Spring Boot Actuator?的作用是提供了一組管理和監(jiān)控端點，允許你查看應(yīng)用程序的運行時信息，例如健康狀態(tài)、應(yīng)用程序信息、性能指標等。這些端點對于開發(fā)、測試?和運維團隊來說都非常有用，可以幫助快速診斷問題、監(jiān)控應(yīng)用程序的性能，并采取必要的措施來維護和管理應(yīng)用程序。

Spring Boot Actuator 未授權(quán)訪問的配置

Spring Boot Actuator 提供了許多有關(guān)應(yīng)用程序運行時信息的有用端點（endpoints），如/health、/info、/metrics 等。這些端點可以幫助開發(fā)人員和運維人員監(jiān)控和管理 Spring Boot 應(yīng)用程序。默認情況下，這些端點需要授權(quán)才能訪問，以確保安全性。

如果你遇到 Spring Boot Actuator 未授權(quán)訪問的問題，你可以采取以下步驟來解決：

1.添加 Spring Security 依賴

要啟用授權(quán)，你可以在項目中添加 Spring Security 依賴。在 Maven 項目中，你可以添加以下依賴：

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>

? 在 Gradle 項目中，你可以添加以下依賴：

implementation 'org.springframework.boot:spring-boot-starter-security'

2.配置 Spring Security 權(quán)限

創(chuàng)建一個配置類來配置 Spring Security，以控制 Actuator 端點的訪問權(quán)限。以下是一個示例配置類：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/actuator/**").hasRole("ACTUATOR") .anyRequest().authenticated() .and() .httpBasic(); } }

這個示例配置允許授權(quán)用戶訪問以"/actuator/"開頭的所有 URL，并要求用戶具有"ACTUATOR"角色。你可以根據(jù)自己的需求進行自定義配置。

3.配置 Actuator 端點的角色

在 Spring Boot 的應(yīng)用屬性文件（如 application.properties 或 application.yml）中，你可以配置 Actuator 端點的角色要求。例如，在 application.properties 中：

management.endpoint.health.roles=ACTUATOR management.endpoint.metrics.roles=ACTUATOR

這將指定只有具有"ACTUATOR"角色的用戶才能訪問/actuator/health 和/actuator/metrics 端點。

4.為用戶分配角色

確保為授權(quán)用戶分配了正確的角色。你可以在自己的用戶認證和授權(quán)服務(wù)中配置角色。

5.測試訪問

使用具有正確角色的憑證（用戶名和密碼）進行測試，以確保訪問受限制的 Actuator 端點時不再出現(xiàn)未授權(quán)訪問的問題。通過這些步驟，你可以配置 Spring Boot Actuator 以要求授權(quán)訪問，并限制只有特定角色的用戶才能訪問這些端點。這有助于保護你的應(yīng)用程序的敏感信息。

注意事項

在使用 Spring Boot Actuator 時，你需要注意以下事項：

• 角色分配：確保為授權(quán)用戶分配了正確的角色，以便訪問 Actuator 端點。角色的分配可以在用戶認證和授權(quán)服務(wù)中進行。
• 版本兼容性：不同版本的 Spring Boot Actuator 可能會有一些配置差異，因此在升級或降級時要謹慎檢查文檔和配置。
• 安全性：Spring Boot Actuator 端點包含敏感信息，因此請確保適當?shù)乇Ｗo它們，以防止未授權(quán)的訪問。

使用 Apifox 測試和管理接口

Apifox 是一個比 Postman 更強大的接口測試工具，Apifox = Postman + Swagger + Mock + JMeter，它支持調(diào)試?http（s）、WebSocket、Socket、gRPC、Dubbo 等協(xié)議的接口，并且集成了?IDEA 插件。在開發(fā)完接口后，可以通過 Apifox 的 IDEA 插件一鍵自動生成接口文檔，多端同步，非常方便測試和維護。

知識擴展：

• Spring Boot Async 如何使用？一文講解 Spring Boot Async 的原理
• Spring Boot Actuator Endpoints 如何使用？Spring Boot 運行狀況端點的用法

參考鏈接：文章來源地址http://www.zghlxwxcb.cn/news/detail-732054.html

• Spring Boot Actuator 官方文檔

到了這里，關(guān)于如何解決 Spring Boot Actuator 的未授權(quán)訪問漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！