actuator--基础--05--端点保护

2023-11-03

actuator–基础–05–端点保护

代码位置

https://gitee.com/DanShenGuiZu/learnDemo/tree/master/actuator-learn/actuator01

1、介绍

如果将默认不打开的endpoints打开了，建议一定要加上 Spring security 之类的做 endpoint 保护，避免重要信息外泄。

因为端点的信息和产生的交互都是非常敏感的，必须防止未经授权的外部访问。

2、代码

在这里插入图片描述

2.1、依赖

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.2、定义安全校验规则，用来覆盖Spring Security 的默认配置

package fei.zhou.actuator01.security;

/**
 * 描述该类
 *
 * @author <a href="920786312@qq.com">周飞</a>
 * @class: ActuatorSecurityConfig
 * @date 2022/9/13  19:36
 * @Verson 1.0 -2022/9/13  19:36
 * @see
 */

import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest;
import org.springframework.boot.actuate.context.ShutdownEndpoint;
import org.springframework.boot.autoconfigure.security.servlet.PathRequest;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 *
 * 定义安全校验规则，用来覆盖Spring Security 的默认配置。
 *
 * @param null
 * @return
 * @author <a href="920786312@qq.com">周飞</a>
 * @since 2022/9/13 20:00
 */
@Configuration
public class ActuatorSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /*
         * version1:
         *
         * 1. 限制 '/shutdown'端点的访问，只允许actuator访问
         *
         * 2. 允许外部访问其他的端点
         *
         * 3. 允许外部访问静态资源
         *
         * 4. 允许外部访问 '/'
         *
         * 5. 其他的访问需要被校验
         */
        // http
        // // 允许基于httpServerRequest限制访问
        // .authorizeRequests()
        // // 限制 '/shutdown'端点的访问，只允许actuator访问
        // .requestMatchers(EndpointRequest.to(ShutdownEndpoint.class)).hasRole("ADMIN")
        // // 允许外部访问其他的端点
        // .requestMatchers(EndpointRequest.toAnyEndpoint()).permitAll()
        // // 允许外部访问静态资源
        // .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
        // // 允许外部访问 '/'
        // .antMatchers("/").permitAll()
        // // /**请求，需要用户登录验证
        // .antMatchers("/**")
        // // 需要用户登录验证
        // .authenticated().and()
        // // 配置httpBasic验证
        // .httpBasic();
        
        /*
         * version2:
         *
         * 1. 限制所有端点的访问，只允许actuator访问
         *
         * 2. 允许外部访问静态资源
         *
         * 3. 允许外部访问 '/'
         *
         * 4. 其他的访问需要被校验 '/'
         */
        
        http
                // 允许基于httpServerRequest限制访问
                .authorizeRequests()
                // Endpoint 请求，需要有ADMIN角色
                .requestMatchers(EndpointRequest.toAnyEndpoint()).hasRole("ADMIN")
                // 静态资源 请求，允许访问
                .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
                // /请求，允许访问
                .antMatchers("/").permitAll()
                // /**请求，需要用户登录验证
                .antMatchers("/**")
                // 需要用户登录验证
                .authenticated().and()
                // 配置httpBasic验证
                .httpBasic();
    }
}

2.3、application.properties

# Spring Security 的 账号，密码，角色
spring.security.user.name=actuator
spring.security.user.password=actuator
spring.security.user.roles=ADMIN

2.4、测试

localhost:8080/actuator/health

在这里插入图片描述

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Actuator

Spring

Java

spring boot

actuator--基础--05--端点保护的相关文章

为什么在 10 个 Java 线程中递增一个数字不会得到 10 的值？

我不明白 a 的值为0 为什么 a 不是10 那段代码的运行过程是怎样的是否需要从Java内存模型来分析这是我的测试代码 package com study concurrent demo import lombok extern sl
查看Java Agent修改的Java类的源代码

我需要了解 Java 代理如何修改我的初始类以便我能够理解代码的作用 build gradle configurations jar archiveName agent2 jar jar manifest attributes Prema
Java中Gson、JsonElement、String比较

好吧我想知道这可能非常简单和愚蠢但在与这种情况作斗争一段时间后我不知道发生了什么我正在使用 Gson 来处理一些 JSON 元素在我的代码中的某个位置我将 JsonObject 的 JsonElements 之一作为字符串获取
如何使用 Java 引用释放 Java Unsafe 内存？

Java Unsafe 类允许您按如下方式为对象分配内存但是使用此方法在完成后如何释放分配的内存因为它不提供内存地址 Field f Unsafe class getDeclaredField theUnsafe Internal re
GWT、Maven、Spring - 在 Maven 构建上获取 com.thoughtworks.qdox.parser.ParseException：语法错误

