Spring Boot 2.x中的management.security.enabled=false无效问题

最新推荐文章于 2024-05-08 11:57:11 发布
最新推荐文章于 2024-05-08 11:57:11 发布
阅读量5.3w 收藏 33
点赞数 13
分类专栏: SpringBoot 文章标签: SpringBoott Actuator security management enabled
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27385301/article/details/82899303
版权

一、在1.5.x版本中通过management.security.enabled=false来暴露所有端点


 

具体配置类:org.springframework.boot.actuate.autoconfigure.ManagementServerProperties$Security

 

二、切换SpringBoot版本为2.x 使用IDE的搜索功能,找到类ManagementServerProperties,发现Security内部类已经被删除

 

三、去官网查看2.0暴露端点的方式

方式1:

# 启用端点 env
management.endpoint.env.enabled=true

# 暴露端点 env 配置多个,隔开
management.endpoints.web.exposure.include=env

方式2:

方式1中的暴露方式需要一个一个去开启需要暴露的端点,方式2直接开启和暴露所有端点

management.endpoints.web.exposure.include=*

注意在使用Http访问端点时,需要加上默认/actuator 前缀

 

 

wallfeacers
关注
  • 13
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Spring Boot 2.xActuator的一些知识点
08-25
Spring Boot 2.x的Actuator是一个强大的工具,用于监控和管理Spring Boot应用程序。它提供了丰富的端点(endpoints),能够帮助开发者获取应用的运行时信息,包括但不限于健康检查、环境变量、配置属性、缓存状态、...
Spring Boot 1.5升级到2.0
weixin_34242509的博客
06-27 436
POM 1.5 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.10.RELEASE</version&g...
Spring Boot 配置文件
fang62的博客
10-10 1108
前言 本文是我学习spring boot一段时间之后,闲来无事整理出来的,旨在整理思路,梳理知识点。借鉴了不少其他博客,其也有自己的理解。 这一篇要比我整理的更加详细易懂,也是我借鉴比较多的一篇,作者就Spring boot 写了一系列博客,需要的人请移步~ 传送门: https://www.cnblogs.com/zheting/p/6707036.html      appli...
SpringBoot Actuator未授权访问漏洞的解决方法
最新发布
MichaelZ的博客
05-08 3058
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
springboot(十九):使用Spring Boot Actuator监控应用
weixin_34252090的博客
02-06 628
微服务的特点决定了功能模块的部署是分布式的,大部分功能模块都是运行在不同的机器上,彼此通过服务调用进行交互,前后台的业务流会经过很多个微服务的处理和传递,出现了异常如何快速定位是哪个环节出现了问题? 在这种框架下,微服务的监控显得尤为重要。本文主要结合Spring Boot Actuator,跟大家一起分享微服务Spring Boot Actuator的常见用法,方便我们在日常对我们的微服务进行...
springBoot: “management.security.enabled=false无效
RaySunWHUT
11-09 3170
Problem: Spring Boot 2.x的“management.security.enabled=false无效问题! Solution: 无效的原因是被弃用! 新的配置为: management.endpoints.web.exposure.include=* 注: 同时要将SpringSecurity注释掉,或者更改其“configure”方法如下: protected v...
SpringBoot的健康监控
上善若泪
02-05 1819
文章目录1 使用Actuator检查与监控的步骤1.1 在 pom 文件添加 Actuator 的坐标1.2 在全局配置文件设置关闭安全限制2 使用可视化的监控报表 Spring Boot Admin2.1 搭建服务端2.1.1 引入admin坐标2.1.2 修改启动类,添加@EnableAdminServer2.2 搭建客户端2.2.1 修改客户端的pom文件添加依赖2.2.2 修改客户端的...
springboot2.0management.security.enabled 过时
文盲青年的博客
12-28 4359
Spring boot 2.0 management.security.enabled=true 或 managementsecurity: enabled:true 可以采用 management.endpoints.web.exposure.include= 代替的全部放开请使用*,或把需要开放的接口端点使用“,”隔开,如:env,health。 yaml 的配置*请加上“"”(引号)如下 management: endpoints: web: exposure
Spring Boot面试题(最新版)-重点.pdf
10-05
可以通过配置management.security.enabled=false来关闭Actuator的所有端点安全性。 我们如何监视所有Spring Boot微服务?可以使用Spring Cloud Bus和Actuator的HealthIndicator来集监控所有微服务的健康状态,...
详解配置spring-boot-actuator时候遇到的一些小问题
08-28
下面是配置 Spring Boot Actuator 遇到的一些小问题的解决方案。 1. 保证 Actuator 暴露接口的安全性 可以加入依赖 `<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-...
Spring Boot 做性能监控的方法.docx
07-04
management.security.enabled=false ``` actuator提供了丰富的原生接口,包括但不限于健康检查(health)、环境信息(env)、指标数据(metrics)、日志信息(loggers)等。如果不需要某个接口,可以通过设置`...
Spring Boot Actuator执行器运行原理详解
08-24
management.security.enabled = false ``` YAML 文件用户可以在 application.yml 文件添加以下属性: ```yaml management: security: enabled: false ``` 二、配置执行器端点 如果要使用单独的端口号访问 ...
management.security.enabled过期,springboot2.x监控端点配置
weixin_42260782的博客
09-03 1492
在1.5.x版本通过management.security.enabled=false,关闭安全服务来暴露所有端点,但是在版本更新弃用了,在新版本,用新的方式来暴露端点 方式一properties文件: management.endpoints.web.exposure.include=* 方式二yml文件: management: endpoints: web: exposure: include: '*' 默认只开启了2个端点 全部暴露出来有13个端点
SpringBoot actuator 应用监控。
weixin_33742618的博客
09-10 203
    前言 : 今天在阅读 《SpringCloud微服务实战》一书时看到了SpringBoot actuator相关知识,并且自己也本地调试实践。觉得SpringBoot这一套监控还是挺有意思的,这里记录下学习过程。   注:本文基于 springBootVersion = '1.5.10.RELEASE' 一:初识actuator actuatorSpringBoot的一个组...
