Spring Boot应用集成Actuator端点解决未授权访问的漏洞

一、前言

我们知道想要实时监控我们的应用程序的运行状态,比如实时显示一些指标数据,观察每时每刻访问的流量,或者是我们数据库的访问状态等等,需要使用到Actuator组件,但是Actuator有一个访问未授权问题,简单说就是其他人可以通过Actuator组件暴露的URL进行端点信息访问,甚至shutdown应用。那么我们有没有什么解决方法呢?

二、解决方案

我们创建一个spring Boot项目进行演示说明。思路就是对spring Boot actuator暴露的URL访问时,增加携带用户名、密码,同时增加一个Filter进行拦截,为了防止密码泄露,需要对密码进行加密传输,由于后端需要进行对比密码,所以我们需要采用对称加密,这里我们采用SM4加密算法,可以参考博文:

使用SM4国密加密算法对Spring Boot项目数据库连接信息以及yaml文件配置属性进行加密配置(读取时自动解密)

为什么不采用主流的集成Spring Security组件呢,出于两方面考虑:

  • 集成Spring Security相对Filter来说比较重量级
  • 集成Spring Security进行Actuator端点认证可能会与原有业务安全认证冲突

2.1 创建spring Boot项目,导入相关依赖

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk15to18</artifactId><version>1.76</version>
</dependency><dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.8.25</version>
</dependency>

2.2 增加相关配置

management:endpoints:web:exposure:include: health

2.3 启动验证

在这里插入图片描述

2.4 授权改造

2.4.1 增加自定义配置
management:endpoints:web:exposure:include: healthwhiteUrl:   # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔user: admin # 认证用户password: '!SM4!-HUYu9S6osKi65pZr7YQO9w=='  # 认证用户密码 SM4Utils.encryptStr("password")
2.4.2 自定义授权过滤器逻辑
import com.learn.SM4Utils;
import org.springframework.util.StringUtils;
import sun.misc.BASE64Decoder;import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.nio.charset.StandardCharsets;public class ActuatorFilter implements Filter {private String[] whiteUrl;private String user;private String password;public ActuatorFilter(String whiteUrl, String user, String password) {this.whiteUrl = whiteUrl == null ? null : whiteUrl.split(",");this.user = user;this.password = password;}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {boolean flag = false;HttpServletRequest httpServletRequest = ((HttpServletRequest) servletRequest);String url = httpServletRequest.getRequestURI();// 判断是否是白名单if (whiteUrl != null && whiteUrl.length != 0) {for (String str : whiteUrl) {if (url.equals(str)) {flag = true;break;}}}if (flag) { // 如果是白名单则直接放行filterChain.doFilter(servletRequest, servletResponse);} else {if (StringUtils.hasText(user) && StringUtils.hasText(password)) { // 如果配置用户名密码String authorization = httpServletRequest.getHeader("Authorization");if (StringUtils.hasText(authorization)) { // Basic YWRtaW46YWRtaW4=String auth = authorization.replace("Basic ", "");auth = new String(new BASE64Decoder().decodeBuffer(auth), StandardCharsets.UTF_8);String[] authArr = auth.split(":");if (user.equals(authArr[0]) && password.equals(authArr[1])) { //如果用户名密码都可以匹配上则进行放行filterChain.doFilter(servletRequest, servletResponse);} else {throw new IllegalArgumentException("user or password info error!");}} else {throw new IllegalArgumentException("Authorization info must be not null!");}} else { // 如果没有配置用户名密码则直接放行filterChain.doFilter(servletRequest, servletResponse);}}}
}
2.4.3 注册Filter生效
import com.learn.filter.ActuatorFilter;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class ActuatorConfig {@Value("${management.endpoints.web.exposure.whiteUrl:}")private String whiteUrl;@Value("${management.endpoints.user:}")private String user;@Value("${management.endpoints.password:}")private String password;@Beanpublic FilterRegistrationBean filterRegistrationBean() {FilterRegistrationBean<ActuatorFilter> filterRegistrationBean = new FilterRegistrationBean<>();filterRegistrationBean.setFilter(actuatorFilter());filterRegistrationBean.addUrlPatterns("/*");filterRegistrationBean.setName("ActuatorFilter");return filterRegistrationBean;}@Beanpublic ActuatorFilter actuatorFilter() {return new ActuatorFilter(whiteUrl, user, password);}}

2.5 功能测试

在这里插入图片描述

此时访问actuator端点都需要携带用户名密码了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/478061.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Springboot+vue的疫情信息管理系统(有报告)。Javaee项目,springboot vue前后端分离项目。

Springboot+vue的疫情信息管理系统(有报告)。Javaee项目,springboot vue前后端分离项目。

演示视频&#xff1a; Springbootvue的疫情信息管理系统&#xff08;有报告&#xff09;。Javaee项目&#xff0c;springboot vue前后端分离项目。 项目介绍&#xff1a; 本文设计了一个基于Springbootvue的前后端分离的疫情信息管理系统&#xff0c;采用M&#xff08;model&a…
阅读更多...
计算机专业假期必看5部电影

计算机专业假期必看5部电影

社交网络The Social Network (2010) 《社交网络》&#xff08;The Social Network&#xff09;根据本麦兹里奇的小说《意外的亿万富翁&#xff1a;Facebook的创立&#xff0c;一个关于性、金钱、天才和背叛的故事》改编而成。由大卫芬奇执导&#xff0c;杰西艾森伯格、安德鲁加…
阅读更多...
亚马逊测评-养号技巧大揭秘!必须注意的事项!

