基于账号密码对Spring Boot Actuator认证授权

已于 2024-04-10 14:26:58 修改
阅读量751 收藏 10
点赞数 9
文章标签: spring boot gateway
于 2024-04-10 14:26:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48987428/article/details/137583453
版权

什么是健康检查?
健康检查是一种用于检查应用程序或其依赖服务是否正常运行的机制。通过定期检查应用程序,可以及时发现问题并采取措施解决它们,从而提高应用程序的可靠性和稳定性。Spring Boot 提供了一个内置的健康检查机制,可以方便地检查应用程序的状态。

健康检查可以包括以下内容:

检查应用程序是否可以响应请求。
检查应用程序所依赖的服务是否可以正常访问。
检查应用程序的资源使用情况,如内存和 CPU 使用情况。
检查应用程序的配置是否正确。

Spring Boot 的健康检查
Spring Boot 提供了一个名为 Actuator 的插件,它包括了许多有用的功能,包括健康检查。Actuator 可以通过 HTTP 端点公开应用程序的状态和管理信息,包括健康检查信息。

在 Spring Boot 应用程序中,只需要简单地添加 Actuator 依赖即可启用健康检查功能。在 Maven 项目中,可以在 pom.xml 文件中添加以下依赖:

 <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
 </dependency>

添加依赖后,可以通过 HTTP 端点访问健康检查信息。可以看到,默认暴露了两个endpoint,其实就是 health 和 info
打开地址:http://localhost:8080/actuator/info 或者 http://localhost:8080/actuator/health

Spring Boot Actuator 提供了许多有用的健康检查指标和监控工具,包括:

/actuator/health:显示应用程序的健康检查信息。
/actuator/metrics:显示应用程序的度量信息,如请求速率、响应时间等。
/actuator/loggers:显示应用程序的日志配置信息。
/actuator/httptrace:显示应用程序的 HTTP 跟踪信息。
/actuator/threaddump:显示应用程序的线程转储信息。

我们可以通过配置去开启这些端点

management:           
  endpoints:
    web:
      base-path: /      # root path
      exposure:
        include: "*"    # include all endpoint
  endpoint:
    gateway:
      enabled: true    #开启gateway网关的端点

除了以上这些功能外,Spring Boot Actuator 还提供了许多其他有用的监控工具,可以帮助我们监视应用程序的状态和性能。

言归正传,那如何实现对这些请求进行认证呢?

springMvc架构代码实现如下:

@WebFilter(filterName = "ActuatorAuthenticationFilter ", urlPatterns = {"/actuator/**"})
public class ActuatorAuthenticationFilter implement Filter {

    private static final Logger LOGGER = LoggerFactory.getLogger(ActuatorAuthenticationFilter.class);
    private static final String AUTHORIZATION = "Authorization";
    private static final String BASIC = "Basic ";

    //配置的actuator账号
    private String actuatorName = "name";

    //配置的actuator密码
    private String actuatorPassword = "password";

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    if (!(servletRequest instanceof HttpServletRequest) || !(servletResponse instanceof HttpServletResponse)) {
        filterChain.dofilter(servletRequest, servletResponse);
        return;
    }
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$", "");
    String headerAuthorization = request.getHeader(AUTHORIZATION);
    String encodeString = BASIC + Base64.getEncoder().encodeToString((actuatorName + ":" + actuatorPassword).getBytes(StandardCharsets.UTF_8));
    if (headerAuthorization != null && headerAuthorization.equals(encodeString)) {
        filterChain.dofilter(servletRequest, servletResponse);
        return;
    }
    LOGGER.info("被拦截路径[{}]未获得访问权限", path);
    HttpServletResponse res = (HttpServletResponse) servletResponse;
    res.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    }

}

gateway代码如下:

@Component
public class ActuatorAuthenticationFilter implement WebFilter {

    private static final Logger LOGGER = LoggerFactory.getLogger(ActuatorAuthenticationFilter.class);
    
    private static final PathPattern FILTER_PATH_PATTERN = new PathPatternParser().parse("/actuator/**");
    private static final String AUTHORIZATION = "Authorization";
    private static final String BASIC = "Basic ";
    private static final String ALREADY_FILTERED_SUFFIX = ".FILTERED";
    
    //配置的actuator账号
    private String actuatorName = "name";

    //配置的actuator密码
    private String actuatorPassword = "password";

    @Override
    public Mono<Void> filter(ServerWebExchange serverWebExchange, WebFilterChain webFilterChain) {
        //处理同一请求走两次,只在第一次进行自定义逻辑处理
        if(!hasFilter(serverWebExchange)) {
            //设置一个标记
            setFilteredAttributeName(serverWebExchange);   
            PathContainer  pathContainer = serverWebExchange.getRequest().getPath().pathWithinApplication();
            if(FILTER_PATH_PATTERN.matches(pathContainer)){
                String uri = pathContainer.value();
                LOGGER.info("WebFilter拦截路径:{}", uri);
                String headerAuthorization = serverWebExchange.getRequest().getHeaders().getFirst(AUTHORIZATION);
                if(StringUtils.isBlank(headerAuthorization)){
                    return unAuthorizedResponse(uri, serverWebExchange);
                }
                String encodeString = BASIC + Base64.getEncoder().encodeToString((actuatorName + ":" + actuatorPassword).getBytes(StandardCharsets.UTF_8));
                if(!encodeString.equals(headerAuthorization)) {
                    return unAuthorizedResponse(uri, serverWebExchange);
                }
            }
        }
        return webFilterChain.filter(serverWebExchange);
    }

