很多Actuator端点发布的信息都可能涉及敏感数据,还有一些端点,(比如/shutdown)非常危险,可以用来关闭应用程序。因此,保护这些端点尤为重要,能访问它们的只能是那些经过授权的客户端。
实际上,Actuator的端点保护可以用和其他URL路径一样的方式——使用Spring Security。在Spring Boot应用程序中,这意味着将Security起步依赖作为构建依赖加入,然后让安全相关的自动配置来保护应用程序,其中当然也包括了Actuator端点。
在第3章,我们看到了默认安全自动配置如何把所有URL路径保护起来,要求HTTP基本身份验证,用户名是user,密码在启动时随机生成并写到日志文件里去。这不是我们所希望的Actuator保护方式。
我们已经添加了一些自定义安全配置,仅限带有READER权限的授权用访问根URL路径(/)。要保护Actuator的端点,我们需要对SecurityConfig.java
的configure
方法做些修改。
举例来说,你想要保护/shutdown端点,仅允许拥有ADMIN权限的用户访问,代码清单7-13就是新的configure
方法。
代码清单7-13 保护/shutdown端点
@Overrideprotected void configure(HttpSecurity http) throws Exception { http .authorizeRequests .antMatchers(/"//").access(/"hasRole(/'READER/')/") .antMatchers(/"/shutdown/").access(/"hasRole(/'ADMIN/')/") ←---要求有ADMIN权限 .antMatchers(/"/**/").permitAll .and .formLogin .loginPage(/"/login/") .failureUrl(/"/login?error=true/");}
现在要访问/shutdown端点,必须用一个带ADMIN权限的用户来做身份验证。
然而,第3章里的自定义UserDetailsService
只对通过ReaderRepository
加载的用户赋予READER权限。因此,你需要创建一个更聪明的UserDetailsService
实现,对某些用户赋予ADMIN权限。你可以配置一个额外的身份验证实现,比如代码清单7-14里的内存实现。
代码清单7-14 添加一个内存里的admin用户
@Overrideprotected void configure( AuthenticationManagerBuilder auth) throws Exception { auth .userDetailsService(new UserDetailsService { ←---Reader身份验证 @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { UserDetails user = readerRepository.findOne(username); if (user != null) { return user; } throw new UsernameNotFoundException( /"User /'/" + username + /"/' not found./"); } }) .and .inMemoryAuthentication .withUser(/"admin/").password(/"s3cr3t/") .roles(/"ADMIN/", /"READER/"); ←---Admin身份验证}
新加的内存身份验证中,用户名定义为admin,密码为s3cr3t,同时被授予ADMIN和READER权限。
现在,除了那些拥有ADMIN权限的用户,谁都无法访问/shutdown端点。但Actuator的其他端点呢?假设你只想让ADMIN的用户访问它们(像/shutdown一样),可以在调用antMatchers
时列出这些URL。例如,要保护/metrics、/confiprops和/shutdown,可以像这样调用antMatchers
:
.antMatchers(/"/shutdown/", /"/metrics/", /"/configprops/") .access(/"hasRole(/'ADMIN/')/")
虽然这么做能奏效,但也只适用于少数Actuator端点的保护。如果要保护全部Actuator端点,这种做法就不太方便了。
比起在调用antMatchers
方法时显式地列出所有的Actuator端点,用通配符在一个简单的Ant风格表达式里匹配全部的Actuator端点更容易。但是,这么做也小有点挑战,因为不同的端点路径之间没有什么共同点,我们也不能在/**
上运用ADMIN权限。这样一来,除了根路径(/)之外,什么要有ADMIN权限。
为此,可以通过management.context-path
属性设置端点的上下文路径。默认情况下,这个属性是空的,所以Actuator的端点路径都是相对于根路径的。在application.yaml里增加如下内容,可以让这些端点都带上/mgmt前缀。
management: context-path: /mgmt
你也可以在application.properties里做类似的事情:
management.context-path=/mgmt
将management.context-path
设置为/mgmt后,所有的Actuator端点都会与/mgmt路径相关。例如,/metrics端点的URL会变为/mgmt/metrics。
有了这个新的路径,我们就有了公共的前缀,在为Actuator端点赋予ADMIN权限限制时就能借助这个公共前缀:
.antMatchers(/"/mgmt/**/").access(/"hasRole(/'ADMIN/')/")
现在所有以/mgmt开头的请求(包含了所有的Actuator端点),都只让授予了ADMIN权限的认证用户访问。