小心,别被eureka坑了

最新推荐文章于 2025-07-17 17:18:28 发布
原创 最新推荐文章于 2025-07-17 17:18:28 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在使用Eureka作为服务发现框架时遇到的安全问题,包括客户端和服务端的基本鉴权配置,以及如何处理跨域和密码加密。在Eureka客户端注册过程中,由于基本鉴权导致的注册失败和跨域问题,作者提供了解决方案,如自定义过滤器来补充鉴权信息。同时,文章提醒读者关注Spring Boot Actuator的安全配置,强调了信息安全在微服务架构中的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Eureka是Netflix开发的服务发现框架,本身是一个基于REST的服务,主要用于定位运行在AWS域中的中间层服务,以达到负载均衡和中间层服务故障转移的目的。SpringCloud将它集成在其子项目spring-cloud-netflix中,以实现SpringCloud的服务发现功能。

Eureka包含两个组件:Eureka Server和Eureka Client。具体怎么部署这里就不说了,直接说问题

Eureka 客户端注册时需要配置服务端地址,类似如下配置

eureka:
  instance:
    hostname: hello-service
    prefer-ip-address: true
    instance-id: ${
   
   eureka.instance.hostname}:${
   
   server.port}
  client:
    register-with-eureka: true 
    fetch-registry: true
    service-url: 
    	defaultZone: "http://localhost:8761/eureka/"

这种配置后客户端就会注册到Eureka注册中心,在Eureka界面就能看到:

但是这样把界面暴露到外面,会把注册信息泄漏,一般公司也不允许暴露没有安全认证的后台界面

所以尝试把Eureka界面加密

引入security

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Eureka服务端增加basic鉴权:

spring:
  application:
    name: eureka-server 
  security: 
    basic:
      enabled: true
    user:
      name: admin
      password: 123456

配置完成后发现现在访问eureka界面需要用户名和密码登录了

但是登录进去后发现刚才的hello服务并没有注册进来

呕吼,应该是客户端没配置鉴权信息的原因,在官网找到了客户端鉴权配置方式

https://cloud.spring.io/spring-cloud-netflix/multi/multi__service_discovery_eureka_clients.html