    private boolean hasFilter(ServerWebExchange serverWebExchange) {
        return Boolean.TRUE.equals(serverWebExchange.getAttributes().get(getFilteredAttributeName()));
    }

    private boolean setFilteredAttributeName(ServerWebExchange serverWebExchange) {
        serverWebExchange.getAttributes().put(getFilteredAttributeName(), Boolean.TRUE);
    }
    
    private String getFilteredAttributeName(){
        return getClass().getName() + ALREADY_FILTERED_SUFFIX;
    }

    private Mono<Void> unAuthorizedResponse(String uri, ServerWebExchange serverWebExchange){
        LOGGER.info("被拦截路径[{}]未获得访问权限", uri);
        ServerHttpResponse response = serverWebExchange.getResponse();
        response.getHeader().add(HttpHeaders.CONTENT_TYPE, "application/json;charset=UTF-8");
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        return Mono.empty();
    }
}

爱编程的人
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot Actuator执行器运行原理详解
08-24
主要介绍了Spring Boot Actuator执行器运行原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot Actuator端点相关原理解析
08-18
主要介绍了Spring Boot Actuator端点相关原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springBoot指标监控 - Actuator
Adda_Chen的博客
08-30 1370
如何有其他的软件应用也实现了健康指标,在这里也会显示,比如redis。
SpringBoot - 集成Actuator(应用信息显示、修改系统日志、增加账号密码登录)
weixin_39651356的博客
11-30 2055
SpringBoot - 集成Actuator(应用信息显示、修改系统日志、增加账号密码登录)
SpringBoot Admin 实现Actuator端点可视化监控(开启认证
最新发布
weixin_42179304的博客
03-31 393
还有更多的Redis、MySQL、JVM、Kafka、微服务、Spring全家桶等学习笔记这里就不一一列举出来。
Spring Boot Actuator&Admin
我的技术博客
12-09 2412
干嘛的:主要运用在微服务架构,所以我建议你先学微服务,否则可能get不到它的用处,只有大型的分布式系统才会用到指标监控… Why:?对于一个大型的几十个、几百个微服务构成的微服务架构系统,在线上时通常会遇到下面一些问题,比如:So: 在这种大型分布式应用的环境下,我们如何能够快速发现问题、快速解决问题, 必须要有监控平台、(链路追踪、日志)SpringBoot自带监控功能Actuator,可以帮助实现对程序内部运行情况监控,比如监控状况、Bean加载情况、环境变量、日志信息、线程信息等 Actuator
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
spring boot 源码解析57-actuator组件:info背后的密码(全网独家)
热门推荐
qq_26000415的博客
02-02 1万+
spring boot InfoEndpoint 的揭秘,从以下3个方面来说明: 1. 源码解析 2. 自动装配讲解 3. 实战 深度好文,等你来读
Spring Boot Actuator 2.2.5 基本使用
u013558123的博客
11-25 1038
4.访问actuator,很多可以访问的路径,这些都是可被健康检查的指标。2.application.properties 文件中添加以下配置。3.启动springboot项目,会看到如下输出,1. pom文件 ,添加 Actuator 依赖。
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 1万+
1、信息泄露:未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
Actuator 实验
Ellen的博客
08-30 291
Actuator通过一系列HTTP端点提供监控能力。本文首先尝试了定义已有的endpoint,以及自定义endpoint,并实验通过prometheus对暴露的endpoint进行数据收集,Grafana进行数据展示。
Spring Boot Actuator从未授权访问到getshell
07-18
Spring Boot Actuator从未授权访问到getshell
Spring Boot Actuator监控端点小结
08-30
主要介绍了Spring Boot Actuator监控端点小结,需要的朋友可以参考下
springboot 使用Spring Boot Actuator监控应用小结
08-28
本篇文章主要介绍了springboot 使用Spring Boot Actuator监控应用小结,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 教程7:Actuator
梦幻天空
05-27 1253
在这篇文章中,我们将介绍Spring Boot Actuator。我们将首先介绍基础知识,然后详细讨论Spring Boot 2.x与1.x中的可用性。我们将学习如何在Spring Boot 2.x和WebFlux中使用、配置和扩展这个监控工具,利用响应式编程模型。然后,我们将讨论如何使用Boot 1.x执行相同的操作。随着Spring Boot 2的发布,,执行器已经重新设计,并添加了新的令人兴奋的端点。什么是Actuator
微服务客户端actuator添加security认证后,SpringBootAdmin监控不到问题
qq_41979143的博客
07-19 1365
SpringbootAdmin
针对SpringBoot Actuator授权访问端点问题
qq_25379811的博客
03-24 3360
问题场景: 目前SpringBoot Actuator暴露出的端点是未经授权就可以直接访问的,这样可能会存在一些安全隐患 解决方法 1.第一种方案:可以在配置文件中把暴露出的端点排除掉 #开启所有的端点访问(目前 health和info是默认开启的) management.endpoints.web.exposure.include=* #屏蔽掉health端点 management.endpoints.web.exposure.exclude=health 这种方案屏蔽掉之后,就不能在访问了,对于项目
Spring Boot Actuator授权访问漏洞
05-24
3. 更新Spring Boot版本:Spring Boot官方已经修复了Actuator授权访问漏洞,升级到最新版本可以避免此漏洞的发生。 总之,Spring Boot Actuator授权访问漏洞需要引起开发人员的重视,应该及时采取相应的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值