要确保访问Eureka Server时要求输入账户和密码,需要确保以下几点:
-
确保
eurekaSecurityEnabled配置为true:这个配置项控制是否启用Eureka的安全认证。如果它被设置为false,即使配置了用户名和密码,也不会启用安全认证。 -
确保
username和password配置正确:你需要确保在配置文件中正确设置了apollo.eureka.server.security.username和apollo.eureka.server.security.password。 -
优化
configure(HttpSecurity http)方法:当前的配置允许所有请求通过permitAll(),即使启用了安全认证,某些路径仍然可以匿名访问。你需要调整这些路径的权限。
优化前的代码,此代码为apollo-configserver的2.x.x以上代码
@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable();http.httpBasic();if (eurekaSecurityEnabled) {http.authorizeRequests().antMatchers("/eureka/apps/**", "/eureka/instances/**", "/eureka/peerreplication/**").hasRole(EUREKA_ROLE).antMatchers("/**").permitAll();}}如果不修改访问eureka dashboard时,直接进入到dashboard界面,安全合规审核不过,要求增加账户审核。
优化后的代码:
@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable();http.httpBasic();if (eurekaSecurityEnabled) {http.authorizeRequests().antMatchers("/","/eureka/apps/**","/eureka/instances/**","/eureka/peerreplication/**").hasRole(EUREKA_ROLE).antMatchers("/**").permitAll();}}在 application.yml添加如下内容:
apollo:eureka:server:security:username: demo1password: demo1enabled: true修改的作用
-
根路径 (
/) 需要认证:-
当用户访问根路径(例如
http://localhost:8080/)时,会要求输入用户名和密码。 -
满足合规要求,用户访问Eureka Dashboard时进行身份验证。
-
-
Eureka相关路径需要认证:
-
其他路径允许匿名访问:
/**表示所有其他路径允许匿名访问。如果希望所有路径都需要认证,可以将/**改为.anyRequest().authenticated()。代码如下修改:protected void configure(HttpSecurity http) throws Exception {http.csrf().disable();http.httpBasic();if (eurekaSecurityEnabled) {http.authorizeRequests().antMatchers("/", "/eureka/apps/**","/eureka/instances/**","/eureka/peerreplication/**").hasRole(EUREKA_ROLE) .anyRequest().authenticated(); } else {http.authorizeRequests().anyRequest().permitAll(); } }增加项动启:
执行后,如下:
不然就直接进入到dashboard页面,这在安全合规上通过不了
