Nacos开启权限认证

最新推荐文章于 2024-05-16 18:06:28 发布
最新推荐文章于 2024-05-16 18:06:28 发布
阅读量7.5k 收藏 2
点赞数 1
分类专栏: nacos 文章标签: spring cloud java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40708228/article/details/122857882
版权

绿盟漏扫扫出了CVE-2021-29441这个漏洞,官网已经在1.4.1版本修复了这个漏洞,但是测试发现还是出现访问接口可以添加任意用户的问题:

http://ip:8848/nacos/v1/auth/users?username=test1&password=test1

返回结果200;

查询资料后发现,nacos需要配置开启权限认证:
打开config下的application.properties配置:

nacos.core.auth.caching.enabled=true

并在项目中配置username及password,如果使用的nacos是1.2.x版本的还需要配置context-path,我的配置如下:

  spring:
	  cloud:
	    nacos:
	      config:
	        username: nacos
	        password: nacos
	        context-path: /nacos
	        server-addr: 127.0.0.1:8848
	      discovery:
        username: nacos
        password: nacos
        context-path: /nacos
        server-addr: 127.0.0.1:8848

pom文件如下:

<!--服务注册发现-->
        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
            <version>2.1.2.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>com.alibaba.nacos</groupId>
                    <artifactId>nacos-client</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <!--配置中心-->
        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
            <version>2.1.2.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>com.alibaba.nacos</groupId>
                    <artifactId>nacos-client</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>com.alibaba.nacos</groupId>
            <artifactId>nacos-client</artifactId>
            <version>1.4.1</version>
        </dependency>

