nacos开启鉴权功能

已于 2024-04-22 11:19:25 修改
阅读量928 收藏 3
点赞数 1
文章标签: 安全 网络 nacos 鉴权 springboot maven 微服务
于 2024-04-22 11:17:44 首次发布
原文链接:https://juejin.cn/post/7281201055627493413
版权

1. 前言

在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。

之前也爆过Nacos权限认证绕过漏洞(CVE-2021-29441):

Nacos官方关于安全方面的一些声明:

  • Nacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。

  • Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。

  • 如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。

接下来我们使用Nacos提供的鉴权实现,对服务端进行一定的安全保护,除此之外实际应用时,Nacos应当部署在内网,实在需要暴露在公网时,应当使用插件实现强鉴权体系。

2. 开启鉴权

2.1 服务端

服务端鉴权相关的配置在application.properties文件中:

首先配置nacos.core.auth.enabledtrue标识开启鉴权:

### The auth system to use, currently only 'nacos' and 'ldap' is supported:
nacos.core.auth.system.type=nacos

### 开启鉴权
nacos.core.auth.enabled=true

然后需要配置一个自定义密钥,用于生成JWT令牌:

### The default token (Base64 String):
nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

自定义秘钥注意事项:

  • Nacos 2.2.0.1之后的版本,配置默认为空,需要自行添加一个,否则无法启动服务端。
  • 推荐将密钥配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。
  • 文档中提供的密钥为公开密钥,在实际部署时请更换为其他密钥内容,防止密钥泄漏导致安全风险。
  • 密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。

开启鉴权以后,在集群模式下各节点之间进行通信,需要配置白名单,通过消息头传递规定的标识,例如,在早前的版本中,携带了user-agent: nacos-server消息头的请求,会被直接放行,但是这种方式爆出了安全漏洞。

所以Nacos默认关闭了该配置:

### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false

这时,就需要我们自定义一个认证KeyVaule用于集群通信,示例如下:

### 配置自定义身份识别的key(不可为空)和value(不可为空)
nacos.core.auth.server.identity.key=Id-Key
nacos.core.auth.server.identity.value=Id-Value

配置完成后,重启服务端,访问控制台需要登录,默认的用户名/密码为nacos/nacos

在控制台中,可以对用户、角色、权限进行管理:

2.2 客户端

服务端开启鉴权后,客户端进行注册时,会报错:

Caused by: com.alibaba.nacos.api.exception.NacosException: user not found!
	at com.alibaba.nacos.client.naming.remote.gprc.NamingGrpcClientProxy.requestToServer(NamingGrpcClientProxy.java:359) ~[nacos-client-2.2.1.jar:na]
	at com.alibaba.nacos.client.naming.remote.gprc.NamingGrpcClientProxy.doSubscribe(NamingGrpcClientProxy.java:311) ~[nacos-client-2.2.1.jar:na]
	at com.alibaba.nacos.client.naming.remote.gprc.NamingGrpcClientProxy.subscribe(NamingGrpcClientProxy.java:296) ~[nacos-client-2.2.1.jar:na]

只需在application.yml文件中添加用户名/密码即可:

spring:
  application:
    name: order-demo
  cloud:
    nacos:
      discovery:
        username: nacos
        password: nacos

2.3 令牌缓存

无论是客户端SDK还是OpenAPI,都是在调用login接口获取accessToken之后,携带accessToken访问服务端,服务端解析Token进行鉴权。因此解析的动作比较耗时,如果想要提升接口的性能,可以考虑开启缓存Token的功能,用字符串比较代替Token解析。

服务端自2.2.1版本后,默认鉴权插件模块支持令牌缓存功能,默认关闭,通过以下配置开启:

# 开启令牌缓存
nacos.core.auth.plugin.nacos.token.cache.enable=true
# 令牌过期时间
nacos.core.auth.plugin.nacos.token.expire.seconds=18000

在开启令牌缓存功能之后,服务端对每一个携带用户名密码访问login接口的请求,会先检查缓存中是否存在该用户名对应的token。若不存在,生成新的Token,插入缓存再返回,若存在,返回该token