SpringBoot(34) - Actuator(2) - 通过HTTP监控和管理
mytt_10566的博客
01-05 1105
参考:https://docs.spring.io/spring-boot/docs/1.5.18.RELEASE/reference/htmlsingle/#production-ready-monitoring 如果正在开发Spring MVC应用程序,Spring Boot Actuator自动配置所有已启用的端点,并且通过HTTP公开。 默认约定是使用端点的id作为URL路径。 例如,...
springboot2 弃用management.security.enabled配置,需要重新配置
热门推荐
长草颜团子
02-07 21万+
在使用springcloud的时候,如果基于springboot2的版本的配置心,无法使用SVN的刷新功能(修改配置后不需要重启服务器),那么需要重新按照新版本的要求进行配置 #yml格式 management: endpoints: web: exposure: include: refresh #properties文件格式 managemen...
springboot2.0 management.security.enabled无效
weixin_30642561的博客
08-08 450
在1.5.x版本通过management.security.enabled=false来暴露所有端点 在使用springcloud的时候,如果基于springboot2的版本的配置心,无法使用SVN的刷新功能(修改配置后不需要重启服务器),那么需要重新按照新版本的要求进行配置 #yml格式 management: endpoints: web: exposur...
关闭若依验证码验证
qq_42578829的博客
08-05 4643
只需在nacos更改一下验证码开关状态即可,把enabled改为false。 # 安全配置 security: # 验证码 captcha: enabled: false type: math
springboot监控
小炮手
05-23 650
springboot 监控
Spring Boot Security OAuth2 JWT完整示例
05-25
Spring Boot Security是一个非常流行的安全框架,可以帮助开发人员实现各种安全功能。其,OAuth2和JWT是两个非常重要的安全技术,可以用于实现授权和认证。下面是一个基于Spring Boot Security的完整示例,演示如何使用OAuth2和JWT实现安全功能。 1. 创建一个Spring Boot项目 使用Spring Initializr创建一个新的Spring Boot项目,添加以下依赖: - Spring Web - Spring Security - Spring Data JPA - H2 Database - Spring Security OAuth2 - jjwt 2. 添加配置文件 在application.properties文件添加以下配置: ``` spring.datasource.url=jdbc:h2:mem:testdb spring.datasource.driverClassName=org.h2.Driver spring.datasource.username=sa spring.datasource.password= spring.jpa.database-platform=org.hibernate.dialect.H2Dialect spring.jpa.hibernate.ddl-auto=create-drop spring.h2.console.enabled=true spring.h2.console.path=/h2-console spring.security.oauth2.client.registration.myapp.client-id=myapp spring.security.oauth2.client.registration.myapp.client-secret=myappsecret spring.security.oauth2.client.registration.myapp.scope=read,write spring.security.oauth2.client.provider.myapp.authorization-uri=http://localhost:8080/oauth/authorize spring.security.oauth2.client.provider.myapp.token-uri=http://localhost:8080/oauth/token spring.security.oauth2.client.provider.myapp.user-info-uri=http://localhost:8080/userinfo spring.security.oauth2.client.provider.myapp.user-name-attribute=name ``` 这些配置将用于配置数据源、Hibernate、H2控制台和OAuth2。 3. 创建实体类和仓库 创建一个User实体类,用于表示用户信息: ```java @Entity @Table(name = "user") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(nullable = false, unique = true) private String username; @Column(nullable = false) private String password; @Column(nullable = false) private String email; // getters and setters } ``` 创建一个UserRepository接口,用于操作User实体类: ```java @Repository public interface UserRepository extends JpaRepository<User, Long> { Optional<User> findByUsername(String username); } ``` 4. 创建用户服务 创建一个UserService接口,用于定义获取用户和创建用户的方法: ```java public interface UserService { User createUser(String username, String password, String email); Optional<User> getUserByUsername(String username); } ``` 创建一个UserServiceImpl实现UserService接口,用于实现上述方法: ```java @Service public class UserServiceImpl implements UserService { @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; @Override public User createUser(String username, String password, String email) { User user = new User(); user.setUsername(username); user.setPassword(passwordEncoder.encode(password)); user.setEmail(email); return userRepository.save(user); } @Override public Optional<User> getUserByUsername(String username) { return userRepository.findByUsername(username); } } ``` 5. 配置Spring Security 创建一个WebSecurityConfig类,用于配置Spring Security: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/oauth/**").permitAll() .anyRequest().authenticated() .and() .csrf().disable() .formLogin().disable() .httpBasic().