常见的配置中心:Apollo(三)-安全相关

最新推荐文章于 2025-09-24 14:39:59 发布
原创 最新推荐文章于 2025-09-24 14:39:59 发布 · 3.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

Apollo配置中心提供了多种安全措施,包括使用SpringSecurity的简单认证、SSO登录、用户及权限管理、敏感配置访问控制以及admin-service的访问限制。用户管理允许在系统中添加访问者,项目管理员权限可分配编辑和发布权限。从1.1.0版本开始支持查看权限,允许仅项目成员查看私有Namespace配置。此外,1.6.0版本引入了访问密钥机制,防止未授权访问敏感配置,而admin-service访问控制则增强了接口安全性。

配置中心作为基础服务,存储着公司非常重要的配置信息,所以安全因素需要大家重点关注,Apollo提供多方面的实践

1 认证

1.1 使用Apollo提供的Spring Security简单认证

可能很多公司并没有统一的登录认证系统,如果自己实现一套会比较麻烦。Apollo针对这种情况,从0.9.0开始提供了利用Spring Security实现的Http Basic简单认证版本。

从0.9.0版开始之后执行完Apollo的sql脚本之后,能使用apollo/admin登录Apollo管理界面。

1.2 使用SSO方式登录

在官方文档中说道

  1. SSO会提供一个jar包,需要配置一个filter
  2. filter会拦截所有请求,检查是否已经登录
  3. 如果没有登录,那么就会跳转到SSO的登录页面
  4. 在SSO登录页面登录成功后,会跳转回apollo的页面,带上认证的信息
  5. 再次进入SSO的filter,校验认证信息,把用户的信息保存下来,并且把用户凭证写入cookie或分布式session,以免下次还要重新登录
  6. 进入Apollo的代码,Apollo的代码会调用UserInfoHolder.getUser获取当前登录用户

注意,以上1-5这几步都是SSO的代码,不是Apollo的代码,Apollo的代码只需要你实现第6步。

其实当执行UserInfoHolder.getUser的时候已经完成了Spring Security登录的过滤链,通过查看代码AuthConfiguration可知Apollo通过不同的profile来实现登录方法的初始化,因此可以通过在代码中追加自定义的SSO逻辑链路来支持SSO登录,由于篇幅较大,日后时间会写另外一遍博文进行阐述。

