你的Eureka服务注册中心安全吗?

在之前的章节我们讲到了搭建Eureka服务注册中心,已经可以让我们自定义的微服务节点进行注册到该Eureka Server上,不过在注册过程中存在一个风险的问题,如果我们的Eureka Server的地址无意暴露在外,那岂不是通过Eureka协议创建的任意服务都可以进行注册到该Eureka Server吗?(当然如果你配置了服务器的安全组并且使用内网的IP地址或者主机名方式对外提供服务注册地址几乎不存在这个问题。)

本章目标

Eureka Server穿上安全的外套,我的注册中心更安全。

构建项目

依然使用idea开发工具创建一个SpringBoot项目,在依赖的选择界面我们添加Eureka ServerSecurity相关依赖,pom.xml配置文件如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
//...省略部分内容
<dependencies>
<!--Eureka服务端-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-server</artifactId>
</dependency>
<!--添加安全认证-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
//...省略部分内容

因为我们是用的是Spring Security作为安全组件,所以在这里需要添加spring-boot-starter-security依赖来完成安全相关组件自动化配置以及实例化

既然依赖已经添加好了,那么我们怎么配置安全用户呢?

开启注册中心安全配置

在添加安全配置之前,我们需要把Eureka Server的配置也一并添加上,如果你对Eureka Server配置不太了解,你可以查看搭建Eureka服务注册中心阅读学习

配置文件的安全配置

修改application.yml配置文件内容,添加安全配置信息,如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# 服务名称
spring:
application:
name: hengboy-spring-cloud-eureka-security
# 安全参数配置
security:
user:
name: api
password: node
roles: SERVICE_NODE
# eureka配置
eureka:
client:
service-url:
defaultZone: http://localhost:${server.port}/eureka/
fetch-registry: false
register-with-eureka: false

# 端口号
server:
port: 10000

安全相关的内容我们通过spring.security.user开头的参数进行配置,对应自动绑定spring-boot-starter-security依赖内的org.springframework.boot.autoconfigure.security.SecurityProperties属性实体类。
SecurityProperties的内部类SecurityProperties.User内我们可以看到已经给我们生成了一个默认的name以及password

  • spring.security.user.name
    用户名,默认值为user,配置Spring Security内置使用内存方式存储的用户名。
  • spring.security.user.password
    用户对应的密码,默认值为UUID随机字符串,配置Spring Security默认对应user用户的密码,该密码在系统启动时会在控制台打印,如果使用默认值可以运行查看控制台的输出内容。

开启Http Basic 安全认证

旧版本的Spring Security的依赖是可以在配置文件内容直接通security.basic.enabled参数进行开启basic认证,不过目前版本已经被废除,既然这种方式不可行,那我们就使用另外一种方式进行配置,通过继承WebSecurityConfigurerAdapter安全配置类来完成开启认证权限,配置类如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
/**
* 开启Eureka Server安全认证配置
*
* @author:于起宇 <p>
* ================================
* Created with IDEA.
* Date:2018/9/28
* Time:5:42 PM
* 简书:http://www.jianshu.com/u/092df3f77bca
* 码云:https://gitee.com/hengboy
* GitHub:https://github.com/hengyuboy
* ================================
* </p>
*/
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
/**
* 配置安全信息
* - 禁用csrf攻击功能
* - 开启所有请求需要验证并且使用http basic进行认证
*
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {

http.csrf()
.disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.httpBasic();
}
}

如果你了解Spring Security那肯定对我们自定义的安全配置类SecurityConfiguration的内容不陌生,在SecurityConfiguration#configure方法内,我们禁用了csrf功能并且开启所有请求都需要通过basic方式进行验证。

到目前为止我们的Eureka 注册中心的安全相关配置已经添加完成,那么我们的服务在进行注册时是不是也需要同步修改呢?

答案:肯定以及必须的

不过服务注册时仅仅是微调,影响不太大,那么我们下面来看下该怎么调整。

注册服务时的安全配置

如果你对怎么把服务注册到Eureka Server不太了解,你可以阅读将服务注册到Eureka来进行学习,
我们只需要修改eureka.client.service-url.defaultZone配置的连接字符串内容即可,下面是修改前后的对比:

1
2
3
4
5
6
7
8
9
10
11
12
13
// 修改前
# 配置Eureka Server 信息
eureka:
client:
service-url:
defaultZone: http://localhost:10000/eureka/

// 修改后
# 配置Eureka Server 信息
eureka:
client:
service-url:
defaultZone: http://api:node@localhost:10000/eureka/

修改后的api:node@这块的内容,前面是spring.security.user.name配置的值,而后面则是spring.security.user.password配置的值,@符号后面才是原本之前的Eureka Server的连接字符串信息。
对于上面的修改是不是很简单?

这也归功于Eureka的设计,安全方面也是netflix他们在研发过程中考虑到的一点,所以才会可以这么简单的集成Spring Security安全认证。

运行测试

本章的测试流程如下:

  1. 启动Eureka Server(本章项目)
  2. 启动Eureka Client(可以自行创建一个服务节点,也可以直接使用将服务注册到Eureka源码进行测试。)
  3. 访问Eureka Server管理平台 http://localhost:10000
  4. 输入用户名api以及密码node进行登录
  5. 查看服务注册列表

总结

我们本章为Eureka Server穿上了安全的外套,让它可以更安全,在文章开始的时候我说到了如果使用内网IP或者主机名方式进行服务注册时是几乎不存在安全问题的,如果你想你的服务注册中心更新安全,大可不必考虑你的服务注册方式都可以添加安全认证。

本文由程序员 - 恒宇少年编写,遵循CC 4.0 BY-SA版权协议,转载请注明文章出处,如需公众号转载,请联系「微信

文章标签: Eureka, SpringCloud

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×