nacos开启鉴权

已于 2024-08-28 21:49:38 修改
阅读量2.7k 收藏 19
点赞数 16
分类专栏: nacos 文章标签: nacos
于 2024-08-26 20:52:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41987908/article/details/141572787
版权

一:开启鉴权原因

部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。

之前也爆过Nacos权限认证绕过漏洞(CVE-2021-29441):该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息,还可以进行任意操作,包括创建新用户并进行登录后操作。

Nacos官方关于安全方面的一些声明:

  • Nacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。
  • Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。
  • 如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。

接下来我们使用Nacos提供的鉴权实现,对服务端进行一定的安全保护,除此之外实际应用时,Nacos应当部署在内网,实在需要暴露在公网时,应当使用插件实现强鉴权体系。

最低0.47元/天 解锁文章
k8s部署单机nacos2.3.2版本开启功能
weixin_55390019的博客
05-09 1206
1、创建数据库和用户导入对应版本的nacos的sql文件。2、k8s的yml文件,开启nacos
nacos开启配置与mysql配置
03-23
application.properties 文件在 Spring Boot 项目中用于配置应用程序的各种属性,包括与 Nacos 相关的配置。Nacos 是一个开源的服务发现、配置管理和服务管理平台,通过在 application.properties 中配置 Nacos 的相关属性,可以实现将应用程序注册到 Nacos 服务器、从 Nacos 服务器获取配置信息等功能。 以下是 application.properties 文件中配置 Nacos 的一些常见属性和作用: nacos.discovery.server-addr:指定 Nacos 服务器的地址,用于服务注册和发现。 spring.cloud.nacos.discovery.server-addr:与上述属性类似,也用于指定 Nacos 服务器的地址,但在 Spring Cloud 应用中使用。 spring.cloud.nacos.config.server-addr:指定 Nacos 服务器的地址,用于从 Nacos 获取配置信息。
Nacos开启配置(Spring Cloud+Nacos
ToLFrom_的博客
07-25 4921
本文记录了Java项目中Nacos更换流程以及目前遇到的问题。
Nacos 2.x 系列【5】开启
记录知识、锤炼自我
05-23 3047
在之前的案例中部署好Nacos服务端后,默认没有开启,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。
Windows下安装和使用Nacos开启设置
qq_34480293的博客
04-09 1765
Windows下安装和使用NacosNacos单机部署和设置
Nacos如何配置开启
最新发布
tersky的专栏
05-19 1045
Nacos作为内部微服务组件,应在可信的内部网络中运行,避免暴露于公网以防范安全风险。其提供的简单机制主要用于业务层面的限控制,而非防御恶意攻击。若需在不可信网络或要求强环境下使用,建议参考官方文档进行自定义插件开发。开启后,客户端、SDK及openAPI均需配置身份信息方可访问Nacos。配置文件中需设置相关参数,如开关、密钥、身份识别信息等,并确保集群各节点配置一致。此外,Nacos支持控制台登录功能,管理员用户名为nacos,密码需在首次开启控制台时初始化。通过控制台、外部数据库或运
nacos-server开启及 客户端连接
xk3286的博客
05-07 6910
注意上面的namespace 是这里。
Nacos详解
深圳市多克创新科技有限公司
10-30 9529
Nacos
nacos开启功能
qq_71416673的博客
04-22 2203
在之前的案例中部署好Nacos服务端后,默认没有开启,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。之前也爆过Nacos限认证绕过漏洞(NacosNacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。Nacos提供简单的实现,为防止业务错用的弱体系,不是防止恶意攻击的强体系。如果运行在不可信的网络环境或者有强诉求,请参考官方简单实现进行自定义插件开发。接下来我们使用Nacos
nacos开启配置
weixin_48838739的博客
06-07 3131
nacos开启配置
nacos开启与配置加密
u011203602的专栏
11-18 4853
Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。使用 Nacos 简化服务发现、配置管理、服务治理及管理的解决方案,让微服务的发现、管理、共享、组合更加容易。随着nacos被广泛使用,也逐渐暴露一些的漏洞,官方给出了一些建议,具体需要用户自行维护。本篇简单介绍实际运用过程遇到的问题,以及处理过程,以备后续参考低版本的nacos很有必要升级,或者开启,以保证数据安全,特别是1.x版本升级到2.0至关重要。
Nacos如何开启
派大星的博客
07-08 720
Nacos如何开启
Nacos2.2.2开启配置
热门推荐
咖啡程序员
04-21 3万+
最近公司开启了一个新的电商项目,项目中用到了Naocs作为注册中心和配置中心,在将Nacos服务器启动后,发现是直接可以访问Nacos的后台不用登录,看了一下官方的介绍,开启登录的的话需要开启,那么将我实测后的配置记录一下!
Docker 中安装Nacos 2.2.2 并开启
weixin_55331484的博客
06-01 3504
可以查看到 Nacos 运行的配置文件,包括 application.properties。5.打开application.properties配置文件。命令查看正在运行的 Nacos 容器的 ID 或名称。命令进入 Nacos 安装目录下的 conf 目录。命令进入容器的命令行界面。3.进入容器后,可以使用。4.在 conf 目录下。6.将下列配置信息输入文末。
nacos开启简单通俗易懂
小白找大神啊的博客
12-26 1941
启动nacos服务登录系统,当Nacos集群开启后访问Nacos控制台时,会校验是否已经初始化过管理员用户nacos的密码,若发现未初始化密码时,则会跳转至初始化密码的页面进行初始化。这几个配置文件中的对应值,本文中的secret.key=bmFjb3NfMjAyNDAxMTBfc2hpZ3poX25hY29zX3Rva2Vu。初始化成功后会弹窗提示初始化成功,并展示指定的密码或随机生成的密码,请保存好此密码。到此,nacos配置完成,温馨提示记得保存好你的密码。
Nacos2.2.0-开启配置、限认证
小蜗牛的博客
03-15 1万+
Nacos2.2.0-开启配置、限认证
nacos登陆
tlqwanttolearnit的博客
06-01 5811
开启之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值