• 欢迎访问 winrains 的个人网站!
  • 本网站主要从互联网整理和收集了与Java、网络安全、Linux等技术相关的文章,供学习和研究使用。如有侵权,请留言告知,谢谢!

跟我学Spring Cloud(Finchley版)(27):Eureka安全详解

Spring Cloud winrains 来源:周立 12个月前 (11-17) 52次浏览

前文的示例中,Eureka Server都是允许匿名访问的,该方式一般无法满足公司在安全性上的诉求。
本节来构建一个需要登录才能访问的Eureka Server。Eureka本身不具备安全认证的能力,Spring Cloud使用Spring Security为Eureka Server进行了增强。

Eureka Server端

改造

  • 加依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  •  加配置
spring:
  security:
    user:
      name: user                # 配置登录的账号是user
      password: password123     # 配置登录的密码是password123

不设置这段内容,账号默认是user,密码是一个随机值,该值会在启动时打印出来

  • 改配置将Eureka Server中的 eureka.client.service-url.defaultZone 修改为为http://{user}:{password}@EUREKA_HOST:EUREKA_PORT/eureka/ 的形式:
eureka:
  client:
    service-url:
      defaultZone: http://user:password123@localhost:8761/eureka/
  • 写代码
/**
 * Spring Cloud Finchley及更高版本,必须添加如下代码,部分关闭掉Spring Security
 * 的CSRF保护功能,否则应用无法正常注册! ref:
 * http://cloud.spring.io/spring-cloud-netflix/single/spring-cloud-netflix.html#
 * _securing_the_eureka_server
 *
 * @author zhouli
 */
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().ignoringAntMatchers("/eureka/**");
        super.configure(http);
    }
}
  • Spring Cloud Finchley及更高版本必须添加这一段,在Edgware以及更早的版本中无需这一步骤。

测试

  • 启动Eureka Server并访问http://localhost:8761 ,可跳转至类似如下的登录页面:图-Eureka Server登录页
  • 输入账号user ,密码password123 后,即可正常访问Eureka Server首页。

Eureka Client端

如何将微服务注册到需认证的Eureka Server上呢——和Eureka Server端一样,只须将eureka.client.service-url.defaultZone 配置为http://{user}:{password}@EUREKA_HOST:EUREKA_PORT/eureka/ 的形式即可:

eureka:
  client:
    serviceUrl:
      defaultZone: http://user:password123@localhost:8761/eureka/

数据权限·吐槽·拓展

实际项目中,出于安全考虑,往往还需实现数据权限。
举个例子:

  • 团队1维护微服务A、B、C
  • 团队2维护微服务D、E、F

从安全的角度,我们希望:

  • 团队1中的开发人员只能操作微服务A、B、C在Eureka Server上的信息;
  • 团队1中的开发人员只能访问其他团队授权给该团队的微服务的信息(例如团队2将微服务D授权给微服务A访问);

此时该怎么办呢?

TIPS
有人可能会想:Eureka Server上哪有什么操作啊!整个Eureka Server的界面上,明明只有查看的能力!
如果只是查看,那当然没有问题,但要知道Eureka Server是有RESTful API的(详见 跟我学Spring Cloud(Finchley版)-06-服务注册与服务发现-Eureka深入 一节 )——举个例子,只需发送DELETE请求到http://{username}:{password}@EUREKA_HOST:EUREKA_PORT/eureka/apps/{appId}/{instanceID} ,即可下线服务。如果线上微服务被恶意下线,那后果是不堪设想的。君不见,前两年携程删库事件造成股票大跌?

Spring Cloud抑或原生Eureka Server并未提供这一功能,只能由开发人员基于Spring Security或其他权限框架自行扩展。
这个扩展的成本还是比较高的,于是目前业界大多企业都放弃了扩展,转而采用管理手段防止无数据权限带来的风险。例如,生产环境中:

  • 将Eureka Server的账号密码管控起来,只有核心成员才知晓。

    TIPS
    有人可能会想:这TM扯淡吧?我翻一下配置属性不知道账号密码了?后面会讲配置中心,配置中心可将账号密码等敏感数据加密存储。

  • 将Eureka Server部署在一个隔离的网络中,人们无法直接访问到Eureka Server首页,必须借助跳板机等工具才能访问。

但不管怎么样,以上方式都会增加运维成本,同时也会带来不少沟通问题。
在笔者看来,体验最好、最直观、最完美的做法如下:

  • 有完备的数据权限机制;
  • 开发人员在一个Dashboard上可以查看、管理所有他有权管理的微服务(这里的Dashboard并不是指Eureka Server的界面,而是自己另外做的界面);
  • 在Dashboard的某个地方能直接切换环境,例如一键切换开发、测试、生产环境等。

思路已经给出,实现也就是工作量的事情了。
相信聪明的看官们,对是放弃扩展,抑或追求完美一事,心里一定有了一些计较。

配套代码

相关文章

作者:周立

来源:http://www.itmuch.com/spring-cloud/finchley-out-1-eureka-security/


版权声明:文末如注明作者和来源,则表示本文系转载,版权为原作者所有 | 本文如有侵权,请及时联系,承诺在收到消息后第一时间删除 | 如转载本文,请注明原文链接。
喜欢 (1)