SpringBoot应用监控Actuator使用隐患及解决方案

Actuator介绍

SpringBoot的Actuator 模块提供了生产级别的功能，比如健康检查，审计，指标收集，HTTP 跟踪等，帮助我们监控和管理Spring Boot 应用。这个模块是一个采集应用内部信息暴露给外部的模块，如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等（上述的功能都可以通过HTTP 和 JMX 访问）。如果使用不当或者一些不经意的疏忽，可能造成信息泄露等严重的安全隐患。（PS：楼主这里就因为某同事的疏忽上线后被检测到未授权访问然后勒令整改的）

Actuator核心是：Endpoints，它用来监视应用程序及交互，actuator中内置了非常多的Endpoints（如：health、info、beans、httptrace等等），但同时也允许用户根据自己需求自定义端点。

Endpoints 主要分成两类：原生端点和用户自定义端点；自定义端点主要是指扩展性，用户可以根据自己的实际应用，定义一些比较关心的指标，在运行期进行监控。

常见端点如下表格所示

EndPoints	描述
auditevents	公开当前应用程序的审核事件信息。
beans	显示应用程序中所有Spring bean的完整列表。
caches	暴露可用的缓存。
conditions	显示在配置和自动配置类上评估的条件以及它们匹配或不匹配的原因。
configprops	显示所有的整理列表@ConfigurationProperties,查看配置属性，包括默认配置
env	露出Spring的属性的各种环境变量,后面可跟/{name}查看具体的值
flyway	显示已应用的任何Flyway数据库迁移。
health	显示应用健康信息,2.0以后需要在配置里show-details打开开关
httptrace	显示HTTP跟踪信息,2.0以后需要手动打开
info	显示任意应用信息,是在配置文件里自己定义的
integrationgraph	显示Spring Integration图。
loggers	显示和修改应用程序中记录器的配置。
liquibase	显示已应用的任何Liquibase数据库迁移。
scheduledtasks	显示应用程序中的计划任务。

感兴趣的小伙伴可自行查阅

使用Actuator

使用Actuator监控只需要在Maven中引入依赖“spring-boot-starter-actuator”即可

        <!-- 监控端点-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>

在YML配置文件中配置actuator的访问路径，开放端口

management:
  endpoints:
    web:
      # actuator的访问路径，默认/actuator
      base-path: /actuator
      # 设置是否暴露端点 默认只有health和info可见
      exposure:
        # 如需暴漏指定端口，在下方输入，端口名称，多个端点之间用“，”分割。如：env,session。开放所        
        # 有用*号表示，如下所示
        include: "*"
  #新开监控端口，不设置采取项目端口（默认）
  server:
    port: 8081  
  endpoint:
    health:
      # 显示db、redis、rabbti连接情况等
      show-details: always 
    shutdown:
      enabled: true  

到这里引入Actuator已完成，启动项目在浏览器地址栏输入项目路径后拼上/actuator后即可访问(注：如果上面配置过地址这里就不应输入/actuator,应该为你配置的地址。如需查询某一个端点就在/actuator后面拼接上。如env：localhost:8080/actuator/env)

配置Actuator可视化界面

看上图所列出的让人看得不是很清楚，这时候可以使用monitor来构建界面，使用也很简单，只需要引入“spring-boot-monitor”即可

        <dependency>
            <groupId>cn.pomit</groupId>
            <artifactId>spring-boot-monitor</artifactId>
            <version>0.0.4</version>
        </dependency>

引入完成后启动项目，这个时候就不是访问/actuator而是/monitor来进行访问。

Actuator配置安全访问

需要使用Actuator监控服务端点情况时，如果在本地的话问题不大，但是放到线上就会有问题。这个时候我们需要对Actuator进行保护。

比如说限制开放某一端点，我们可以在yml中配置（env举例）：

endpoint:
 env:
    enabled: false

也可以通过搭配security模块来进行登录限制。

首先引入maven依赖“spring-boot-starter-security”依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

在yml配置文件中定义账号密码（注：也可以不在配置文件中定义，在配置类中定义）

spring:
  security:
    user:
      name: root
      password: 123456
      roles: ADMIN

编写配置类（注：SpringBoot2.0抛弃了之前的引用方式，故此使用配置类方法，该实例只针对actuator进行拦截，各位可根据实际情况调整）

@Configuration
@EnableWebSecurity
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) {
        http.csrf().disable();
        http.formLogin().and()
                .authorizeRequests()
                .antMatchers("/**actuator/**","/**monitor/**")
                .authenticated()
                .anyRequest()
                .permitAll()
                .and()
                .httpBasic();
    }

    //添加账号、密码、权限
    @Autowired
    public  void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("root")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("ADMIN");
    }


}

启动项目访问该地址会自动跳转到登录界面，使用配置好的账号密码登录即可。

 注：也可更改验证步骤搭配数据库进行登录，在此就不多说了感兴趣的小伙伴可自行研究展开了

Actuator安全建议

• 设置Actuator独立端口，并且不对外开放
• 设置特定访问IP地址，非设定IP自动拦截
• 设置访问路径不采取默认路径
• 按需开放端点
• 搭配security模块进行访问加密