【云原生】nacos权限制认证--官方参考文档一阅

已于 2023-09-18 16:51:41 修改
阅读量6.1k 收藏 18
点赞数 10
分类专栏: SpringCloud Alibaba 文章标签: 云原生 docker 容器
于 2022-12-04 09:26:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62436868/article/details/128169313
版权

鉴权

服务端如何开启鉴权

非Docker环境

按照官方文档配置启动,默认是不需要登录的,这样会导致配置中心对外直接暴露。而启用鉴权之后,需要在使用用户名和密码登录之后,才能正常使用nacos。

开启鉴权之前application.properties中的配置信息为:

### If turn on auth system:
nacos.core.auth.enabled=false

开启鉴权之后,application.properties中的配置信息为:

### If turn on auth system:
nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true

注意:鉴权开关是修改之后立马生效的,不需要重启服务端。

Docker环境

官方镜像

如果使用官方镜像,请在启动docker容器时,添加如下环境变量

NACOS_AUTH_ENABLE=true

例如,可以通过如下命令运行开启了鉴权的容器:

docker run --env PREFER_HOST_MODE=hostname --env MODE=standalone --env NACOS_AUTH_ENABLE=true -p 8848:8848 nacos/nacos-server

除此之外,还可以添加其他鉴权相关的环境变量信息:

namedescriptionoption
NACOS_AUTH_ENABLE是否开启权限系统默认:false
NACOS_AUTH_TOKEN_EXPIRE_SECONDStoken 失效时间默认:18000
NACOS_AUTH_TOKENtoken默认:SecretKey012345678901234567890123456789012345678901234567890123456789
NACOS_AUTH_CACHE_ENABLE权限缓存开关 ,开启后权限缓存的更新默认有15秒的延迟默认 : false

然后运行docker-compose构建命令,例如

docker-compose -f example/standalone-derby.yaml up

自定义镜像

如果选择自定义镜像,请在构建镜像之前,修改nacos工程中的application.properties文件,

将下面这一行配置信息

nacos.core.auth.enabled=false

修改为

nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true

然后再配置nacos启动命令。

客户端如何进行鉴权

Java SDK鉴权

在构建“Properties”类时,需传入用户名和密码。

properties.put("username","${username}");
properties.put("password","${password}");

示例代码

try {
    // Initialize the configuration service, and the console automatically obtains the following parameters through the sample code.
	String serverAddr = "{serverAddr}";
	Properties properties = new Properties();
	properties.put("serverAddr", serverAddr);

    // if need username and password to login
        properties.put("username","nacos");
        properties.put("password","nacos");

	ConfigService configService = NacosFactory.createConfigService(properties);
} catch (NacosException e) {
    // TODO Auto-generated catch block
    e.printStackTrace();
}

Open-API鉴权

首先需要使用用户名和密码登陆nacos。

curl -X POST '127.0.0.1:8848/nacos/v1/auth/login' -d 'username=nacos&password=nacos'

若用户名和密码正确,返回信息如下:

{"accessToken":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTYwNTYyOTE2Nn0.2TogGhhr11_vLEjqKko1HJHUJEmsPuCxkur-CfNojDo","tokenTtl":18000,"globalAdmin":true}

接下来进行配置信息或服务信息时,应当使用该accessToken鉴权,在url后添加参数accessToken={accessToken},其中{accessToken}为登录时返回的token信息,例如

curl -X GET '127.0.0.1:8848/nacos/v1/cs/configs?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTYwNTYyMzkyM30.O-s2yWfDSUZ7Svd3Vs7jy9tsfDNHs1SuebJB4KlNY8Q&dataId=nacos.example.1&group=nacos_group'

curl -X POST 'http://127.0.0.1:8848/nacos/v1/ns/instance?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTYwNTYyMzkyM30.O-s2yWfDSUZ7Svd3Vs7jy9tsfDNHs1SuebJB4KlNY8Q&port=8848&healthy=true&ip=11.11.11.11&weight=1.0&serviceName=nacos.test.3&encoding=GBK&namespaceId=n1'

开启服务身份识别功能

开启鉴权功能后,服务端之间的请求也会通过鉴权系统的影响。考虑到服务端之间的通信应该是可信的,因此在1.2~1.4.0版本期间,通过User-Agent中是否包含Nacos-Server来进行判断请求是否来自其他服务端。

