nacos 鉴权配置

最新推荐文章于 2024-06-07 11:26:31 发布
最新推荐文章于 2024-06-07 11:26:31 发布
阅读量3.2k 收藏
点赞数
分类专栏: k8s nacos 文章标签: java spring cloud 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiaolinzq/article/details/123009899
版权
k8s 同时被 2 个专栏收录
4 篇文章 0 订阅
订阅专栏
nacos
1 篇文章 0 订阅
订阅专栏

问题

公司邀请第三方进行网站漏洞扫描,发现nacos有安全漏洞;不登录也可以创建用户!!!

解决办法

nacos官网有鉴权的方案:

  1. nacos服务端开启鉴权,这一步可以防止不能录也能创建用户,但是在请求头添加:User-Agent:Nacos-Server 也可以进行配置文件查看,原因是1.4.1之前的版本默认使用上面的请求头作为认证字符串;
  2. nacos服务端配置自定义的key和value,替代:User-Agent:Nacos-Server;

具体配置


配置之后,通过接口则无法访问!

问题

NACOS_AUTH_ENABLE =true 在配置文件中没有找到对应的配置项,不清楚是怎么生效的!!!!!

lixiaolinzq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
nacos的开启鉴权配置与mysql配置
03-23
application.properties 文件在 Spring Boot 项目中用于配置应用程序的各种属性,包括与 Nacos 相关的配置Nacos 是一个开源的服务发现、配置管理和服务管理平台,通过在 application.properties 中配置 Nacos 的...
Nacos鉴权详解
深圳市多克创新科技有限公司
10-30 8413
Nacos鉴权
nacos登陆鉴权
tlqwanttolearnit的博客
06-01 5211
开启鉴权之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
nacos开启鉴权配置
最新发布
weixin_48838739的博客
06-07 903
nacos开启鉴权配置
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Nacos2.2.0-开启鉴权配置、权限认证
小蜗牛的博客
03-15 1万+
Nacos2.2.0-开启鉴权配置、权限认证
【问题篇】整改Nacos漏洞——升级Nacos以及开启鉴权问题整理
weixin_56995925的博客
08-06 1万+
整改Nacos漏洞——升级Nacos以及开启鉴权问题整理
nacos权限认证(二) 开启权限认证
热门推荐
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos权限认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos的权限漏洞问题就解决了。
nacos适配oracle数据库
03-01
1.nacos服务,适配oracle数据库11g。 2.提供nacos,oracle的创建nacos数据库脚本。 3.nacos-dm/conf/nacos-oracle-11g.sql文件。 4.nacos版本1.4.2
nacos2.0.3+confd动态更新自定义配置文件
06-29
nacos2.0.3+confd动态更新自定义配置文件 nacos是一款开源的配置中心,confd是一个基于模板的配置生成工具。通过将nacos和confd集成,可以实现动态更新自定义配置文件。本文将介绍如何使用nacos2.0.3和confd实现...
nacos 1.4.2 安装包
04-15
Nacos是阿里巴巴开源的一款分布式服务治理和配置中心的平台,其名称源于“Naming And Configuration”的首字母缩写。Nacos 1.4.2版本是一个重要的更新,它提供了更稳定的服务发现、配置管理和命名服务,适用于微服务...
nacos开启鉴权功能
qq_71416673的博客
04-22 1369
在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。之前也爆过Nacos权限认证绕过漏洞(NacosNacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。接下来我们使用Nacos
Nacos创建用户并鉴权图文教程
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
10-21 6099
由于公司正在做nacos鉴权和账号分配,每一个项目对应一个nacos账号,每一个nacos账号只能访问或操作对应项目的资源,做到项目与项目之前的隔离。通过本篇博客能够成功进行鉴权和账号权限分配。
nacos添加权限控制的鉴权功能
认知 行动 坚持
10-05 4602
nacos添加权限控制
nacos2.2.3开启鉴权,nacos python sdk注册nacos报错:Insufficient privilege.关闭鉴权可以正常注册。
liao254198295的专栏
06-05 5394
nacos2.2.3开启鉴权,nacos python sdk注册nacos报错:Insufficient privilege.关闭鉴权可以正常注册。是不是因为请求的是openapi接口:/nacos/v1/ns/instance,在请求之前没有进行账号密码鉴权认证呢?server-addr: 127.0.0.1:8848 #nacos服务注册中心地址。关闭注册鉴权后,python注册nacos正常。username: nacos #用户名。password: nacos #密码。
配置中心Nacos部署使用及鉴权
photon222的博客
02-07 1693
Nacos官网。
nacos 权限认证
weixin_43931625的博客
03-09 5717
nacos 权限认证
docker安装新版nacos鉴权(登陆密码)问题解决
pengpeng_xin的博客
05-28 7878
问题出现在用服务器上的docker安装最新版本的nacos(2.2.2)后,启动之后,本地连接之后发现没有登陆过程,直接进入主页面,而且功能被限制,比如导入配置时,使用f12查看控制台会发现有报错。20230528。
Nacos 鉴权配置
01-12
Nacos提供了鉴权配置,可以帮助您保护和管理微服务。以下是Nacos鉴权配置的示例: 1. 开启鉴权: ```shell nacos.core.auth.enabled=true ``` 2. 关闭使用user-agent判断服务端请求并放行鉴权的功能: ```shell nacos.core.auth.enable.userAgentAuthWhite=false ``` 3. 配置自定义身份识别的key和value(不可为空): ```shell nacos.core.auth.server.identity.key=example nacos.core.auth.server.identity.value=example ``` 这些配置可以在Nacos配置文件中进行设置,通过修改配置文件并重启Nacos服务,即可生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lixiaolinzq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值