Eureka是Netflix開發的服務發現框架,本身是一個基於REST的服務,主要用於定位執行在AWS域中的中間層服務,以達到負載均衡和中間層服務故障轉移的目的。SpringCloud將它整合在其子專案spring-cloud-netflix中,以實現SpringCloud的服務發現功能。
Eureka包含兩個元件:Eureka Server和Eureka Client。具體怎麼部署這裡就不說了,直接說問題
Eureka 客戶端註冊時需要配置服務端地址,類似如下配置
eureka:
instance:
hostname: hello-service
prefer-ip-address: true
instance-id: ${eureka.instance.hostname}:${server.port}
client:
register-with-eureka: true
fetch-registry: true
service-url:
defaultZone: "http://localhost:8761/eureka/"
這種配置後客戶端就會註冊到Eureka註冊中心,在Eureka介面就能看到:
但是這樣把介面暴露到外面,會把註冊資訊洩漏,一般公司也不允許暴露沒有安全認證的後臺介面
所以嘗試把Eureka介面加密
引入security
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Eureka服務端增加basic鑑權:
spring:
application:
name: eureka-server
security:
basic:
enabled: true
user:
name: admin
password: 123456
配置完成後發現現在訪問eureka介面需要使用者名稱和密碼登入了
但是登入進去後發現剛才的hello服務並沒有註冊進來
嘔吼,應該是客戶端沒配置鑑權資訊的原因,在官網找到了客戶端鑑權配置方式
https://cloud.spring.io/spring-cloud-netflix/multi/multi__service_discovery_eureka_clients.html
於是在hello服務修改配置如下:
eureka:
instance:
hostname: hello-service
prefer-ip-address: true
instance-id: ${eureka.instance.hostname}:${server.port}
client:
register-with-eureka: true
fetch-registry: true
service-url:
defaultZone: http://admin:123456@localhost:8761/eureka/
重啟hello服務後,發現還是沒有註冊成功,原來增加basic驗證後,不支援跨域訪問了,我的天,你這個大坑,服務註冊肯定是跨域的了,
於是,迅速增加配置,去掉跨域攔截
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// http.csrf().disable();//一種方式直接關閉csrf,另一種配置url後放行
http.csrf().ignoringAntMatchers("/eureka/**");
super.configure(http);
}
}
終於在介面看到可可愛愛的hello服務了,但是呢,還有一個問題,現在不允許這種明文密碼出現在配置或程式碼中,怎麼辦呢?
首先想到的就是密碼加密, 所以從spring-securiry中找到PasswordEncoderFactories加密
PasswordEncoderFactories.createDelegatingPasswordEncoder().encode("123456")
然後把加密後的結果放到Eureka服務端配置檔案中:
security:
basic:
enabled: true
user:
name: admin
password: '{bcrypt}$2a$10$mhH7ogkRB91YDUO3F883JugDMHz2o6miT95.8ukqEc6Ed4Z2xyHmm' //必須有引號
那Eureka客戶端怎麼辦? 同樣道理的嘛
client:
register-with-eureka: true
fetch-registry: true
service-url:
defaultZone: http://admin:{bcrypt}$2a$10$mhH7ogkRB91YDUO3F883JugDMHz2o6miT95.8ukqEc6Ed4Z2xyHmm@localhost:8761/eureka/
但是呢,啟動直接報錯,害,eureka註冊時並不會解密
解析Eureka服務端地址失敗,即使是加上引號也是報相同錯誤
Eureka客戶端註冊過來的訊息,服務端並不會給解密,那怎麼辦呢?