但这种实现由于过于简单且固定,导致可能存在安全问题。因此从1.4.1版本开始,Nacos添加服务身份识别功能,用户可以自行配置服务端的Identity,不再使用User-Agent作为服务端请求的判断标准。

开启方式:

### 开启鉴权
nacos.core.auth.enabled=true

### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false

### 配置自定义身份识别的key(不可为空)和value(不可为空)
nacos.core.auth.server.identity.key=example
nacos.core.auth.server.identity.value=example

 所有集群均需要配置相同的server.identity信息,否则可能导致服务端之间数据不一致或无法删除实例等问题。

旧版本升级

考虑到旧版本用户需要升级,可以在升级期间,开启nacos.core.auth.enable.userAgentAuthWhite=true功能,待集群整体升级到1.4.1并稳定运行后,再关闭此功能。

 这样做可以保证旧版本用户在升级过程中的正常使用,并且在升级完成后保证系统的安全性。开启nacos.core.auth.enable.userAgentAuthWhite=true功能可以允许通过User-Agent头部鉴别身份,来保护系统免受恶意攻击。同时,关闭此功能也可以减少系统的运行成本和维护复杂度。因此,在升级过程中,我们应该根据实际情况来配置相关的参数,并且及时关闭不必要的功能。这样才能确保系统的高可用性和稳定性。