原配置部分无法读取,经尝试后,将.properties格式换成.yaml后读取成功。

docker环境下

//拉取最新nacos镜像
docker pull nacos/nacos-server:latest
//创建容器
docker run --env PREFER_HOST_MODE=hostname --env MODE=standalone --env NACOS_AUTH_ENABLE=true -p 8848:8848 --name nacos nacos/nacos-server
椰果?
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nacos鉴权和控制台登录问题汇总
qq_43608208的博客
04-16 620
nacos.core.auth.plugin.nacos.token.secret.key=bmFjb3NfMjAyNDAxMTBfc2hpZ3poX25hY29zX3Rva2Vu(可以用下方函数生成)自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。local host:8848/nacos才能打开控制台 账号密码都是nacos
Nacos注册中心配置安装和问题解决
码上红尘仙的博客
11-21 1665
Nacos注册中心配置安装和问题解决
nacos 中 配置了 nacos.core.auth.enabled=true 不生效
迎风飞翔的专栏
05-16 383
这是windows版本的修改方法,linux版本的也类似,将optional: 去掉,然后application.propertis配置就生效了。再application.propertis中修改了nacos.core.auth.enabled=true ,2、修改startup.cmd文件中的。用的是nacos1.4.6的版本。
关于 Nacos 启动报错提醒 Error creating bean with name ‘basicAuthenticationFilter’
qq_33827423的博客
03-30 1909
提醒在创建 bean 的时候报错,当时在网上搜索说是 token.secret.key 的问题,之所以出现这个问题就是,由于我们没有指定默认的 token.secret.key ,官网在文中指出说是为了避免通过碰撞,绕过身份验证的安全漏洞的问题。的 nacos 启动项目发现提醒一下报错。后自定义一个 key。此时就可以正常启动了。
nacos权限认证(二) 开启权限认证
热门推荐
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos权限认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos权限漏洞问题就解决了。
【云原生】nacos权限认证--官方参考文档一阅
一个菜鸡的博客
12-04 6184
启用鉴权之后,需要在使用用户名和密码登录之后,才能正常使用nacos开启鉴权之前,application.properties中的配置信息为: 开启鉴权之后,application.properties中的配置信息为: 注意:鉴权开关是修改之后立马生效的,不需要重启服务端。官方镜像如果使用官方镜像,请在启动docker容器时,添加如下环境变量 例如,可以通过如下命令运行开启了鉴权的容器: 除此之外,还可以添加其他鉴
记一次Nacos容器升级调优
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
03-22 3667
笔者在本系列文章基于docker容器化部署微服务完成了服务的容器化部署,在运维过程中发现服务占用内存过大于是希望通过调整JVM参数的方式调整进程大小,尽可能减小对笔者那为数不多的内存的占用。读者可以看到笔者的上方的文章,笔者对每一个服务都调整的JVM参数,就以的Dockerfile。
nacos-server2.0.3
10-11
5. **安全配置**:在生产环境中,通常需要开启 Nacos 的安全认证,防止未经授权的访问。 总的来说,"nacos-server2.0.3"版本的部署和配置涉及到多个方面,包括服务发现、配置管理的核心功能,以及针对 Linux 环境的...
nacos服务端安装程序
12-29
- **扩展功能**:除了服务发现,Nacos还支持动态配置、命名空间、权限控制等功能,这些都是微服务治理的重要组成部分。 总的来说,Nacos作为一个轻量级的服务治理平台,为开发者提供了强大而便捷的工具,简化了...
nacos2.1.1、nacos2.0.3两个版本的tar.gz和zip安装包
03-30
- **安全设置**:为了保障系统安全,应当启用认证和授权功能,对访问 Nacos 的用户进行身份验证和权限控制。 7. **社区支持** - Nacos 拥有活跃的社区,用户可以在官方论坛、GitHub 或 Stack Overflow 上寻求帮助...
Win10安装nacos
12-13
6. **安全考虑**: 在生产环境中,建议启用Nacos的身份认证和授权功能,以保护管理界面的安全。这可以通过修改`application.properties`或创建单独的配置文件实现。 7. **监控与维护**: 为了确保Nacos服务的稳定运行...
Windows版本nacos-免费下载
最新发布
05-28
- **身份认证**:Nacos支持开启Basic认证,保护Web管理界面和API接口的安全。 - **授权管理**:可以对用户进行角色分配,限制不同的操作权限。 9. **扩展功能** - **多数据源**:Nacos支持多数据源配置,例如...
Nacos基础
一直在路上的小开发
01-12 3381
nacos基础知识点,win下搭建
nacos升级2.3.0-docker-compse开启权鉴
coderYJ的博客
12-25 1890
nacos升级2.3.0-docker-compse开启权鉴技术博客最近在研究nacos权鉴问题,2.3之后有很大改变默认是控制台没有密码也没有权鉴开启
关于Nacos的越权访问漏洞问题的解决方案
m0_58875823的博客
09-22 539
pageNo=1&pageSize=10越权访问漏洞问题。这是裸奔Nacos的漏洞。无论高底版本都会存在,哪怕是升级到2.2版本,依旧会存在该问题。到这里,你会发现nacos的启动没问题,也不会存在越权漏洞的问题,但是接下来还会出现项目注册不到nacos的问题,原因是加了认证后,项目如果不指定注册时的用户名密码就注册不进去了。所以在项目的yml的配置文件中,就要指定用户名密码。你的问题是不是解决了呢?
Nacos 获取配置时启用权限认证
架构师的成长之路的博客
04-28 9659
默认情况下获取Nacos中的配置是不需要权限认证的, 这个估计是由其使用场景决定的(绝大多数都是仅内网可访问). 今天调查了下如何在获取配置时增加权限验证以提高其安全性. 1. 启用 Nacos权限认证 只要nacos.core.auth.enabled设置为true就行了. ### If turn on auth system: nacos.core.auth.enabled=true 2. 添加 Nacos 用户 默认的用户nacos绑定的角色是ROLE_ADMIN...
SpringCloud Alibaba Nacos作为配置中心(十)--------自定义登录用户名和密码
qq_26932225的博客
02-18 2万+
上一篇已经介绍了 Nacos Server的 简单登录功能,说白了就是启动了一个0.8.0版本的server,这一篇记录一下自定义用户名和密码。 下面开始设置自定义 用户和密码:   修改使用mysql数据库存储配置信息。Nacos Server默认使用的是内嵌的cmdb数据库 在配置文件(./conf/application.properties)添加配置 spring.dataso...
新手小白刚进入springcloud-alibaba踩过的坑(nacos篇)
qq_52243397的博客
08-23 251
刚开始学习springcloud-alibaba,进来学习的第一个组件就是nacos,这里本人用的版本都比较新,使用的是nacos-2.2.0,使用了aliyun的服务器,说来都是泪。
Nacos 2.2.3+Seata+Sentinel 版本踩坑
qq_42354307的博客
06-26 1258
Nacos 2.2.3+Seata+Sentinel 版本踩坑
Nacos权限认证客户端如何配置
05-13
Nacos提供了多种权限认证方式,其中包括基于用户名/密码的认证和基于Token的认证。下面我来介绍一下如何配置基于用户名/密码的认证客户端。 1. 引入依赖 在你的Java项目中,需要引入下面这个依赖: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值