亚马逊测评-养号技巧大揭秘!必须注意的事项!

众所周知&#xff0c;不论是线上还是线下的互联网电商平台&#xff0c;在被刷单的情况下都存在。举例来说&#xff0c;国内一些知名的线上交易平台&#xff0c;如淘宝、京东、拼多多等&#xff0c;都有商家为了提高店铺排名、星级和转化率等目的&#xff0c;进行刷单业务。同样…
阅读更多...
OJ链接——打印从1到最大的n位数

OJ链接——打印从1到最大的n位数

目录 1. 题目描述2. 示例3. 分析思路4. 完整代码 1. 题目描述 输入数字 n&#xff0c;按顺序打印出从 1 到最大的 n 位十进制数。比如输入 3&#xff0c;则打印出 1、2、3 一直到最大的 3 位数 999。 用返回一个整数列表来代替打印n 为正整数&#xff0c;0 < n < 5 链接在…
阅读更多...
不同的AI修改同一篇文章标题

不同的AI修改同一篇文章标题

提问AI 我写了一篇文章&#xff0c;请帮我把标题重新改一下&#xff1a;“比较不同AI分析同一个错误代码及给出解决方案的能力&#xff08;结果出我意料&#xff09;” 这篇文章的原地址为&#xff1a;https://blog.csdn.net/snans/article/details/136132211 答案对比结果&am…
阅读更多...
投资银行在网络安全生态中的作用

投资银行在网络安全生态中的作用

文章目录 一、投资银行的含义(一)并购买方。(二)并购卖方。(三)IPO辅助。(四)投资银行业务的另一方面是帮助这些交易融资。二、从投资银行角度看网络安全产业(一)行业的短期前景三、复杂的网络安全并购(一)行业知识对投资银行业务很重要(二)在网络安全领域,技术…
阅读更多...
C 语言 ConsoleRogueLike 控制台肉鸽游戏 DEVC++ VS2022都可用

C 语言 ConsoleRogueLike 控制台肉鸽游戏 DEVC++ VS2022都可用

使用 C 语言和 windows 的键盘检测函数和延迟函数&#xff0c;开发的控制台 roguelike 游戏 点开 .exe 文件立即进入游戏 AWSD 移动 J 攻击 K 加成buff 没有结束条件&#xff0c;除非碰到敌人。 其他模块功能还没来得及开发 author : 民用级脑的研发记录 DEVC 项目工程代码副本…
阅读更多...
BN介绍:卷积神经网络中的BatchNorm

BN介绍:卷积神经网络中的BatchNorm

一、BN介绍 1.原理 在机器学习中让输入的数据之间相关性越少越好&#xff0c;最好输入的每个样本都是均值为0方差为1。在输入神经网络之前可以对数据进行处理让数据消除共线性&#xff0c;但是这样的话输入层的激活层看到的是一个分布良好的数据&#xff0c;但是较深的激活层…
阅读更多...
防御保护——综合实验

防御保护——综合实验

拓扑图 实验需求&#xff1a; 1.Fw1和Fw2组成主备模式的双机热备 2.DMZ区存在两台服务器&#xff0c;现在要求生产区的设备仅能在办公时间&#xff08;9:00-18:00&#xff09;访问&#xff0c;办公区的设备全天都可以访问。 3.办公区设备可以通过电信链路和移动链路上网(多对多…
阅读更多...
MSS与cwnd的关系,rwnd又是什么?

MSS与cwnd的关系,rwnd又是什么?

慢启动算法是指数递增的 这种指数增长的方式是慢启动算法的一个核心特点&#xff0c;它确保了TCP连接在开始传输数据时能够快速地探测网络的带宽容量&#xff0c;而又不至于过于激进导致网络拥塞。具体来说&#xff1a; 初始阶段&#xff1a;当TCP连接刚建立时&#xff0c;拥…
阅读更多...
FreeRTOS移植到GD32

FreeRTOS移植到GD32

目录 一、GD32基础工程创建&#xff1a; 1、创建如下文件夹 2、在keil5创建工程 3、在工程添加相关.c文件和头文件路径 4、实例&#xff1a;实现LED闪烁功能 二、在基础工程添加FreeRTOS&#xff1a; 1、FreeRTOS中的文件: 2、添加的源文件: 3、添加的头文件路径: 4、…
阅读更多...
Stackoverflow(1)-根据RequestBody的内容来区分使用哪个资源

Stackoverflow(1)-根据RequestBody的内容来区分使用哪个资源

如果使用Spring&#xff0c;可以通过RequestBody将请求体的json转换为Java对象&#xff0c;但如果URI相同&#xff0c;而请求体的内容不同&#xff0c;应该怎么办&#xff1f;问题来源(stackoverflow)&#xff1a;Spring RequestBody without using a pojo?稍微研究了一下&…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023