一个风轻云淡
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
nacos配置中心nacos-server-2.2.3
08-16
在使用“nacos-server-2.2.3”压缩包时,首先需要解压并按照官方文档的指导进行安装。这个过程通常包括设置环境变量、修改配置文件(如application.properties或bootstrap.properties),以及启动Nacos服务器。Nacos...
最新nacos-server-2.2.0下载
12-29
总结来说,Nacos-server-2.2.0版本作为一款强大的服务治理工具,不仅提供了完善的服务发现和配置管理功能,还在性能、稳定性、用户体验上进行了显著提升,对于Windows用户来说,安装和使用也更为简便。无论是微服务...
nacos-client-1.2.0-API文档-中文版.zip
06-06
赠送jar包:nacos-client-1.2.0.jar; 赠送原API文档nacos-client-1.2.0-javadoc.jar; 赠送源代码:nacos-client-1.2.0-sources.jar; 赠送Maven依赖信息文件:nacos-client-1.2.0.pom; 包含翻译后的API文档nacos-client-1.2.0-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba.nacos:nacos-client:1.2.0; 标签:alibaba、nacos、client、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
SpringCloudAlibaba Nacos开启鉴(解决跳过登录页面问题)
2401_84183033的博客
04-10 828
它作为客户端和服务端交互时用于加密的密钥,可以防止认证过程中的信息泄露。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。nacos.core.auth.server.identity.key是 Nacos 中的一个配置,用于身份验证的对称加密密钥。
nacos 中 配置了 nacos.core.auth.enabled=true 不生效
最新发布
迎风飞翔的专栏
05-16 355
这是windows版本的修改方法,linux版本的也类似,将optional: 去掉,然后application.propertis配置就生效了。再application.propertis中修改了nacos.core.auth.enabled=true ,2、修改startup.cmd文件中的。用的是nacos1.4.6的版本。
nacos认证(二) 开启认证
热门推荐
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos限漏洞问题就解决了。
nacos添加限控制的鉴功能
认知 行动 坚持
10-05 4581
nacos添加限控制
Nacos—鉴详解
深圳市多克创新科技有限公司
10-30 7938
Nacos—鉴
docker安装新版nacos(登陆密码)问题解决
pengpeng_xin的博客
05-28 7680
问题出现在用服务器上的docker安装最新版本的nacos(2.2.2)后,启动之后,本地连接之后发现没有登陆过程,直接进入主页面,而且功能被限制,比如导入配置时,使用f12查看控制台会发现有报错。20230528。
【微服务】Nacos 认证机制
qq_57756904的博客
01-11 2231
随着 Nacos 在生产使用,用户要求限管理机制。考虑到做完整的账号限管理机制,需要比较大的代价。因此先做⼀个管理员账号的登录管理,从而降低安全风险。
nacos源码之Auth(限)模块-1(授过滤器与控制器缓存)
qq_26462567的博客
05-13 2882
NacosAuth模块NacosAuth模块Secured注解(限核心注解)注解实现讲解限操作类型限配置 上一篇《nacos源码构建与总览》浏览器还挺多,接下来模块的精讲来了 《nacos源码构建与总览》 NacosAuth模块 auth模块管理了nacos限,该限系统设计面向租户模式,功能比较简单,不适用于业务系统。 Secured注解(限核心注解) 源码如下: package com.alibaba.nacos.auth.annotation; @Retention(Rete
nacos登陆鉴
tlqwanttolearnit的博客
06-01 5158
开启鉴之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
Hvv之Nacos漏洞分析与整改
天道酬勤
08-19 1589
nacos漏洞分析、复现与修复
nacos-client-2.0.3-API文档-中文版.zip
05-09
赠送jar包:nacos-client-2.0.3.jar; 赠送原API文档nacos-client-2.0.3-javadoc.jar; 赠送源代码:nacos-client-2.0.3-sources.jar; 赠送Maven依赖信息文件:nacos-client-2.0.3.pom; 包含翻译后的API文档nacos-client-2.0.3-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba.nacos:nacos-client:2.0.3; 标签:alibaba、client、nacos、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
nacos-api-1.2.0-API文档-中文版.zip
06-06
赠送原API文档nacos-api-1.2.0-javadoc.jar; 赠送源代码:nacos-api-1.2.0-sources.jar; 赠送Maven依赖信息文件:nacos-api-1.2.0.pom; 包含翻译后的API文档nacos-api-1.2.0-javadoc-API文档-中文(简体)版....
nacos-server-2.1.1.tar.gz
08-16
用户可以通过解压此文件,按照官方文档的指导进行安装和配置,启动 Nacos 服务。 在实际部署过程中,用户可能需要根据自身需求修改 `conf/application.properties` 或 `conf/nacos-config.properties` 配置文件,...
nacos开启鉴配置,出现报错异常解决
m0_46516427的博客
03-08 1160
开启鉴后运行startup.cmd -m standalone可能报错,需在配置文件中设置nacos.core.auth.server.identity.key,由于nacos.core.auth.server.identity.key是一个自定义的值,你可以选择任何你觉得合适且安全的字符串作为这个键。重要的是,这个键和对应的值需要在Nacos服务器和客户端之间保持一致,以便正确地进行身份验证。的配置文件中,需要配置访问服务端的账户和密码信息。
Nacos创建用户并鉴图文教程
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
10-21 5981
由于公司正在做nacos的鉴和账号分配,每一个项目对应一个nacos账号,每一个nacos账号只能访问或操作对应项目的资源,做到项目与项目之前的隔离。通过本篇博客能够成功进行鉴和账号限分配。
Spring cloud alibaba--Nacos Config配置管理
ZHANGLIZENG的博客
07-25 1万+
1.
nacos如何和spring-boot-admin集成
03-28
要将nacos和spring-boot-admin集成,需要进行以下步骤: 1. 在pom.xml中添加以下依赖: ```xml <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId> </dependency> <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> </dependency> <dependency> <groupId>de.codecentric</groupId> <artifactId>spring-boot-admin-starter-server</artifactId> <version>2.2.3</version> </dependency> ``` 2. 在application.properties中添加以下配置: ```properties spring.cloud.nacos.discovery.server-addr=127.0.0.1:8848 # nacos服务地址 spring.application.name=spring-boot-admin-server # 应用名 server.port=8080 # 服务端口 spring.boot.admin.server.url=http://localhost:${server.port} # spring-boot-admin服务地址 spring.boot.admin.client.url=http://localhost:${server.port} # spring-boot-admin客户端地址 management.endpoints.web.exposure.include=* # 开启所有端点 ``` 3. 在启动类上添加@EnableDiscoveryClient和@EnableAdminServer注解: ```java @SpringBootApplication @EnableDiscoveryClient @EnableAdminServer public class SpringBootAdminApplication { public static void main(String[] args) { SpringApplication.run(SpringBootAdminApplication.class, args); } } ``` 4. 在需要监控的应用中添加spring-boot-starter-actuator依赖,并在application.properties中添加以下配置: ```properties spring.boot.admin.client.url=http://localhost:8080 # spring-boot-admin服务地址 spring.boot.admin.client.username=admin # 认证用户名 spring.boot.admin.client.password=admin # 认证密码 ``` 5. 启动nacos和spring-boot-admin服务,然后启动需要监控的应用,即可在spring-boot-admin控制台中查看应用的监控信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个风轻云淡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值