银氨溶液
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 服务(Service)是 Nacos 世界的一等公民。Nacos 支持几乎所有主流类型的“服务”的发现、配置和管理: Kubernetes Service gRPC & Dubbo RPC Service Spring Cloud RESTful Service Nacos 的关键特性包括: 服务发现和服务健康监测 Nacos 支持基于 DNS 和基于 RPC 的服务发现。服务提供者使用 原生SDK、OpenAPI、或一个独立的Agent TODO注册 Service
nacos开启鉴权配置与mysql配置
03-23
application.properties 文件在 Spring Boot 项目中用于配置应用程序的各种属性,包括与 Nacos 相关的配置。Nacos 是一个开源的服务发现、配置管理和服务管理平台,通过在 application.properties 中配置 Nacos 的相关属性,可以实现将应用程序注册到 Nacos 服务器、从 Nacos 服务器获取配置信息等功能。 以下是 application.properties 文件中配置 Nacos 的一些常见属性和作用: nacos.discovery.server-addr:指定 Nacos 服务器的地址,用于服务注册和发现。 spring.cloud.nacos.discovery.server-addr:与上述属性类似,也用于指定 Nacos 服务器的地址,但在 Spring Cloud 应用中使用。 spring.cloud.nacos.config.server-addr:指定 Nacos 服务器的地址,用于从 Nacos 获取配置信息。
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
docker部署的nacos2.2x开启鉴权功能
W1124824402的博客
04-28 603
nacos2.2.0版本之后如果不开启鉴权,那么默认不需要登录就可以访问
nacos-server鉴权开启及 客户端连接
xk3286的博客
05-07 1540
注意上面的namespace 是这里。
Nacos2.2.0-开启鉴权配置、权限认证
小蜗牛的博客
03-15 1万+
Nacos2.2.0-开启鉴权配置、权限认证
nacos添加权限控制的鉴权功能
认知 行动 坚持
10-05 4559
nacos添加权限控制
nacos登陆鉴权
tlqwanttolearnit的博客
06-01 5094
开启鉴权之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
Nacos创建用户并鉴权图文教程
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
10-21 5885
由于公司正在做nacos鉴权和账号分配,每一个项目对应一个nacos账号,每一个nacos账号只能访问或操作对应项目的资源,做到项目与项目之前的隔离。通过本篇博客能够成功进行鉴权和账号权限分配。
Nacos鉴权和配置加密
航仔的博客
07-19 4129
Nacos鉴权和配置加密
nacos适配oracle数据库
03-01
1.nacos服务,适配oracle数据库11g。 2.提供nacos,oracle的创建nacos数据库脚本。 3.nacos-dm/conf/nacos-oracle-11g.sql文件。 4.nacos版本1.4.2
k8s部署有状态 nacos2.0.3,通过ingress外网访问
01-06
k8s部署有状态 nacos2.0.3,通过ingress外网访问。
Nacosnacos-2.2.3)
06-01
文件内容: nacos-server-2.2.3.tar.gz nacos-server-2.2.3.zip nacos-2.2.3.tar.gz nacos-2.2.3.zip
Nacos鉴权详解
深圳市多克创新科技有限公司
10-30 7547
Nacos鉴权
nacos开启鉴权
最新发布
JFENG14的博客
06-04 255
4.springboot添加nacos用户名和密码的配置,用户名和密码使用nacos登录账号。如果是Linux系统可以使用命令随机生成。5.重启springboot判断是否成功。1.nacos配置开启鉴权nacos版本1.4.3。
Nacos鉴权和配置加密—官方原版
热门推荐
深圳市多克创新科技有限公司
02-08 1万+
Nacos鉴权和配置加密
nacos开启鉴权后,服务启动报错(解决方案)
07-19 2725
【代码】nacos开启鉴权后,服务启动报错(解决方案)
nacos开启鉴权+springboot配置用户名密码
timshinlee的博客
02-27 4272
nacos鉴权
2.2.2nacos开启鉴权
05-03
Nacos提供了基于角色的权限管理,可以通过配置文件或者API来开启鉴权。 1. 配置文件方式: 在 Nacos 的配置文件(application.properties 或 application.yml)中设置以下属性: ``` # 开启鉴权 nacos.core.auth.enabled=true # 鉴权类型,支持 `simple` 和 `custom`,其中 `simple` 表示简单模式(默认),`custom` 表示自定义模式 nacos.core.auth.type=simple # 管理员用户名和密码,多个用户以逗号分隔 nacos.core.auth.simple.username=your_username nacos.core.auth.simple.password=your_password ``` 2. API方式: 使用 Nacos 的 API 来进行鉴权配置,具体步骤如下: 1) 创建一个名为“nacos-auth”的命名空间。 2) 在该命名空间下创建一个名为“nacos-authentication”的配置项。 3) 设置“nacos-authentication”配置项的值为以下 JSON 串: ``` { "users": [ { "username": "your_username", "password": "your_password", "roles": [ "admin" ] } ], "permissions": [ { "resource": "*", "action": "*", "role": "admin" } ], "roles": [ { "name": "admin", "permissions": [ "*:*:*" ] } ] } ``` 4) 重新启动 Nacos Server。 这样就可以开启 Nacos鉴权功能了。注意,如果使用的是 API 方式,需要使用相应的 API 来进行操作,如添加用户、添加角色、添加权限等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值