我正在尝试集成此演示中的代码 http code google com p gwt spring starter app http code google com p gwt spring starter app 进入我的主要 Spring
ThreeTen 向后移植与 JSR-310 的比较

由于某些原因我们现在无法使用 java 8 我们仍然停留在 java 7 上不过我想使用新的JSR 310 date time APIs现在使用官方向后移植 ThreeTen http www threeten org threet
为什么解析这个 JSON 会抛出错误？

我正在尝试解析这个 JSONObject query yahoo count 1 results rate Name USD INR id USDINR Time 12 19pm Date 10 31 2015 Bid 65 405 Ask
使用 Spring / JPA 写入 Postgres 数据库的 JSON 列

我有一个名为 test 的表其中包含 Postgres 9 3 中 json 类型的列 sample column 我正在尝试使用 Spring JPA 将以下内容写入列中 name 更新的名称我在其他帖子中读到我需要添加自定义转换器
无法验证 Spring Security 中 url 模式的角色

我正在使用 spring security 3 1 7 RELEASE 和 spring 3 2 13 RELEASE 我的 spring security xml 中有如下条目
Android 认为我没有关闭数据库！为什么？

我有一个 SQLiteDatabase 数据成员我在 onCreate 中初始化它并在 onPause onStop 和 onDestroy 中调用 close 它在 onResume 中重新初始化它似乎运行得很好但当我查看调试器时
UseCompressedOops JVM 标志有什么作用以及何时应该使用它？

HotSpot JVM 标志是什么 XX UseCompressedOops我应该做什么以及什么时候使用它在 64 位 Java 实例上使用它与不使用它时我会看到什么样的性能和内存使用差异去年大多数 HotSpot JVM 都默认
使用 Proguard 通过 Dropbox.com 库混淆 Android 应用程序

我刚刚创建了一个需要 Dropbox com API 库的 Android 应用程序我现在尝试在发布模式下构建应用程序并希望在代码上运行混淆器以对其进行混淆但是每当我尝试运行 Proguard 时都会收到以下错误 Progua
类更改（例如字段添加或删除）是否保持 Serialized 的向后兼容性？

我有一个关于 Java 序列化的问题在这种情况下您可能需要修改可序列化类并保持向后兼容性我有丰富的 C 经验所以请允许我将 Java 与 NET 进行比较在我的Java场景中我需要使用Java的运行时序列化机制序列化一个对象并
按降序排序映射java8 [重复]

这个问题在这里已经有答案了 private static
在 Java 中通过 D-Bus MPRIS 访问 Clementine 实例

我使用 Clementine 作为音乐播放器它可以通过 D Bus 命令进行控制在命令行上使用 qdbus 我可以 Start Stop 暂停播放器强制它跳过播放列表中的歌曲检查播放列表的长度检查播放列表中当前播放的曲目及其元数
Android ScrollView，检查当前是否滚动

有没有办法检查标准 ScrollView 当前是否正在滚动方向是向上还是向下并不重要我只需要检查它当前是否正在滚动 ScrollView当前形式不提供用于检测滚动事件的回调有两种解决方法可用 1 Use a ListView并实施On
确定 JavaFX 中是否消耗了事件

我正在尝试使用 JavaFX 中的事件处理来做一些非滑雪道的事情我需要能够确定手动触发事件后是否已消耗该事件在以下示例中正确接收了合成鼠标事件但调用 Consumer 不会更新该事件我对此进行了调试发现 JavaFX 实际上创建
Spring 作为 JNDI 提供者？

我想使用 Spring 作为 JNDI 提供程序这意味着我想在 Spring 上下文中配置一个 bean 可以通过 JNDI 访问该 bean 这看起来像这样
在会话即将到期之前调用方法

我的网络应用程序有登录的用户有一个超时在会话过期之前我想执行一个方法来清理一些锁我已经实现了sessionListener但一旦我到达public void sessionDestroyed HttpSessionEvent eve
设置 TreeSet 的大小

有没有办法像数组一样对 Java 集合中的 TreeSet 进行大小限制例如我们在数组中 anArray new int 10 数组具有固定长度在创建数组时必须指定该长度 A TreeSet当您向其中添加元素时会自动增长您无法设置其大

随机推荐

二、在Sails中使用Typescript

文章目录 Typescript 基础 Typescript 安装 TypeScript 问题最简单的改造 Sails重定义 Waterline Orm 重写Models Typescript 重写控制器 User Model的进一步优化
HTML5小组件

10 CSS3社交关系网模拟动画这次我们要给大家分享一款CSS3模拟社交关系网的动画特效社交网的中心是用户的头像图片由中心连线展开到各个社交网络的Logo图片同时每一条连接线上面都会有一个圆点由中心向各个节点移动形成关系网的模拟动
联想小新系列win10系统使用IDEA经常闪退，蓝屏，死机，饱受折磨

