首页 > 其他分享 >Springboot 使用nacos鉴权的简单步骤

Springboot 使用nacos鉴权的简单步骤

时间:2023-04-21 23:35:15浏览次数:41  
标签:core Springboot nacos auth 修改 token 默认 鉴权

Springboot 使用nacos鉴权的简单步骤


背景

前端时间nacos爆出了漏洞. 因为他的默认token固定,容易被利用.
具体的问题为: QVD-2023-6271
漏洞描述:开源服务管理平台 Nacos 中存在身份认证绕过漏洞,
在默认配 置下未token.secret.key 进行修改,
导致远程攻击者可以绕 过密钥认证进入后台,造成系统受控等后果。

漏洞影响版本:0.1.0 <= Nacos <= 2.2.0

解决方法

其实应该是两步:
第一步修改默认密钥
第二步打开授权认证

默认密钥的修改版本
echo "zhaobenshuaitestnewkeyinfolongenough" |base64 
根据得出的结果修改配置文件
/nacos/conf/application.properties
内的:
nacos.core.auth.default.token.secret.key=
修改为 base64的数值, 注意要求是不能低于32位长度. 

然后打开授权认证,主要是两处
nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true

需要很多文档都说可以直接生效,不需要重启. 我感觉还是重启一下比较好

springboot设置

注意 为了安全一定要修改 nacos的默认密码.

然后在服务器内部修改配置文件:
nacos:
  discovery:
    server-addr: 127.0.0.1:8848
  username: nacos
  password: YourPassword

需要注意一定, 我这边使用 ?! 结尾的密码总是有问题.
无法正常注册进来
没办法我去掉了 ?! 就可以了.
因为已经快12点了, 想早点睡 ,改天在验证特殊字符密码的情况. 

标签:core,Springboot,nacos,auth,修改,token,默认,鉴权
From: https://www.cnblogs.com/jinanxiaolaohu/p/17342210.html

相关文章

  • redis springboot
    【springboot进阶】SpringBoot整合RedisTemplate配置多个redis库RedisTemplate及4种序列化方式  springboot笔记 ......
  • springboot定时同步数据,从sqlserver到mysql
    https://www.cnblogs.com/SjhCode/p/sqlserverToMysql.html定时同步数据,从sqlserver到mysql 注意事项:一.primary:master #设置默认的数据源或者数据源组,默认值即为master二.@Scheduled()和 @DS("slave_1")注解 步骤:1.在原先运行的程序外,新建多加一个springboot程序......
  • SpringBoot邮箱注册
    首先在pom.xml导入依赖<!--springboot邮件mail--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-mail</artifactId><version>2.7.2</v......
  • springboot框架快速整合websocket
    1、【pom.xml】<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-websocket</artifactId></dependency>2、【MsgType.java】/***@authorJHL*2019-08-109:56*/publicenumM......
  • 【汇智学堂】微服务-SpringBoot环境搭建之一maven下载安装
    一、下载maven3.6.2http://maven.apache.org/download.cgi下载完成后,解压到某个目录。本人目录如下。(C:\Users\leilei\Desktop\apache-maven-3.6.2-bin\apache-maven-3.6.2)二、配置环境变量系统环境变量里,添加MAVEN_HOME(或M2_HOME),其值为C:\Users\leilei\Desktop\apache-maven......
  • 【汇智学堂】docker+springboot+mysql之二(springboot打包发送至Ubuntu dockermysql目
    IDEA:DockerfileContent:FROMjava:8VOLUME/tmpADDhellodocker-0.0.1-SNAPSHOT.jar/app.jarRUNsh-c'touch/app.jar'ENVJAVA_OPTS=""ENTRYPOINT["sh","-c","java$JAVA_OPTS-Djava.security.egd=file:/dev/.......
  • 【汇智学堂】docker+springboot+mysql之三(制作镜像并运行项目)
    Docker镜像仓库地址:https://hub.docker.com由于有墙,所以配置国内镜像,我们使用阿里云的镜像地址https://dev.aliyun.com/search…运行命令制作镜像:dockerbuild-t[容器名].注意:后面有个点,表示当前目录下//镜像名随意,注意最后有一个点发现没有mysql:查看所有发现msyql:5.......
  • 【四二学堂】微服务-SpringBoot+SSM之一
    Idea中NewProject参考:JavaVersion修改成13生成的项目结构如下图:修改目录成以下结构:各文件夹的内容,我们放在下一篇文章里面。......
  • SpringBoot配置简单拦截器 已解决静态资源访问问题
    publicclassLoginInterceptorimplementsHandlerInterceptor{@OverridepublicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{System.out.println(request.getRequestURI());......
  • 使用Oracle的springBoot
    application.ymlspring:application:name:zplatformdatasource:driver-class-name:oracle.jdbc.driver.OracleDriverurl:jdbc:oracle:thin:@主机号:端口号/数据库?characterEncoding=utf8&useSSL=false&serverTimezone=UTC&allowPublicKeyRetriev......