关

kiranet
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
java——Apollo配置中心之二——apollo服务端部署
weixin_44034570的博客
09-29 1024
Apollo配置中心集成 运行环境 由于Apollo本身根据SpringBoot和SpringCloud开发的,脚本文件支持windows系统、Linux系统,建议CentOS 7。且本身依赖很少,只依赖数据库mysql。 运行环境如下: JDK环境,1.8以上,最新版服务最低1.8,客户端1.7. MYSQL版本:5.6以上 分布式部署环境 DEV:开发环境 FAT:测试环境,相当于alpha环境(功能测试) UAT:集成环境,相当于beta环境(回归测试) PRO:生产环境 apollo服务端部署
java 链接 apollo_java——Apollo配置中心之二——apollo服务端部署
weixin_39836943的博客
02-25 583
java——Apollo配置中心之二——apollo服务端部署java——Apollo配置中心之二——apollo服务端部署Apollo配置中心集成运行环境由于Apollo本身根据SpringBoot和SpringCloud开发的,脚本文件支持windows系统、Linux系统,建议CentOS 7。且本身依赖很少,只依赖数据库mysql。运行环境如下:JDK环境,1.8以上,最新版服务最低1.8...
记一次诡异的Apollo Long polling failed 401问题
01-10 4837
大家都知道Apollo开启了密钥的情况,如果客户端没配置密钥,请求配置时就会401。 但是我遇到的情况时,客户端读取配置是成功的,但是程序会打警告日志: 2022-01-10 22:37:45.772 WARN [Apollo-RemoteConfigLongPollService-1] RemoteConfigLongPollService.doLongPollingRefresh(197) - Long polling failed, will retry in 1 seconds ......此处省
携程 Apollo 配置中心 | 学习笔记(七) | 如何将配置文件敏感信息加密?
Coder编程的博客
05-14 9460
以上为相关系列文章 通过上述文章,相信我们的环境基本搭建完成! 下面,我们将了解如何对存放在apollo配置中心的文件进行脱敏处理。 一、需求 当我们把我们项目中的所有配置信息,都放入到apollo配置中心时,可能存在一些敏感配置信息,不方便让其他人查看到。这时候我们就需要对我们的敏感信息进行脱敏处理!
Apollo 配置中心的部署与使用经验
最新发布
我不懂,可我不傻
07-25 1344
Apollo(阿波罗)是携程开源的分布式配置管理中心。本文主要介绍其基于 Docker-Compose 的部署安装和一些使用的经验。
Server returned HTTP response code: 401 for URL解决方案
热门推荐
weixin_43114582的博客
04-10 2万+
请求url时报未认证错误解决 场景:需要用户验证,验证方式为HTTP Basic 验证。 使用: 1.设置请求参数并发送post请求: JSONObject paramJson = new JSONObject(); paramJson.put("car_no", "苏A535KU"); paramJson.put("car_color", 2); ...
微服务 分布式配置中心Apollo详解
靖节先生的博客
01-07 3354
微服务 分布式配置中心Apollo详解
Apollo 配置中心(一)
WATERMELON2016的博客
06-25 1194
Apollo 解析 Github 地址:https://github.com/ctripcorp/apollo/ 官方推荐源码解析博客:http://www.iocoder.cn/categories/Apollo/ 一、使用 Apollo 是为了解决什么问题 现在开发同一份程序都会在不同的环境下运行,最常见的就是开发环境、测试环境、预发布环境、生产环境等。如何在不同环境下进行,配置切换呢? 最...
apollo配置中心初探
ganpuzhong42的博客
08-30 9506
最近在搞微服务框架的开发,需要有一个配置中心来满足统一管理业务应用以及组件的配置,在此期间也使用了多个配置中心比如:spring cloud config,自研的配置中心,当然还有apollo。 springcloud config需要依托svn等代码托管工具,而且没有统一管理页面;自研的配置中心最燃功能健全,也能够支持动态获取配置,但是不能够使用多种格式的配置文件,也不支持动态更新客户端配置。
Apollo4B-SDK-2021.03.16
03-17
在描述中,我们只看到了相同的字符串,这暗示着压缩包可能包含与标题完全相关的所有内容,即Apollo 4B SDK的该版本的所有文件和资源。 标签为"C",这可能意味着SDK的核心部分或其中一部分是用C语言编写的,或者它...
typescript-graphql-CRUD:使用Typerscript,Type-GraphQL,TypeORM和Apollo-server-express的基本CRUD操作
03-19
在本项目中,TypeScript用于定义数据模型和接口,确保了类型安全,避免了运行时常见的类型错误。 2. GraphQL: GraphQL是一种用于API的查询语言,由Facebook开发。它允许客户端定义需要的数据形状,从而解决了REST ...
apache-apollo-1.7.1-windows-distro
07-21
这个"apache-apollo-1.7.1-windows-distro"压缩包是 Apollo 项目针对 Windows 操作系统的发行版,包含了在 Windows 平台上运行 Apollo 所需的所有组件和配置文件。 Apollo 的设计目标是提供高可靠性和低延迟的消息...
react-node-apollo-graphql-typescript-demo
04-01
这个项目名为"react-node-apollo-graphql-typescript-demo",主要展示了如何在现代Web开发中集成React、Node.js、Apollo GraphQL以及TypeScript。这个压缩包很可能是为了教学或示例目的,帮助开发者理解如何在实际...
分布式配置中心--Apollo
Suy1__的博客
09-29 1338
Apollo(阿波罗)是携程开源的分布式配置中心,能够集中化管理应用不同环境、不同集群的配置,支持配置热发布并实时推送到应用端,并且具备规范的权限及流程治理等特性,适用于分布式微服务配置管理场景 Apollo配置中心介绍 程序功能日益复杂,程序配置日益增多:各种功能开关、参数配置、服务器地址...对程序配置的期望也越来越高:热部署并实时生效、灰度发布、分环境分集群管理配置、完善的权限审核机...
Apollo 配置中心详细教程
牧小农
09-17 9360
一、简介 Apollo(阿波罗)是携程框架部门研发的分布式配置中心,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性,适用于微服务配置管理场景。 服务端基于Spring Boot和Spring Cloud开发,打包后可以直接运行,不需要额外安装Tomcat等应用容器。 Java客户端 不依赖任何框架,能够运行于所有Java运行时环境,同时对Spring/Spring Boot环境也有较好的支持。 .Net客户端 不依赖任何框架,能够运行于所有.N
Apollo配置中心
xiaolong1155的博客
09-13 313
Apollo(阿波罗)是携程框架部门研发的分布式配置中心,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性,适用于微服务配置管理场景。服务端基于Spring Boot和Spring Cloud开发,打包后可以直接运行,不需要额外安装Tomcat等应用容器。Java客户端不依赖任何框架,能够运行于所有Java运行时环境,同时对Spring/Spring Boot环境也有较好的支持。
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
2401_83974087的博客
04-18 872
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则会抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security的认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
laravel框架接入apollo
JFENG14的博客
12-14 691
1、apollo上创建项目 输入各项参数,AppId可以使用项目英文,而应用名称可使用项目中文 2、添加需要用到的集群 3、生成秘钥,选择DEV环境的生成并且启用 4、laravel接入apollo,添加apollo的命令与配置 在app/Console/Commands/目录下创建apollo定时任务文件ApolloCommentCount.php,内容如下 <?php namespace App\Console\Commands; use Illumi
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值