出现这种情况的而且也是小新系列的确定了是IDEA与电脑冲突导致的解决办法在文末经历介绍阶段一 2020 7 12换的电脑联想小新系列的大概一周后官网下载了IDEA2020 1 3版本安装后网上搜了一个破解工具成功激活了但是
QT笔记（四）：在窗口中添加背景图片时并且不覆盖其控件原来样子

1 文章一 https blog csdn net yuxiangdeming article details 78352841 在构造函数中添加 this gt setObjectName dialog 这句话一定要有不然整个界面上的
【Linux篇】TCP 编程

include
[GO语言基础] 三.变量声明、数据类型、标识符及编程练习12题

作为网络安全初学者会遇到采用Go语言开发的恶意样本因此从今天开始从零讲解Golang编程语言一方面是督促自己不断前行且学习新知识另一方面是分享与读者希望大家一起进步前文介绍了Go的编译运行语法规范注释转义及API标准库知识
vue之事件修饰符详解（ .stop、.prevent、 .capture 、.self、.once、passive）

stop 是阻止冒泡行为不让当前元素的事件继续往外触发如阻止点击div内部事件触发div事件 prevent 是阻止事件本身行为如阻止超链接的点击跳转 form表单的点击提交 self 是只有是自己触发的自己才会执行如果接受到内部
Java后端实现分页效果

前言在我们的Java项目中分页是必不可少的数据展示页面所以这篇博客主要讲分页的实现在我们的开发当中前后端之间数据交互是必不可少的如果数据比较多就需要进行数据封装拿到前端进行页面的展示第一步准备工具类用作数据封装拿到前端
惠普台式计算机系统系统修复,一键恢复系统,详细教您怎么一键恢复惠普笔记本系统...

我们在使用电脑的时候有的时候会遇到一些电脑上的问题例如电脑开机没反应电脑蓝屏死机等解决这些问题的方法之一就是恢复系统那么我们要怎么操作呢今天小编就告诉你们惠普笔记本要怎么一键恢复系统最近小编在浏览网页的时候看到有小伙在谈论惠
echarts 解决xAxis,yAxis 数据字符长度过长问题

axisTick alignWithLabel true interval 0 rotate 30 margin 15 axisLabel interval 0 rotate 40
代码随想录算法训练营第三十一天

补作业开启贪心算法的学习
【项目实战】如何使用Postman调用WebSocket程序

一背景说明项目中需要使用WebSocket进行通信开发完了WebSocket接口总得测试吧以下是Postman调用WebSocket程序的方法二注意事项 2 1 为啥选Postman 最近都在用ApiFox做接口调用但是目前
以太坊之三状态树

正在学习区块链如果我哪里有错误希望大家指出如果有任何想法也欢迎留言这些笔记本身是在typora上写的如果有显示不正确的敬请谅解笔记本身也是给我自己写的所以如果有侵权的请通知我我立即删除 3 状态树这个数据结构的目的很明显为
“你已被移出穷人群”

壹心理创作者触角本文转载自壹心理旗下最有料公众号心理公开课 ID yixinligongkaike 01 关于贫穷我们受到的恐吓不下10000次中国的年轻人光是今年受到贫穷的恐吓就可能不下10000次一篇细致描绘北漂生活的
MySQL的存储过程中使用游标来接收查询结果集

我们如果要在MySQL的存储过程中遍历一个查询语句的结果集需要使用到游标cursor SQL server中可以定义表类型的变量Table 但MySQL中不行只能用游标假设我需要从 tb stu 这张表中查询出所有记录插入到tb st
基于Linux的智能车载监控系统设计

目录一设计背景二系统总体方案设计 2 1 系统框图及总体工作原理描述三系统硬件介绍 3 1处理器资源介绍 3 1 1核心板资源 3 1 2 核心板特性 3 4 Camera接口 3 5音频接口四系统软件设计 4 1 软件整体
poi版本升级 POI操作Excel文件，通过文件流判断Excel的版本.原来版本不能用

原始版本代码入下 if POIFSFileSystem hasPOIFSHeader inputstream book new HSSFWorkbook inputstream isXSSFWorkbook false else if PO
14-剪绳子

题目给你一根长度为n的绳子请把绳子剪成m段 m n都是整数且都大于1 每段绳子的长度记为k 0 k 1 k m 请问k 0 k 1 k 2 k m 可能的最大成绩是多少 def max product cut n if n lt 2
vue工程化之路由（router）

路由router 路由router的使用步骤在src main js入口文件中引入相关模块及组件在src下新建个router目录然后在router里面新建个index js文件此时会报错找不到依赖可以运行npm install
actuator--基础--05--端点保护

actuator 基础 05 端点保护代码位置 https gitee com DanShenGuiZu learnDemo tree master actuator learn actuator01 1 介绍如果将默认不打开的endp