除此之外Apollo还提供了LDAP和OIDC的登录,鉴于作者目前碰到的系统少有使用,所以就不做讨论。<

最低0.47元/天 解锁文章
Apollo配置中心登陆页面添加验证码
搬砖工
04-03 1136
本文对apollo进行二次开发,讲解如何使用hutool工具包增加登陆验证码功能,并添加常见问题解决方案(FAQ),全方便讲解,通俗易懂,代码结构清晰,注释完善,可以做为一个不错的参考.附:-Djava.awt.headless=true 的具体作用,Kaptcha实现方案,兼容毕昇jdk
携程 Apollo 配置中心 | 学习笔记(七) | 如何将配置文件敏感信息加密?
Coder编程的博客
05-14 9844
以上为相关系列文章 通过上述文章,相信我们的环境基本搭建完成! 下面,我们将了解如何对存放在apollo配置中心的文件进行脱敏处理。 一、需求 当我们把我们项目中的所有配置信息,都放入到apollo配置中心时,可能存在一些敏感配置信息,不方便让其他人查看到。这时候我们就需要对我们的敏感信息进行脱敏处理!
java 链接 apollo_java——Apollo配置中心之二——apollo服务端部署
weixin_39836943的博客
02-25 734
java——Apollo配置中心之二——apollo服务端部署java——Apollo配置中心之二——apollo服务端部署Apollo配置中心集成运行环境由于Apollo本身根据SpringBoot和SpringCloud开发的,脚本文件支持windows系统、Linux系统,建议CentOS 7。且本身依赖很少,只依赖数据库mysql。运行环境如下:JDK环境,1.8以上,最新版服务最低1.8...
Apollo配置OAuth2:第方认证集成
gitblog_00829的博客
09-24 757
在现代企业应用架构中,统一身份认证已成为标配需求。Apollo作为配置中心,其Portal控制台的安全性至关重要。默认情况下,Apollo提供了基于Spring Security的基本认证机制,但在复杂企业环境中,我们更需要集成OAuth2(开放授权2.0)实现第方认证,如对接企业SSO、GitLab、GitHub等身份提供商。本文将系统讲解Apollo集成OAuth2的完整方案,解决多系统身份...
apollo开启多环境配置
完颜振江
02-07 4320
新环境的配置端口设置为8180 管理端口设置为8190 apollo添加新环境需要复刻apollo-configserviceapollo-adminservice(每个环境要求有独立的这些配置),apollo-portal是公用的 1、创建新的apolloconfigdb库,操作很简单直接编辑原生的 apolloconfigdb.sql文件 修改如下个部分就可以 (1)、数据库名字换成ApolloConfigDB_fat (2)、端口换成8180(新服务)'default', 'http:/.
Apollo 配置中心未授权获取配置漏洞利用-Apollo_unauth.zip
01-31
Apollo 配置中心未授权获取配置漏洞利用-Apollo_unauth
Server returned HTTP response code: 401 for URL解决方案
热门推荐
weixin_43114582的博客
04-10 3万+
请求url时报未认证错误解决 场景:需要用户验证,验证方式为HTTP Basic 验证。 使用: 1.设置请求参数并发送post请求: JSONObject paramJson = new JSONObject(); paramJson.put("car_no", "苏A535KU"); paramJson.put("car_color", 2); ...
这是yamlapp: alias: amopTgfacadeAlias-lx name: amop-tgfacade group: amop-tgfacade-service version: 1.0 deploy: version: 1.0 server: port: 18099 registry: address: 10.2.25.16:2181,10.2.25.28:2181,10.2.25.17:2181 reference: omc: group: g_amos version: v rpc: protocol: name: t3 port: 20899 t3.nullToObject: true trace: log: false registry: session: 60000 #配置MyBatis mybatis: type-aliases-package: com.hundsun.amop.tgfacade.server.datasource.dao mapper-locations: classpath:oracle/*Mapper.xml configuration: call-setters-on-nulls: true #日志 logging: level: # root: debug com.hundsun.amop.tgfacade.server.datasource.dao: debug #在线接口配置 swagger: base-package: com.hundsun.amop.tgfacade.server.controller title: 开放API接口 description: 对外API接口描述 termOfServiceUrl: http://www.hundsun.com # contact: # name: mengjq # email: mengjq@hundsun.com # url: http://www.hundsun.com #数据池配置 192.168.224.112 spring: datasource: url: jdbc:oracle:thin:@10.2.0.65:1521/tggztest username: tgcbs # password: Precious#5123 initial-size: 2 max-active: 50 min-idle: 2 max-wait: 60000 pool-prepared-statements: true max-pool-prepared-statement-per-connection-size: 20 validation-query: select 1 from dual validation-query-timeout: 30000 test-on-borrow: false test-on-return: false test-while-idle: true filters: stat,wall,slf4j connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=5000 # redis配置 hs: cache: default: type: redis mode: standalone address: 10.2.25.17:6379 # password: hundsun@123 dbIndex: 7
