小心,别被eureka坑了

最新推荐文章于 2025-09-19 20:46:26 发布
原创 最新推荐文章于 2025-09-19 20:46:26 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在使用Eureka作为服务发现框架时遇到的安全问题,包括客户端和服务端的基本鉴权配置,以及如何处理跨域和密码加密。在Eureka客户端注册过程中,由于基本鉴权导致的注册失败和跨域问题,作者提供了解决方案,如自定义过滤器来补充鉴权信息。同时,文章提醒读者关注Spring Boot Actuator的安全配置,强调了信息安全在微服务架构中的重要性。

Eureka是Netflix开发的服务发现框架,本身是一个基于REST的服务,主要用于定位运行在AWS域中的中间层服务,以达到负载均衡和中间层服务故障转移的目的。SpringCloud将它集成在其子项目spring-cloud-netflix中,以实现SpringCloud的服务发现功能。

Eureka包含两个组件:Eureka Server和Eureka Client。具体怎么部署这里就不说了,直接说问题

Eureka 客户端注册时需要配置服务端地址,类似如下配置

eureka:
  instance:
    hostname: hello-service
    prefer-ip-address: true
    instance-id: ${
   
   eureka.instance.hostname}:${
   
   server.port}
  client:
    register-with-eureka: true 
    fetch-registry: true
    service-url: 
    	defaultZone: "http://localhost:8761/eureka/"

这种配置后客户端就会注册到Eureka注册中心,在Eureka界面就能看到:

但是这样把界面暴露到外面,会把注册信息泄漏,一般公司也不允许暴露没有安全认证的后台界面

所以尝试把Eureka界面加密

引入security

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Eureka服务端增加basic鉴权:

spring:
  application:
    name: eureka-server 
  security: 
    basic:
      enabled: true
    user:
      name: admin
      password: 123456

配置完成后发现现在访问eureka界面需要用户名和密码登录了

但是登录进去后发现刚才的hello服务并没有注册进来

呕吼,应该是客户端没配置鉴权信息的原因,在官网找到了客户端鉴权配置方式

https://cloud.spring.io/spring-cloud-netflix/multi/multi__service_discovery_eureka_clients.html

