一,spring boot admin的安全环节:

1,修改context-path,默认时首页就是admin,

我们修改这个地址可以更安全

2,配置ip地址白名单,有ip限制才安全,

我们使用了spring security,

可以在防火墙中也配置上ip限制

3,登录用户有相应的role授权才能访问

4,actuator端也要配置ip/路径/权限

说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest

对应的源码可以访问这里获取: https://github.com/liuhongdi/

说明:作者:刘宏缔 邮箱: 371125307@qq.com

二,演示项目的相关信息

1,项目地址:

https://github.com/liuhongdi/bootadmin

2,项目功能说明:

演示了spring boot admin 服务端和actuator客户端的安全配置

3,项目结构;如图:

三,配置文件说明

1,admin模块的pom.xml

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <!--admin sever-->

        <dependency>

            <groupId>de.codecentric</groupId>

            <artifactId>spring-boot-admin-starter-server</artifactId>

            <version>2.3.0</version>

        </dependency>

        <!-- spring security -->

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

2,actuator模块的pom.xml

        <!--admin client-->

        <dependency>

            <groupId>de.codecentric</groupId>

            <artifactId>spring-boot-admin-starter-client</artifactId>

            <version>2.3.0</version>

        </dependency>

        <!--actuator begin-->

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-actuator</artifactId>

        </dependency>

        <!-- spring security -->

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

3,admin模块的application.properties

#admin context-path

spring.boot.admin.context-path=/lhdadmin

#admin white ip list

spring.boot.admin.access.iplist=192.168.3.1,127.0.0.1

#admin status intertal

spring.boot.admin.monitor.status-interval=60000ms

spring.boot.admin.monitor.status-lifetime=60000ms

#error

server.error.include-stacktrace=always

#error

logging.level.org.springframework.web=trace

4,actuator模块的application.properties

#admin url

spring.boot.admin.client.url=http://localhost:8080/lhdadmin

spring.boot.admin.client.username=lhdadmin

spring.boot.admin.client.password=123456

spring.boot.admin.client.connect-timeout=5000ms

spring.boot.admin.client.period=60000ms

spring.boot.admin.client.instance.metadata.user.name=lhdadmin

spring.boot.admin.client.instance.metadata.user.password=123456

#port

server.port=8081

#exposure

management.endpoints.web.exposure.include=*

#路径映射

management.endpoints.web.base-path=/lhdmon

#health显示

management.endpoint.health.show-details=always

#允许访问的ip列表

management.access.iplist = 127.0.0.1,192.168.1.100,192.168.2.3/24,192.168.1.6,localhost

#error

server.error.include-stacktrace=always

#error

logging.level.org.springframework.web=trace

说明:

spring.boot.admin.client.username=lhdadmin
spring.boot.admin.client.password=123456

这两项是用来访问server的账号

spring.boot.admin.client.instance.metadata.user.name=lhdadmin
spring.boot.admin.client.instance.metadata.user.password=123456

这两项是供server访问actuator时使用

spring.boot.admin.client.url=http://localhost:8080/lhdadmin

此处注意使用服务端设置的context-path

四,java代码说明

1,admin模块的application:DemoApplication.java

@SpringBootApplication

@EnableAdminServer

public class DemoApplication {

    public static void main(String[] args) {

        SpringApplication.run(DemoApplication.class, args);

    }

}

注意添加了@EnableAdminServer注解,用来启动admin sever

2,admin模块的SecurityConfig.java

@Configuration

@EnableWebSecurity

 public class SecurityConfig extends WebSecurityConfigurerAdapter {

     @Value("${spring.boot.admin.access.iplist}")

     private String iplist;

     @Override

     protected void configure(HttpSecurity http) throws Exception {

                 //得到iplist列表

                String iprule = "";

                //hasIpAddress('10.0.0.0/16') or hasIpAddress('127.0.0.1/32')

                String[] splitAddress=iplist.split(",");

                for(String ip : splitAddress){

                     if (iprule.equals("")) {

                         iprule = "hasIpAddress('"+ip+"')";

                     } else {

                         iprule += " or hasIpAddress('"+ip+"')";

                     }

                }

                String adminRule = "hasAnyRole('ADMIN','DEV') and ("+iprule+")";

                  //login和logout

                  http.formLogin()

                          .loginPage("/lhdadmin/login")

