nacos开启鉴权

已于 2024-08-26 21:06:46 修改
阅读量504 收藏 12
点赞数 11
分类专栏: nacos 文章标签: nacos
于 2024-08-26 20:52:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41987908/article/details/141572787
版权

一:开启鉴权原因

部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。

之前也爆过Nacos权限认证绕过漏洞(CVE-2021-29441):该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息,还可以进行任意操作,包括创建新用户并进行登录后操作。

Nacos官方关于安全方面的一些声明:

  • Nacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。
  • Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。
  • 如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。

接下来我们使用Nacos提供的鉴权实现,对服务端进行一定的安全保护,除此之外实际应用时,Nacos应当部署在内网,实在需要暴露在公网时,应当使用插件实现强鉴权体系。

二:开启鉴权

1:服务端

服务端nacos /nacos/distribution/conf下面的application.properties文件
在这里插入图片描述
首先配置nacos.core.auth.enabledtrue标识开启鉴权:

### The auth system to use, currently only 'nacos' and 'ldap' is supported:
nacos.core.auth.system.type=nacos

### 开启鉴权
nacos.core.auth.enabled=true

然后需要配置一个自定义密钥(nacos中配置了springboot项目中不用配),用于生成JWT令牌:

### The default token (Base64 String):
nacos.core.auth.plugin.nacos.token.secret.key=yyy012345678901234567890123456789012345678901234567890123456789=

自定义秘钥注意事项:

  • Nacos 2.2.0.1之后的版本,配置默认为空,需要自行添加一个,否则无法启动服务端。
  • 推荐将密钥配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。
  • 文档中提供的密钥为公开密钥,在实际部署时请更换为其他密钥内容,防止密钥泄漏导致安全风险。
  • 密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。

开启鉴权以后,在集群模式下各节点之间进行通信,需要配置白名单,通过消息头传递规定的标识,例如,在早前的版本中,携带了user-agent: nacos-server消息头的请求,会被直接放行,但是这种方式爆出了安全漏洞。

所以Nacos默认关闭了该配置:

### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false

这时,就需要我们自定义一个认证KeyVaule用于集群通信,示例如下:

### 配置自定义身份识别的key(不可为空即用户名)和value(不可为空即密码)
nacos.core.auth.server.identity.key=nacos
nacos.core.auth.server.identity.value=nacos

配置完成后,重启服务端,访问控制台需要登录,默认的用户名/密码为nacos/nacos,可以修改密码为自定义的密码(例如LJ)。

2:客户端

服务端开启鉴权后,客户端进行注册时,会报错:

Caused by: com.alibaba.nacos.api.exception.NacosException: user not found!
	at com.alibaba.nacos.client.naming.remote.gprc.NamingGrpcClientProxy.requestToServer(NamingGrpcClientProxy.java:359) ~[nacos-client-2.2.1.jar:na]
	at com.alibaba.nacos.client.naming.remote.gprc.NamingGrpcClientProxy.doSubscribe(NamingGrpcClientProxy.java:311) ~[nacos-client-2.2.1.jar:na]
	at com.alibaba.nacos.client.naming.remote.gprc.NamingGrpcClientProxy.subscribe(NamingGrpcClientProxy.java:296) ~[nacos-client-2.2.1.jar:na]

只需在springboot application.properties文件中添加用户名/密码即可:

spring:
  application:
    name: richfit
  cloud:
    nacos:
      discovery:
        username: nacos
        password: LJ

3:令牌缓存

无论是客户端SDK还是OpenAPI,都是在调用login接口获取accessToken之后,携带accessToken访问服务端,服务端解析Token进行鉴权。因此解析的动作比较耗时,如果想要提升接口的性能,可以考虑开启缓存Token的功能,用字符串比较代替Token解析。

服务端自2.2.1版本后,默认鉴权插件模块支持令牌缓存功能,默认关闭,通过以下配置开启:

# 开启令牌缓存
nacos.core.auth.plugin.nacos.token.cache.enable=true
# 令牌过期时间
nacos.core.auth.plugin.nacos.token.expire.seconds=18000

在开启令牌缓存功能之后,服务端对每一个携带用户名密码访问login接口的请求,会先检查缓存中是否存在该用户名对应的token。若不存在,生成新的Token,插入缓存再返回,若存在,返回该token