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 这个配置类将所有请求都需要进行认证,但是允许OAuth2请求。同时,禁用了CSRF、表单登录、HTTP基本认证和会话管理。 6. 配置OAuth2 创建一个OAuth2Config类,用于配置OAuth2: ```java @Configuration @EnableAuthorizationServer public class OAuth2Config extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("myapp") .secret(passwordEncoder.encode("myappsecret")) .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .redirectUris("http://localhost:8081/login/oauth2/code/myapp"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .accessTokenConverter(accessTokenConverter()) .pathMapping("/oauth/token", "/signin"); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("secret"); return converter; } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } } ``` 这个配置类定义了一个OAuth2客户端,将授权码和刷新令牌作为授权类型,并允许读取和写入作用域。同时,定义了一个端点配置,将认证管理器、用户详情服务、访问令牌转换器和令牌存储配置到端点上。 7. 创建控制器 创建一个UserController类,用于处理用户相关的请求: ```java @RestController @RequestMapping("/users") public class UserController { @Autowired private UserService userService; @PostMapping public User createUser(@RequestBody UserDto userDto) { return userService.createUser(userDto.getUsername(), userDto.getPassword(), userDto.getEmail()); } @GetMapping("/{username}") public User getUser(@PathVariable String username) { return userService.getUserByUsername(username) .orElseThrow(() -> new NotFoundException("User not found: " + username)); } } ``` 这个控制器定义了创建用户和获取用户的方法。 8. 创建JWT过滤器 创建一个JwtFilter类,用于在请求验证JWT令牌: ```java public class JwtFilter extends OncePerRequestFilter { private static final String AUTHORIZATION_HEADER = "Authorization"; @Autowired private JwtAccessTokenConverter accessTokenConverter; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String authorizationHeader = request.getHeader(AUTHORIZATION_HEADER); if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { String token = authorizationHeader.substring(7); Authentication authentication = accessTokenConverter.extractAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } } ``` 这个过滤器会从请求头获取JWT令牌,并使用令牌转换器验证令牌。如果验证通过,则将用户认证信息存储到Spring Security上下文。 9. 注册JWT过滤器 在WebSecurityConfig类,添加以下配置: ```java @Bean public JwtFilter jwtFilter() { return new JwtFilter(); } @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class); // ... } ``` 这个配置将JwtFilter注册到Spring Security过滤器链。 10. 创建JWT工具类 创建一个JwtUtils类,用于生成和解析JWT令牌: ```java public class JwtUtils { public static final String SUBJECT = "myapp"; public static String generateToken(User user) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", SUBJECT); claims.put("id", user.getId()); claims.put("username", user.getUsername()); claims.put("email", user.getEmail()); Date now = new Date(); Date expiration = new Date(now.getTime() + 60 * 60 * 1000); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS256, "secret") .compact(); } public static Long getUserIdFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey("secret") .parseClaimsJws(token) .getBody(); return claims.get("id", Long.class); } } ``` 这个工具类将用户信息存储到JWT令牌,并使用HS256算法进行签名。 11. 创建DTO类 创建一个UserDto类,用于接收创建用户的请求: ```java public class UserDto { private String username; private String password; private String email; // getters and setters } ``` 12. 测试 启动应用程序,并使用以下命令创建一个用户: ``` curl -X POST -H 'Content-Type: application/json' -d '{"username":"test","password":"test123","email":"test@example.com"}' http://localhost:8080/users ``` 使用以下命令获取访问令牌: ``` curl -X POST -vu myapp:myappsecret http://localhost:8080/oauth/token -H 'Accept: application/json' -d 'grant_type=authorization_code&code={CODE}&redirect_uri=http://localhost:8081/login/oauth2/code/myapp' ``` 将{CODE}替换为授权码,并将返回的访问令牌用于获取用户信息: ``` curl -H 'Authorization: Bearer {ACCESS_TOKEN}' http://localhost:8080/users/test ``` 将{ACCESS_TOKEN}替换为访问令牌,在请求头发送即可。 以上就是一个完整的Spring Boot Security OAuth2 JWT示例,演示了如何实现授权和认证。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值