                         .defaultSuccessUrl("/lhdadmin/wallboard")

                        .failureUrl("/login-error.html")

                        .permitAll()

                       .and()

                       .logout().logoutUrl("/lhdadmin/logout").permitAll()

                       .and()

                       .httpBasic();

         http.csrf()

                 .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())

                 .ignoringAntMatchers(

                         "/lhdadmin/**",

                         "/actuator/**"

                 );

                  //匹配的页面,符合限制才可访问

                  http.authorizeRequests()

                  .antMatchers("/lhdadmin/login/**","/lhdadmin/assets/**").access(iprule)

                  .antMatchers("/lhdadmin/**").access(adminRule);

                  //剩下的页面,允许访问

                 http.authorizeRequests().anyRequest().permitAll();

             }

     @Autowired

     public  void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

         //添加两个账号用来做测试

         auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                 .withUser("lhdadmin")

                 .password(new BCryptPasswordEncoder().encode("123456"))

                 .roles("ADMIN","USER")

                 .and()

                 .withUser("lhduser")

                 .password(new BCryptPasswordEncoder().encode("123456"))

                 .roles("USER");

     }

 }

3,actuator模块的SecurityConfig.java

@Configuration

@EnableWebSecurity

 public class SecurityConfig extends WebSecurityConfigurerAdapter {

     @Value("${management.access.iplist}")

     private String iplist;

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //得到iplist列表

        String iprule = "";

        String[] splitAddress=iplist.split(",");

        for(String ip : splitAddress){

            if (iprule.equals("")) {

                iprule = "hasIpAddress('"+ip+"')";

            } else {

                iprule += " or hasIpAddress('"+ip+"')";

            }

        }

        String actuatorRule = "hasAnyRole('ADMIN','DEV') and ("+iprule+")";

        //login和logout

        http.formLogin()

                .defaultSuccessUrl("/lhdmon")

                .failureUrl("/login-error.html")

                .permitAll()

                .and()

                .logout()

                .and()

                .httpBasic();

        //匹配的页面,符合限制才可访问

        http.authorizeRequests()

                .antMatchers("/lhdmon/**").access(actuatorRule);

        //剩下的页面,允许访问

        http.authorizeRequests().anyRequest().permitAll();

    }

    @Autowired

    public  void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        //添加两个账号用来做测试

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                .withUser("lhdadmin")

                .password(new BCryptPasswordEncoder().encode("123456"))

                .roles("ADMIN","USER")

                .and()

                .withUser("lhduser")

                .password(new BCryptPasswordEncoder().encode("123456"))

                .roles("USER");

    }

 }

五,测试效果

1,spring boot admin 非授权ip地址访问

http://192.168.3.182:8080/lhdadmin/wallboard

登录后返回:

2,spring boot admin 非授权账号访问

http://127.0.0.1:8080/lhdadmin/login

页面:用lhduser登录

lhduser这个账号无权访问

3,spring boot admin从授权ip用有授权账号登录:

http://127.0.0.1:8080/lhdadmin/login

用lhdadmin这个账号登录:

跳转到了wallboard

点击进入:

六,查看spring boot的版本

  .   ____          _            __ _ _

 /\\ / ___'_ __ _ _(_)_ __  __ _ \ \ \ \

( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \

 \\/  ___)| |_)| | | | | || (_| |  ) ) ) )

  '  |____| .__|_| |_|_| |_\__, | / / / /

 =========|_|==============|___/=/_/_/_/

 :: Spring Boot ::        (v2.3.3.RELEASE)

spring boot:用spring security加强spring boot admin的安全(spring boot admin 2.3.0 / spring boot 2.3.3)的更多相关文章

  1. 曹工说Spring Boot源码系列开讲了(1)-- Bean Definition到底是什么,附spring思维导图分享

    写在前面的话&&About me 网上写spring的文章多如牛毛,为什么还要写呢,因为,很简单,那是人家写的:网上都鼓励你不要造轮子,为什么你还要造呢,因为,那不是你造的. 我不是要 ...

  2. 基于spring boot2.0+spring security +oauth2.0+ jwt微服务架构

    github地址:https://github.com/hankuikuide/microservice-spring-security-oauth2 项目介绍 该项目是一个演示项目,主要演示了,基于 ...