stay hungry,stay you
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 服务(Service)是 Nacos 世界的一等公民。Nacos 支持几乎所有主流类型的“服务”的发现、配置和管理: Kubernetes Service gRPC & Dubbo RPC Service Spring Cloud RESTful Service Nacos 的关键特性包括: 服务发现和服务健康监测 Nacos 支持基于 DNS 和基于 RPC 的服务发现。服务提供者使用 原生SDK、OpenAPI、或一个独立的Agent TODO注册 Service
nacos开启鉴权配置与mysql配置
03-23
Nacos 是一个开源的服务发现、配置管理和服务管理平台,通过在 application.properties 中配置 Nacos 的相关属性,可以实现将应用程序注册到 Nacos 服务器、从 Nacos 服务器获取配置信息等功能。 以下是 application...
Nacos 2.x 系列【5】开启鉴权
记录知识、锤炼自我
05-23 1919
在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。
Nacos鉴权详解
深圳市多克创新科技有限公司
10-30 8842
Nacos鉴权
nacos-server鉴权开启及 客户端连接
xk3286的博客
05-07 4435
注意上面的namespace 是这里。
k8s部署有状态 nacos2.0.3,通过ingress外网访问
01-06
9. **安全考虑**:在实际部署中,还需考虑安全性,如使用TLS证书进行SSL/TLS加密,限制Ingress的访问策略,以及对Nacos鉴权和授权设置。 10. **监控和日志**:最后,部署完成后,为了保证服务的稳定性,需要集成...
nacos-server-2.2.0.zip
05-17
在2.2.0.1和2.2.1版本时,必须开启鉴权,否则无法启动;其他版本为建议设置。 启动之前修改配置文件 修改conf目录下的application.properties文件。 设置其中的nacos.core.auth.plugin.nacos.token.secret.key值,...
nacos2.2.3+对应安装说明
10-24
- **安全设置**:为了生产环境的安全,建议修改默认的用户名和密码,以及开启认证、鉴权等安全配置。 ### 10. 监控与维护 Nacos 提供了监控接口,可以与其他监控系统(如 Prometheus、Grafana)集成,实时监控系统...
nacos开启鉴权功能
qq_71416673的博客
04-22 1530
在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。之前也爆过Nacos权限认证绕过漏洞(NacosNacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。接下来我们使用Nacos
Nacos开启鉴权配置(Spring Cloud+Nacos
最新发布
ToLFrom_的博客
07-25 686
本文记录了Java项目中Nacos鉴权更换流程以及目前遇到的问题。
Docker 中安装Nacos 2.2.2 并开启鉴权
weixin_55331484的博客
06-01 2959
可以查看到 Nacos 运行的配置文件,包括 application.properties。5.打开application.properties配置文件。命令查看正在运行的 Nacos 容器的 ID 或名称。命令进入 Nacos 安装目录下的 conf 目录。命令进入容器的命令行界面。3.进入容器后,可以使用。4.在 conf 目录下。6.将下列配置信息输入文末。
Nacos2.2.0-开启鉴权配置、权限认证
小蜗牛的博客
03-15 1万+
Nacos2.2.0-开启鉴权配置、权限认证
Nacos2.2.2开启鉴权配置
热门推荐
咖啡程序员
04-21 2万+
最近公司开启了一个新的电商项目,项目中用到了Naocs作为注册中心和配置中心,在将Nacos服务器启动后,发现是直接可以访问Nacos的后台不用登录,看了一下官方的介绍,开启登录的的话需要开启鉴权,那么将我实测后的配置记录一下!
nacos开启鉴权配置
weixin_48838739的博客
06-07 1435
nacos开启鉴权配置
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
nacos添加鉴权
重燃小窗
06-19 4766
nacos开启鉴权,踩了很多坑,记录一下
nacos登陆鉴权
tlqwanttolearnit的博客
06-01 5291
开启鉴权之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
docker部署的nacos2.2x开启鉴权功能
W1124824402的博客
04-28 877
nacos2.2.0版本之后如果不开启鉴权,那么默认不需要登录就可以访问
docker nacos 开启鉴权
05-31
Docker Nacos是一个开源的动态服务发现、配置和服务管理平台,它提供了一个简单易用的Web UI和RESTful API,可以帮助用户轻松地实现微服务架构。在Nacos开启鉴权可以提高系统的安全性,确保只有授权用户可以访问敏感资源。以下是Docker Nacos开启鉴权的具体步骤: 1. 在Nacos的配置文件(nacos/conf/application.properties)中配置以下参数: ``` nacos.security.enable=true nacos.security.ignore.urls=/,/error,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-fe/**,/v1/auth/**,/v1/console/**,/actuator/**,/nacos/**,/plugins/**,/app/**,/health/**,/app/*/*/health/**,/proxy/*/*/metrics,/proxy/*/*/prometheus nacos.security.auth.enabled=true nacos.security.auth.configs=nacos.plugin.security.auth.DefaultAuthConfig ``` 其中,nacos.security.enable=true表示开启Nacos的安全模式;nacos.security.ignore.urls是忽略认证的URL列表,包括默认URL和用户自定义URL;nacos.security.auth.enabled=true表示开启Nacos的权限认证功能;nacos.security.auth.configs=nacos.plugin.security.auth.DefaultAuthConfig表示使用默认的权限认证配置。 2. 在Nacos的插件目录(nacos/plugins)下创建一个auth目录,并在该目录下创建一个文件名为nacos-auth.jar的jar包。该jar包包含了自定义的权限认证实现类。 3. 启动Nacos服务,此时Nacos就会自动加载插件目录下的jar包,并使用自定义的权限认证实现类来进行认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值