最低0.47元/天 解锁文章

200万优质内容无限畅学
Java Web学习总结(38)——JavaWeb网站架构设计总结
科技D人生
09-30 3693
工作也有几多年了,无论是身边遇到的还是耳间闻到的,多多少少也积攒了自己的一些经验和思考,当然,博主并没有太多接触高大上的分布式架构实践,相对比较零碎,随时补充(附带架构装逼词汇)。俗话说的好,冰冻三尺非一日之寒,滴水穿石非一日之功,罗马也不是一天就建成的,当然对于我们开发人员来说,一个好的架构也不是一蹴而就的。初始搭建开始的开始,就是各种框架一搭,然后扔到Tomcat容器中跑就是了,这时候我们的文
【面试题001】最强java八股文
热门推荐
优快云站内信: https://i.youkuaiyun.com/#/msg/chat/qyj19920704
11-20 2万+
一、基础篇 网络基础 TCP三次握手 1、OSI与TCP/IP 模型 2、常见网络服务分层 3、TCP与UDP区别及场景 4、TCP滑动窗口,拥塞控制 5、TCP粘包原因和解决方法 6、TCP、UDP报文格式 HTTP协议 1、HTTP协议1.0_1.1_2.0 2、HTTP与HTTPS之间的区别 3、Get和Post请求区别 4、HTTP常见响应状态码 5、重定向和转发区别 6、Cookie和Session区别。 浏览器输入URL过程 操作系统基础 进程和线程的区别 1、进程间..
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 1万+
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
spring eureka漏洞_Spring boot相关漏洞利用(1)
weixin_39690958的博客
12-09 1万+
Spring boot 是 Spring 的一套快速配置脚手架,可以基于spring boot 快速开发单个微服务,Spring Boot,看名字就知道是Spring的引导,就是用于启动Spring的,使得Spring的学习和使用变得快速无痛。不仅适合替换原有的工程结构,更适合微服务开发。Spring Cloud基于Spring Boot,为微服务体系开发中的架构问题,提供了一整套的解决...
小白实战 | spring Eureka Xstream Deserialization RCE 漏洞复现
伏一
05-21 1798
将Spring Eureka的版本升级到安全的版本,例如,如果你使用的是Spring Cloud版本,可以升级到最新的修复版本(例如,如果是Hoxton.SR10,那么应该升级到Hoxton.SR11或更高)。5.使用 python 在自己控制的服务器上运行以上的脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号,在修改完成就 启动脚本即可。4.利用目标<command></command>标签中攻击载荷达成反弹shell。2.python 脚本。1.访问网站服务器是否出网。
#渗透测试#漏洞挖掘#红蓝攻防#漏洞挖掘#未授权漏洞-Spring Eureka 未授权访问漏洞
soc的博客
12-25 2352
Spring Eureka是Spring Cloud框架中的一个核心组件,主要用于实现微服务之间的服务发现和服务治理功能。
Spring Eureka 未授权访问漏洞
最新发布
wxhzjw的博客
07-17 141
Eureka 是 Netflix 开源的服务注册发现组件。 当EureKa没有配置认证授权时,未经授权的攻击者可以访问EureKa,并获取敏感信息。
spring cloud 躺记录
小小的人啊
06-22 795
spring cloud 躺记录 最近研究spring cloud ,根据网上的资料搭建了一个项目框架,其中遇到了两个问题,纠结了两天正当一筹莫展之际,一不小心就解决了,顺手记下: 先看下项目结构: 项目包含了7个模块 smile-base:项目基础公共服务 smile-cms:服务调用者。 smile-cms-api:供smile-cms和smile-cms-provider实...
Docker下部署Spring Cloud微服务项目总结
胖胖哒键盘敲击兽
09-03 558
这几天在研究docker并实现了spring cloud微服务在docker上的部署,在这里mark一下! 全文分2个部分,假设spring cloud项目创建和docker的安装已经顺利完成。项目源码比较简单可直接下载,注册中心:eureka-server,服务提供者:hi-service。docker安装在ubuntu.18,内核版本:4.18.0-25-generic。 1、docker...
【SpringCloud】集群下 Eureka 的启动 bug,大
Java攻城狮修炼中
05-01 1258
如题,笔者创建了两个 Eureka Server 做集群,并引入了 Spring Security 在启动这两个 Server 就出现错误,会有各种 bug,比如 There was a problem with the instance info replicator com.netflix.discovery.shared.transport.TransportException: Cannot execute request on any known server DiscoveryClient_E
EurekaLog(程序漏洞分析检测工具)forwindowsV7.6.6.3.0安装版
08-01
EurekaLog是一个针对Delphi和C Builder的程序漏洞分析检测工具,能够帮助开发人员抓取异常和泄漏、并支持简单的项目完成修复工作,可兼容EXE压缩包,帮助用户快速检测到自己应用的漏洞。需要的朋友可以前来本站下载。 软件介绍 EurekaLog是针对Delphi和C Builder一个新的追踪异常的工具,使您的应用程序(如GUI、控制台、网络等)可捕捉所有异常,内存泄漏和检测
Spring Cloud Eureka服务治理的实现
08-27
服务治理是微服务框架中最为核心和基础的模块,它主要是用来实现各个微服务实例的自动化注册与发现。这篇文章主要介绍了Spring Cloud Eureka服务治理的实现,感兴趣的小伙伴们可以参考一下
Java配置47-Spring Eureka 未授权访问漏洞修复
JustDI0209的博客
11-03 1万+
在 Spring Security 5.7.0-M2 中,WebSecurityConfigurerAdapter 被弃用了,Spring 鼓励用户转向基于组件的安全配置。这是因为从 Spring Boot 2.0 开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,导致服务注册失败。实在没招了,只能怀疑用的框架版本太低,去重新整一个,eureka 就用了个服务发现,问题不大。刷新 eureka 页面,也没有服务信息,服务注册失败了。我试了几个方法,没有替换掉,靠你了,耿小姐。
springboot集成eurekaeureka获取服务列表、EurekaURI路径存在未授权访问
enthan809882的博客
02-16 3895
分为3个项目来讲解: 注册中心,provider,consumer 注册中心 注册中心pom.xml添加: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</art...
记录第一次eureka使用的
zhouhangzhouxing的博客
04-21 463
1、版本不对应
Eureka
x_c_yang的博客
10-15 269
上班了很久,也快半年多没学习新技术了(面不改色),终于公司也要用到新技术了,虽然我也没这么快参与(也可能并不会),但是危机感也出现了,要开始下一阶段的学习了。 现在要学一些微服务的东西了,然后这几天是Eureka的学习。在看了一些概念之后就开始了服务端和客户端的demo。但在客户端这里就是死活注册不到。报错如下: com.netflix.discovery.DiscoveryClient ...
spring cloud - eureka高可用及其缺陷
我的博客
11-19 1383
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。 Eureka实现高可用有两种方式: 一种是通过server之间的同步 一种是通过自我保护机制 server之间同步就不用多说了,只是相同的数据同步到多个server中,以保证其中一个挂掉以后其他的可以正常工作。 自我保护机制: 一种是为了避免网络分区带来的因为server误判client的不可用而导致的client之间的无法相互调用。但是万一不是误判,而是真的不可调用呢?会不会因此给客户端带来错觉,依然调用不可用的.
eureka注册服务踩的
weixin_73521574的博客
11-22 990
eureka
SpringCloud微服务04-关于Eureka注册中心可能出现的相关问题和解觉方案(高可用、失效剔除、自我保护)
weixin_44520567的博客
08-20 782
在写之前的几篇文章的过程中,一直觉得自己学的很浅,写出来的东西也感觉是小白看的傻瓜式教程。前面的三篇文章主要是让自己回顾并且能够加深一波自己对微服务的理解,但是还是远远不够。 前几天公司安排的任务都顺利完成了,今天便重新梳理了一遍关于服务治理这一块的东西,肝到我头秃,没办法为了我学技术赚大钱的梦想,继续肝! 关于Eureka注册中心可能出现的相关问题和解觉方案 在微服务中,服务治理是最为核心的。实...
eureka连接被拒绝
03-29
Eureka连接被拒绝可能有多个原因,以下是一些可能的解决方案: 1. 检查Eureka服务是否正在运行。可以在命令行或控制面板中检查服务状态。 2. 检查Eureka配置。确保Eureka配置文件中的端口号、主机名、应用程序名称等与应用程序代码中的配置相匹配。 3. 检查网络连接。确保Eureka服务和应用程序之间的网络连接正常,可以通过ping命令或其他网络工具进行测试。 4. 检查防火墙设置。如果应用程序或Eureka服务运行在受防火墙保护的网络中,则需要设置防火墙规则以允许Eureka流量通过。 5. 检查Eureka服务日志。如果Eureka服务出现错误或异常,可以在日志中找到相关信息并进行修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值