從上圖可以看到如果要實現更復雜的需求,需要通過注入clientFilter方式,so,搞起來
@Configuration
@Priority(Integer.MIN_VALUE)
public class UserCilentFilter extends ClientFilter {
@Override
public ClientResponse handle(ClientRequest clientRequest) throws ClientHandlerException {
try {
String originUrl = clientRequest.getURI().toString();
if(originUrl.contains("@")){
return this.getNext().handle(clientRequest);
}
String userNameAndPwd = "http://admin"+ jiemi("'{bcrypt}$2a$10$mhH7ogkRB91YDUO3F883JugDMHz2o6miT95.8ukqEc6Ed4Z2xyHmm'");
String addUserInfoUrl = originUrl.replaceFirst("http://", userNameAndPwd);
clientRequest.setURI(new URI(addUserInfoUrl));
} catch (URISyntaxException e) {
// FIXME: 2021/4/2
}
return this.getNext().handle(clientRequest);
}
private String jiemi(String pwd) {
// FIXME: 解密
return pwd;
}
@Bean
public DiscoveryClient.DiscoveryClientOptionalArgs discoveryClientOptionalArgs() {
DiscoveryClient.DiscoveryClientOptionalArgs discoveryClientOptionalArgs = new DiscoveryClient.DiscoveryClientOptionalArgs();
discoveryClientOptionalArgs.setAdditionalFilters(Collections.singletonList(new UserCilentFilter()));
return discoveryClientOptionalArgs;
}
}
這樣寫的思路是讓其他客戶端註冊時去掉使用者名稱和密碼,然後在自定義過濾器中對沒有使用者名稱和密碼時補充上basic驗證的使用者名稱和密碼
然後開始測試,這樣還是不行,其他服務註冊過來時,會被其他安全過濾器攔截都走不到自定義的攔截器就返回鑑權失敗了,即使@Priority(Integer.MIN_VALUE)最高優先順序
那是不是可以在更前面的地方進行攔截呢?增加ServletRequest攔截器可行否?
@Configuration
public class ServerRequestAuthFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain filterChain) throws IOException, ServletException {
//業務實現,根據請求的IP或者引數判斷是否可以執行註冊或者訪問
// String addUserInfoUrl = originUrl.replaceFirst("http://", "http://admin:123456@");
filterChain.doFilter(request, response);
}
}
但是假設這樣修改後,登入的web介面也會走到這個攔截器,同樣會增加鑑權
也就是說這樣直接增加鑑權,無法區分是其他客戶端註冊還是從介面訪問
也沒有什麼太好的辦法了,就直接在security的攔截器中把eureka註冊相關的放掉,不進行鑑權操作
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/eureka/**").permitAll();
super.configure(http);
}
這樣設定後除了直接訪問的介面需要鑑權外,其他eureka相關注冊、查詢等不需要鑑權
都這樣分層鑑權操作了,再找下是不是有其他方式達到相同的目的,於是找到
eureka:
dashboard:
enabled: false
通過在啟動指令碼設定後,效果是類似的,在eureka主介面無法訪問
上面所有的操作都是為了資訊保安考慮,還有一個經常忘記需要考慮的元件是Spring Boot Actuator,針對 Spring Boot Actuator 提供的 endpoint,採取以下幾種措施,可以儘可能降低被安全攻擊的風險
- 最小粒度暴露 endpoint。只開啟並暴露真正用到的 endpoint,而不是配置:management.endpoints.web.exposure.include=*。
- 為 endpoint 配置獨立的訪問埠,從而和 web 服務的埠分離開,避免暴露 web 服務時,誤將 actuator 的 endpoint 也暴露出去。例:management.port=8099。
- 引入 spring-boot-starter-security 依賴,為 actuator 的 endpoint 配置訪問控制。
- 慎重評估是否需要引入 spring-boot-stater-actuator。以我個人的經驗,我至今還沒有遇到什麼需求是一定需要引入spring-boot-stater-actuator 才能解決,如果你並不瞭解上文所述的安全風險,我建議你先去除掉該依賴。
資訊保安已經成為各大公司不得不考慮的問題,所以精準的許可權控制也是必不可少的,希望本文對大家在使用SpringCloud相關元件安全控制上有啟發作用。
如果覺得俺寫的還可以,記得點贊,一鍵三連也不介意。
☞☞每週一篇,賽過神仙,看完點贊,養成習慣☜☜