最低0.47元/天 解锁文章
如何在 Linux 中以非 root 用户身份运行 Docker?
网络技术联盟站
09-25 183
你们有没有过这样的经历?在Linux服务器上敲着敲着命令,就想试试Docker,结果一运行docker run,系统冷冰冰地甩来一句“permission denied”。你叹口气,切换到root,sudo全家桶,容器起来了,但心里总有个疙瘩——万一哪天脚本跑偏了,root权限岂不是把整个系统都搭进去?作为一名老鸟级别的运维爱好者,我深知这痛点。今天,我就来聊聊怎么在Linux里,让普通用户也能自如玩转Docker,不用每次都求爷爷告奶奶借root的权限。为什么非root运行Docker这么重要?
Docker基础教程(二十八)基本操作之依附容器的docker attach命令:别再用docker exec了!docker attach才是真正的“容器附体”大师,但千万别乱用!
jxf_jxfcsdn的博客
09-14 690
Docker attach命令就像给你的容器开了一个“任意门”,能让你直接依附到运行中容器的主进程上,实现输入输出的无缝对接。它看似简单,却暗藏玄机:是实时监控日志的神器,也是交互式调试的利器,但一个不小心就可能让容器“当场去世”。本文将带你深度剖析attach的“附体”机制,通过创建后台计数器、Nginx服务、交互式终端等完整示例,手把手教你玩转这个强大又危险的命令,并揭示它与docker exec的本质区别,让你从此告别误操作,成为真正的容器操控大师。
spring cloud 躺记录
小小的人啊
06-22 814
spring cloud 躺记录 最近研究spring cloud ,根据网上的资料搭建了一个项目框架,其中遇到了两个问题,纠结了两天正当一筹莫展之际,一不小心就解决了,顺手记下: 先看下项目结构: 项目包含了7个模块 smile-base:项目基础公共服务 smile-cms:服务调用者。 smile-cms-api:供smile-cms和smile-cms-provider实...
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 1万+
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
Eureka
最新发布
2301_80251684的博客
09-19 1074
Eureka 是 Netflix 开源的服务发现组件,基于 REST 实现,主要用于 AWS 云环境中的中间层服务发现与故障转移。其核心原理围绕服务注册、心跳续约、服务剔除和客户端缓存等机制展开。
spring eureka漏洞_Spring boot相关漏洞利用(1)
weixin_39690958的博客
12-09 1万+
Spring boot 是 Spring 的一套快速配置脚手架,可以基于spring boot 快速开发单个微服务,Spring Boot,看名字就知道是Spring的引导,就是用于启动Spring的,使得Spring的学习和使用变得快速无痛。不仅适合替换原有的工程结构,更适合微服务开发。Spring Cloud基于Spring Boot,为微服务体系开发中的架构问题,提供了一整套的解决...
#渗透测试#漏洞挖掘#红蓝攻防#漏洞挖掘#未授权漏洞-Spring Eureka 未授权访问漏洞
soc的博客
12-25 2788
Spring Eureka是Spring Cloud框架中的一个核心组件,主要用于实现微服务之间的服务发现和服务治理功能。
Spring Eureka 未授权访问漏洞
wxhzjw的博客
07-17 727
Eureka 是 Netflix 开源的服务注册发现组件。 当EureKa没有配置认证授权时,未经授权的攻击者可以访问EureKa,并获取敏感信息。
Java配置47-Spring Eureka 未授权访问漏洞修复
热门推荐
JustDI0209的博客
11-03 1万+
在 Spring Security 5.7.0-M2 中,WebSecurityConfigurerAdapter 被弃用了,Spring 鼓励用户转向基于组件的安全配置。这是因为从 Spring Boot 2.0 开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,导致服务注册失败。实在没招了,只能怀疑用的框架版本太低,去重新整一个,eureka 就用了个服务发现,问题不大。刷新 eureka 页面,也没有服务信息,服务注册失败了。我试了几个方法,没有替换掉,靠你了,耿小姐。
搭建Eureka高可用集群遇到的问题
u011651342的博客
08-08 891
eureka server的配置文件如下: application-peer1.yml application-peer2.yml idea 启动多实例, peer1启动后如下图: peer2启动后如下图: 两个eureka server实例启动一切正常,然后访问注册中心地址http://peer1:9527/和http://peer2:9528/后,发现了端倪。 Eureka server的高可用实际上就是将自己作为服务向其他服务注册中心注册自己,这样就可以形成.....
小白实战 | spring Eureka Xstream Deserialization RCE 漏洞复现
伏一
05-21 2019
将Spring Eureka的版本升级到安全的版本,例如,如果你使用的是Spring Cloud版本,可以升级到最新的修复版本(例如,如果是Hoxton.SR10,那么应该升级到Hoxton.SR11或更高)。5.使用 python 在自己控制的服务器上运行以上的脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号,在修改完成就 启动脚本即可。4.利用目标<command></command>标签中攻击载荷达成反弹shell。2.python 脚本。1.访问网站服务器是否出网。
EurekaLog(程序漏洞分析检测工具)forwindowsV7.6.6.3.0安装版
08-01
EurekaLog是一个针对Delphi和C Builder的程序漏洞分析检测工具,能够帮助开发人员抓取异常和泄漏、并支持简单的项目完成修复工作,可兼容EXE压缩包,帮助用户快速检测到自己应用的漏洞。需要的朋友可以前来本站下载。 软件介绍 EurekaLog是针对Delphi和C Builder一个新的追踪异常的工具,使您的应用程序(如GUI、控制台、网络等)可捕捉所有异常,内存泄漏和检测
Spring Cloud Eureka服务治理的实现
08-27
服务治理是微服务框架中最为核心和基础的模块,它主要是用来实现各个微服务实例的自动化注册与发现。这篇文章主要介绍了Spring Cloud Eureka服务治理的实现,感兴趣的小伙伴们可以参考一下
【SpringCloud】集群下 Eureka 的启动 bug,大
Java攻城狮修炼中
05-01 1292
如题,笔者创建了两个 Eureka Server 做集群,并引入了 Spring Security 在启动这两个 Server 就出现错误,会有各种 bug,比如 There was a problem with the instance info replicator com.netflix.discovery.shared.transport.TransportException: Cannot execute request on any known server DiscoveryClient_E
springboot集成eurekaeureka获取服务列表、EurekaURI路径存在未授权访问
enthan809882的博客
02-16 4134
springboot集成eurekaeureka获取服务列表、EurekaURI路径存在未授权访问
记录第一次eureka使用的
zhouhangzhouxing的博客
04-21 474
1、版本不对应
Eureka
x_c_yang的博客
10-15 285
上班了很久,也快半年多没学习新技术了(面不改色),终于公司也要用到新技术了,虽然我也没这么快参与(也可能并不会),但是危机感也出现了,要开始下一阶段的学习了。 现在要学一些微服务的东西了,然后这几天是Eureka的学习。在看了一些概念之后就开始了服务端和客户端的demo。但在客户端这里就是死活注册不到。报错如下: com.netflix.discovery.DiscoveryClient ...
spring cloud - eureka高可用及其缺陷
我的博客
11-19 1491
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。 Eureka实现高可用有两种方式: 一种是通过server之间的同步 一种是通过自我保护机制 server之间同步就不用多说了,只是相同的数据同步到多个server中,以保证其中一个挂掉以后其他的可以正常工作。 自我保护机制: 一种是为了避免网络分区带来的因为server误判client的不可用而导致的client之间的无法相互调用。但是万一不是误判,而是真的不可调用呢?会不会因此给客户端带来错觉,依然调用不可用的.
eureka注册服务踩的
weixin_73521574的博客
11-22 1015
eureka
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值