  3. 0.spring cloud目录

    1. 微服务架构概述 1.0. 单体架构是什么 1.1. 单体应用架构存在的问题 1.2. 如何解决单体应用架构存在的问题 1.3. 什么是微服务 1.4. 微服务架构的优点与挑战 1.4.1. 微服 ...

  4. spring boot系列03--spring security (基于数据库)登录和权限控制(下)

    (接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecuri ...

  5. spring boot:swagger3的安全配置(swagger 3.0.0 / spring security / spring boot 2.3.3)

    一,swagger有哪些环节需要注意安全? 1,生产环境中,要关闭swagger application.properties中配置: springfox.documentation.swagger- ...

  6. spring boot系列03--spring security (基于数据库)登录和权限控制(上)

    这篇打算写一下登陆权限验证相关 说起来也都是泪,之前涉及权限的比较少所以这次准备起来就比较困难. 踩了好几个大坑,还好最终都一一消化掉(这是废话你没解决你写个什么劲

  7. spring boot中实现security错误信息本地化

    一.修改messages.properties 找源码中的messages.properties,复制一份放在classpath下,修改你要修改的内容 AbstractUserDetailsAuthe ...

  8. Spring Boot发布2.6.2、2.5.8:升级log4j2到2.17.0

    12月22日,Spring官方发布了Spring Boot 2.5.8(包括46个错误修复.文档改进和依赖项升级)和2.6.2(包括55个错误修复.文档改进和依赖项升级). 这两个版本均为缺陷修复版本 ...

  9. Spring Boot中采用Mockito来mock所测试的类的依赖(避免加载spring bean,避免启动服务器)

    最近试用了一下Mockito,感觉真的挺方便的.举几个应用实例: 1,需要测试的service中注入的有一个dao,而我并不需要去测试这个dao的逻辑,只需要对service进行测试.这个时候怎么办呢 ...

随机推荐

  1. Java代码工具EasyCode使用

    写Java代码,增删改查,最无趣而又最基础.那机器人就来了,帮你写,减少你的基础的无趣的工作. 推荐两个代写代码的神奇工具Mybatis-generator与EasyCode.这两款软件的数据库持久层 ...

  2. 反序列化之PHP

    反序列化漏洞 #PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果.在反序列化的过程中自动触发了某些魔术方法. ...

  3. [06] 优化C#服务器的思路和工具的使用

    优化C#服务器的思路和工具的使用 优化服务器之前, 需要先对问题的规模做合理的预估, 然后对关键的数据做采样, 做对比, 看和自己的预估是否一致, 误差大在什么地方, 是预估的不对, 还是系统实现有问 ...

  4. Vue 登录/登出以及JWT认证

    1. 后端代码概览 server/router/index.js 请求 router.get('/getUserInfo', function (req, res, next) { // 登录请求 r ...

  5. jekins使用的坑

    1.日志打满 一个周末回来,服务器的磁盘就写满了 现象如下,最后是修改catalina脚本 添加了如下配置 ###jekins log problem#########export JAVA_OPTS ...

  6. c语言之结构

    定义结构: struct point { int x; int y; }; 定义结构并声明变量: struct point { int x; int y; }pt1,pt2,pt3; 声明结构变量 s ...

  7. java 并发线程池的理解和使用

    一.为什么要用线程池 合理利用线程池能够带来三个好处. 第一:降低资源消耗.通过重复利用已创建的线程降低线程创建和销毁造成的消耗. 第二:提高响应速度.当任务到达时,任务可以不需要的等到线程创建就能立 ...

  8. 刷题[CISCN2019 总决赛 Day2 Web1]Easyweb

    解题思路 打开网页是这样一个登陆框,随机试了一下常见弱密钥,二次注入等.均是返回不同的猫咪图案 不同的id对应不同的猫咪图案.经测试,返回的id应该是无序,随机的.感觉这里有可能存在注入点,但是测试好 ...

  9. python中不需要函数重载的原因

    函数重载主要是为了解决两个问题: 1.可变参数类型 2.可变参数个数 并且函数重载一个基本的设计原则是,仅仅当两个函数除了参数类型和参数个数不同以外,其功能是完全相同的,此时才使用函数重载,如果两个函 ...

  10. 据说是面试题:由【if(a==1&&a==2&&a==3)】引发的思考探讨

    有一天,突然在一个微信群有个群友发了张图片抛出了一道题,如图: ​