nacos权限认证(三) nacos.core.auth.server.identity的作用

已于 2022-06-02 18:40:12 修改
阅读量2.3w 收藏 23
点赞数 9
分类专栏: 后端 文章标签: nacos 权限认证 AuthFilter identity.key identity.value
于 2022-06-02 18:26:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41057885/article/details/125059535
版权

在上一节中讲到,如果要开启nacos权限认证,那么就还需要配置如下两个属性,这样才能在访问nacos的控制台。这里将详细说明这两个属性的作用。

nacos.core.auth.server.identity.key=authKey
nacos.core.auth.server.identity.value=nacosSecurty

这两个属性是权限认证的配置项,用于标识来自其他服务器的请求。当一个请求的请求头中配置了指定的属性时,即可跳过权限认证。

一、效果展示

我们在开启nacos权限认证后,调用 /nacos/v1/cs/configs 接口,会直接跳转到登录界面,且提示403,服务器拒绝访问。

此时,我们选择编辑并重发该请求,往该请求头中新增 authKey=nacosSecurity 属性。

此时,请求的成功了,拿到了nacos的配置管理列表。

 二、原理说明

真正使该配置起作用的是 com.alibaba.nacos.core.auth.AuthFilter 过滤器。

打个断点,然后重发一个请求。

 

 

 通过这一系列的判断,最终,会让请求头中带有指定属性的请求顺利通过该过滤器,否则报403错误。

nacos权限认证(一) 问题复现

nacos权限认证(二) 开启权限认证 

小厂程序员DHJ
关注
  • 9
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
nacos2.2.3 开启密码配置
08-09 1万+
自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符,nacos.core.auth.server.identity.keynacos.core.auth.server.identity.value必须要有值。在nacos2.2.3中,默认是不需要登录的,这样会导致配置中心对外直接暴露。下面我们会配置用户名密码并且更改密码的方式来使用nacos。修改nacos安装程序conf目录下的application.properties文件。配置完成后,再次启动就可以了。
nacos-server-2.2.3.zip
06-11
Nacos 致力于帮助您发现、配置和管理微服务
Nacos权限认证
FAIRYTAIL的博客
08-15 946
错误提示你需要设置 nacos.core.auth.server.identity.keynacos.core.auth.server.identity.value 的值,在2.2.1后这两个是没有默认值的,需要自己填写。原因是需要配置 nacos.core.auth.plugin.nacos.token.secret.key 并且这个值不能低于32位,这也是在2.2.1后没有默认值了。可以看到,不需要登录名密码就直接访问到了nacos主页,在主页也有提示,让我们开启鉴权。
nacos2.x 集群启动报错问题
最新发布
段子手168的博客
03-26 328
nacos2.x 集群启动报错问题,nocos 堆内存问题,堆内存溢出,
Nacos鉴权和配置加密—官方原版
深圳市多克创新科技有限公司
02-08 1万+
Nacos鉴权和配置加密
nacos开启鉴权+springboot配置用户名密码
timshinlee的博客
02-27 2298
nacos鉴权
nacos怎么开启账号密码登录
weixin_42279822的博客
08-10 2万+
此外,Nacos 还提供了更多的安全设置和权限控制选项,例如基于角色的权限控制等。请注意,使用配置文件修改账号密码时,需要谨慎保管配置文件,避免泄露敏感信息。同时,确保新的用户名和密码足够安全,以保护你的 Nacos 服务。Nacos 默认是不启用账号密码登录的,但你可以通过修改配置来启用账号密码登录以增强安全性。请确保用户名和密码的安全性,避免使用弱密码,以保护你的 Nacos 服务。替换为你想要设置的新用户名,将。替换为你想要设置的用户名,将。替换为你想要设置的新密码。替换为你想要设置的密码。
Nacos惊现安全漏洞修复后问题仍旧存在
一个天秤座的架构师
01-18 2万+
你好,我是threedr3am,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-A
nacos权限认证(二) 开启权限认证
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos权限认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos权限漏洞问题就解决了。
Nacos 获取配置时启用权限认证
架构师的成长之路的博客
04-28 9452
默认情况下获取Nacos中的配置是不需要权限认证的, 这个估计是由其使用场景决定的(绝大多数都是仅内网可访问). 今天调查了下如何在获取配置时增加权限验证以提高其安全性. 1. 启用 Nacos权限认证 只要nacos.core.auth.enabled设置为true就行了. ### If turn on auth system: nacos.core.auth.enabled=true 2. 添加 Nacos 用户 默认的用户nacos绑定的角色是ROLE_ADMIN...
SpringCloud Alibaba Nacos作为配置中心(十)--------自定义登录用户名和密码
qq_26932225的博客
02-18 2万+
上一篇已经介绍了 Nacos Server的 简单登录功能,说白了就是启动了一个0.8.0版本的server,这一篇记录一下自定义用户名和密码。 下面开始设置自定义 用户和密码:   修改使用mysql数据库存储配置信息。Nacos Server默认使用的是内嵌的cmdb数据库 在配置文件(./conf/application.properties)添加配置 spring.dataso...
Nacos未授权和身份认证漏洞修复
zyfmeng的博客
12-27 1366
nacos未授权及弱身份认证漏洞修复
nacos-server-2.1.1.tar.gz
08-16
nacos-server-2.1.1.tar.gz
nacos-server-2.2.1.tar.gz
03-23
nacos-server-2.2.1.tar.gz
nacos-server-2.2.0.tar.gz
12-15
Nacos 致力于帮助您发现、配置和管理微服务
nacos-server-2.0.3.tar.gz
12-19
nacos-server-2.0.3.tar.gz
Java后台文件批量压缩下载
热门推荐
大话家的博客
08-28 6万+
最近遇到一个需求,要求设计批量下载功能,即点击按钮即可将勾选的文件全部打包成压缩包,批量下载下来。 页面如下,勾选对应的复选框,点击批量下载按钮,即可将复选框对应的附件批量压缩成一个zip压缩包,然后浏览器弹框下载。 前端 // 批量下载 $("#downloadBtn").click(function () { // 获取复选选框对应的ID var ids = getIds(); if (ids == "") { top.layer.msg("请选择要
EasyExcel复杂表头导入(一对多)
大话家的博客
01-07 1万+
当前我使用过的导入导出框架有EasyPoi 和 EasyExcel,
nacos.core.auth.server.identity.key
08-15
"Nacos.core.auth.server.identity.key" 是 Nacos(阿里巴巴开源的服务发现和配置管理平台)中的一个属性,用于指定身份验证服务器的密钥。该密钥用于对请求进行身份验证和授权。它可以用于保护 Nacos 服务的安全性,确保只有经过身份验证并被授权的用户才能访问相关资源。详细的配置和使用方式可以查阅 Nacos 的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值