最新发布
10-29
你在 IDEA 中看到 `spring.datasource` 下有红波浪线,**最常见的原因是:IDE 无法识别该属性前缀**,尽管程序可以正常运行。 #### 原因分析: 1. **缺少 `spring-boot-configuration-processor`** - 导致 IDE ...
掌握配置中心技术:config-server3344-master解析
- **Apollo**:Apollo(阿波罗)是一个可靠的分布式配置中心,由携程开发,提供了易用的界面和强大的功能,如权限管理、配置推送等功能。 - **Consul**:Consul是一个支持服务发现、配置和分段的工具,它提供了键值...
深入学习SpringCloud微服务架构:Apollo配置中心实战
- portal: 一个目录,可能包含了Apollo配置中心的管理界面相关代码,用于通过Web界面管理配置。 - images: 包含Apollo配置中心的界面截图或者相关图表,有助于用户理解Apollo的使用和功能。 在学习SpringCloud...
Apollo分布式配置中心
weixin_43744059的博客
08-13 2217
概览 什么是配置   应用程序在启动和运行的时候, 往往需要读取一些配置信息, 配置基本上伴随着应用程序的整个生命周期, 比如: 数据库连接参数, 启动参数等 配置主要有一下几个特点: 配置是独立于程序的只读变量 配置首先是独立于程序的, 同一份程序在不同的配置下会有不同的行为 其次, 配置对于程序是只读的, 程序通过读取配置来改变自己的行为, 但是程序不应该去改变配置 配置伴随应用的整个生命周期 配置贯穿于应用的整个生命周期, 应用在启动时通过读取配置来初始化, 在运行时根据配置调整行为. 比如
记一次诡异的Apollo Long polling failed 401问题
01-10 5711
大家都知道Apollo开启了密钥的情况,如果客户端没配置密钥,请求配置时就会401。 但是我遇到的情况时,客户端读取配置是成功的,但是程序会打警告日志: 2022-01-10 22:37:45.772 WARN [Apollo-RemoteConfigLongPollService-1] RemoteConfigLongPollService.doLongPollingRefresh(197) - Long polling failed, will retry in 1 seconds ......此处省
服务器上防止跨域访问问题
骨子里的偏爱
06-25 1394
服务器上防止跨域访问问题
apollo分环境部署
ss810540895的博客
05-31 965
下图是Apollo架构模块的概览: 上图简要描述了Apollo的总体设计,我们可以从下往上看: Config Service提供配置的读取、推送等功能,服务对象是Apollo客户端 Admin Service提供配置的修改、发布等功能,服务对象是Apollo Portal(管理界面) Config ServiceAdmin Service都是多实例、无状态部署,所以需要将自己注册到Eureka中并保持心跳 在Eureka之上我们架了一层Meta Server用于封装Eureka的服务发现接口 Cli
java——Apollo配置中心之二——apollo服务端部署
weixin_44034570的博客
09-29 1126
Apollo配置中心集成 运行环境 由于Apollo本身根据SpringBoot和SpringCloud开发的,脚本文件支持windows系统、Linux系统,建议CentOS 7。且本身依赖很少,只依赖数据库mysql。 运行环境如下: JDK环境,1.8以上,最新版服务最低1.8,客户端1.7. MYSQL版本:5.6以上 分布式部署环境 DEV:开发环境 FAT:测试环境,相当于alpha环境(功能测试) UAT:集成环境,相当于beta环境(回归测试) PRO:生产环境 apollo服务端部署
Apollo使用
攀登Fox的博客
07-23 3288
目录一、访问Portal端二、创建用户、项目创建四、配置集成4.1、项目中引入pom依赖4.2、配置apollo连接信息4.3、配置读取4.3.1、配置数据库连接信息4.3.2、在apollo后管中配置参数4.3.3、编写测试类TestApollo4.3.4、开启注解4.4、效果查看 一、访问Portal端 默认访问地址:http://ip:8070(config默认端口8080、admin默认端口8090) 默认用户密码:apollo/admin 登录后界面如下 二、创建用户 选择 -> 管理员
Apollo搭建与实战(分布式部署)
qq_34798605的博客
03-27 5678
一、背景 最近在公司需要完成一个技术优化事项:由于SpringCloudConfig在使用上修改配置以后需要进行服务器重启的形式来进行配置变更,流程比较麻烦以及繁琐,所以需要配合运维把手头上负责的项目的配置中心SpringCloudConfig替换成Apollo作为新的注册中心。所以就想认真的学习下Apollo,做好技术储备。 二、Apollo的环境的搭建(分布式多环境) 首先Apollo的文档真的很全,强烈推荐大家直接走官方文档Apollo,也不用去看网上的一些博客,除非遇到搭建不成功的情况下,可以
Apollo 配置中心详细教程
牧小农
09-17 1万+
一、简介 Apollo(阿波罗)是携程框架部门研发的分布式配置中心,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性,适用于微服务配置管理场景。 服务端基于Spring Boot和Spring Cloud开发,打包后可以直接运行,不需要额外安装Tomcat等应用容器。 Java客户端 不依赖任何框架,能够运行于所有Java运行时环境,同时对Spring/Spring Boot环境也有较好的支持。 .Net客户端 不依赖任何框架,能够运行于所有.N
微服务 分布式配置中心Apollo详解
靖节先生的博客
01-07 4149
微服务 分布式配置中心Apollo详解
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值