首页 » Spring Boot实战 » Spring Boot实战全文在线阅读

《Spring Boot实战》7.5 保护Actuator端点

关灯直达底部

很多Actuator端点发布的信息都可能涉及敏感数据,还有一些端点,(比如/shutdown)非常危险,可以用来关闭应用程序。因此,保护这些端点尤为重要,能访问它们的只能是那些经过授权的客户端。

实际上,Actuator的端点保护可以用和其他URL路径一样的方式——使用Spring Security。在Spring Boot应用程序中,这意味着将Security起步依赖作为构建依赖加入,然后让安全相关的自动配置来保护应用程序,其中当然也包括了Actuator端点。

在第3章,我们看到了默认安全自动配置如何把所有URL路径保护起来,要求HTTP基本身份验证,用户名是user,密码在启动时随机生成并写到日志文件里去。这不是我们所希望的Actuator保护方式。

我们已经添加了一些自定义安全配置,仅限带有READER权限的授权用访问根URL路径(/)。要保护Actuator的端点,我们需要对SecurityConfig.javaconfigure方法做些修改。

举例来说,你想要保护/shutdown端点,仅允许拥有ADMIN权限的用户访问,代码清单7-13就是新的configure方法。

代码清单7-13 保护/shutdown端点

@Overrideprotected void configure(HttpSecurity http) throws Exception {  http    .authorizeRequests      .antMatchers(/"//").access(/"hasRole(/'READER/')/")      .antMatchers(/"/shutdown/").access(/"hasRole(/'ADMIN/')/")    ←---要求有ADMIN权限      .antMatchers(/"/**/").permitAll    .and    .formLogin      .loginPage(/"/login/")      .failureUrl(/"/login?error=true/");}  

现在要访问/shutdown端点,必须用一个带ADMIN权限的用户来做身份验证。

然而,第3章里的自定义UserDetailsService只对通过ReaderRepository加载的用户赋予READER权限。因此,你需要创建一个更聪明的UserDetailsService实现,对某些用户赋予ADMIN权限。你可以配置一个额外的身份验证实现,比如代码清单7-14里的内存实现。

代码清单7-14 添加一个内存里的admin用户

@Overrideprotected void configure(            AuthenticationManagerBuilder auth) throws Exception {  auth    .userDetailsService(new UserDetailsService {    ←---Reader身份验证      @Override      public UserDetails loadUserByUsername(String username)          throws UsernameNotFoundException {        UserDetails user = readerRepository.findOne(username);        if (user != null) {          return user;        }        throw new UsernameNotFoundException(                      /"User /'/" + username + /"/' not found./");      }    })    .and    .inMemoryAuthentication      .withUser(/"admin/").password(/"s3cr3t/")                        .roles(/"ADMIN/", /"READER/");    ←---Admin身份验证}  

新加的内存身份验证中,用户名定义为admin,密码为s3cr3t,同时被授予ADMIN和READER权限。

现在,除了那些拥有ADMIN权限的用户,谁都无法访问/shutdown端点。但Actuator的其他端点呢?假设你只想让ADMIN的用户访问它们(像/shutdown一样),可以在调用antMatchers时列出这些URL。例如,要保护/metrics、/confiprops和/shutdown,可以像这样调用antMatchers

.antMatchers(/"/shutdown/", /"/metrics/", /"/configprops/")                          .access(/"hasRole(/'ADMIN/')/")  

虽然这么做能奏效,但也只适用于少数Actuator端点的保护。如果要保护全部Actuator端点,这种做法就不太方便了。

比起在调用antMatchers方法时显式地列出所有的Actuator端点,用通配符在一个简单的Ant风格表达式里匹配全部的Actuator端点更容易。但是,这么做也小有点挑战,因为不同的端点路径之间没有什么共同点,我们也不能在/**上运用ADMIN权限。这样一来,除了根路径(/)之外,什么要有ADMIN权限。

为此,可以通过management.context-path属性设置端点的上下文路径。默认情况下,这个属性是空的,所以Actuator的端点路径都是相对于根路径的。在application.yaml里增加如下内容,可以让这些端点都带上/mgmt前缀。

management:  context-path: /mgmt  

你也可以在application.properties里做类似的事情:

management.context-path=/mgmt  

management.context-path设置为/mgmt后,所有的Actuator端点都会与/mgmt路径相关。例如,/metrics端点的URL会变为/mgmt/metrics。

有了这个新的路径,我们就有了公共的前缀,在为Actuator端点赋予ADMIN权限限制时就能借助这个公共前缀:

.antMatchers(/"/mgmt/**/").access(/"hasRole(/'ADMIN/')/")  

现在所有以/mgmt开头的请求(包含了所有的Actuator端点),都只让授予了ADMIN权限的认证用户访问。