當心，別被eureka坑了

Eureka是 Netflix開發的服務發現框架，自己是一個基於 REST的服務，主要用於定位運行在 AWS域中的中間層服務，以達到負載均衡和中間層服務故障轉移的目的。SpringCloud將它集成在其子項目spring-cloud-netflix中，以實現SpringCloud的服務發現功能。

Eureka包含兩個組件：Eureka Server和Eureka Client。具體怎麼部署這裏就不說了，直接說問題

Eureka 客戶端註冊時須要配置服務端地址，相似以下配置

eureka:
  instance:
    hostname: hello-service
    prefer-ip-address: true
    instance-id: ${eureka.instance.hostname}:${server.port}
  client:
    register-with-eureka: true 
    fetch-registry: true
    service-url: 
        defaultZone: "http://localhost:8761/eureka/"

這種配置後客戶端就會註冊到Eureka註冊中心，在Eureka界面就能看到:

可是這樣把界面暴露到外面，會把註冊信息泄漏，通常公司也不容許暴露沒有安全認證的後臺界面

因此嘗試把Eureka界面加密

引入security

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Eureka服務端增長basic鑑權：

spring:
  application:
    name: eureka-server 
  security: 
    basic:
      enabled: true
    user:
      name: admin
      password: 123456

配置完成後發現如今訪問eureka界面須要用戶名和密碼登陸了

可是登陸進去後發現剛纔的hello服務並無註冊進來

嘔吼，應該是客戶端沒配置鑑權信息的緣由，在官網找到了客戶端鑑權配置方式

https://cloud.spring.io/sprin...

因而在hello服務修改配置以下：

eureka:
  instance:
    hostname: hello-service
    prefer-ip-address: true
    instance-id: ${eureka.instance.hostname}:${server.port}
  client:
    register-with-eureka: true
    fetch-registry: true
    service-url:
      defaultZone: http://admin:123456@localhost:8761/eureka/

重啓hello服務後，發現仍是沒有註冊成功，原來增長basic驗證後，不支持跨域訪問了，個人天，你這個大坑，服務註冊確定是跨域的了，

因而，迅速增長配置，去掉跨域攔截

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
     // http.csrf().disable();//一種方式直接關閉csrf，另外一種配置url後放行
        http.csrf().ignoringAntMatchers("/eureka/**");
        super.configure(http);
    }
}

終於在界面看到可可愛愛的hello服務了，可是呢，還有一個問題，如今不容許這種明文密碼出如今配置或代碼中，怎麼辦呢？

首先想到的就是密碼加密, 因此從spring-securiry中找到PasswordEncoderFactories加密

PasswordEncoderFactories.createDelegatingPasswordEncoder().encode("123456")

而後把加密後的結果放到Eureka服務端配置文件中：

security: 
  basic:
    enabled: true 
  user:
    name: admin
    password: '{bcrypt}$2a$10$mhH7ogkRB91YDUO3F883JugDMHz2o6miT95.8ukqEc6Ed4Z2xyHmm' //必須有引號

那Eureka客戶端怎麼辦？ 一樣道理的嘛

client:
  register-with-eureka: true
  fetch-registry: true
  service-url:
    defaultZone: http://admin:{bcrypt}$2a$10$mhH7ogkRB91YDUO3F883JugDMHz2o6miT95.8ukqEc6Ed4Z2xyHmm@localhost:8761/eureka/

可是呢，啓動直接報錯，害，eureka註冊時並不會解密

解析Eureka服務端地址失敗，即便是加上引號也是報相同錯誤

Eureka客戶端註冊過來的消息，服務端並不會給解密，那怎麼辦呢？

從上圖能夠看到若是要實現更復雜的需求，須要經過注入clientFilter方式，so，搞起來

@Configuration
@Priority(Integer.MIN_VALUE)
public class UserCilentFilter extends ClientFilter {
    @Override
    public ClientResponse handle(ClientRequest clientRequest) throws ClientHandlerException {
        try {
            String originUrl = clientRequest.getURI().toString();
            if(originUrl.contains("@")){
                return this.getNext().handle(clientRequest);
            }
            String userNameAndPwd = "http://admin"+ jiemi("'{bcrypt}$2a$10$mhH7ogkRB91YDUO3F883JugDMHz2o6miT95.8ukqEc6Ed4Z2xyHmm'");
            String addUserInfoUrl = originUrl.replaceFirst("http://", userNameAndPwd);
            clientRequest.setURI(new URI(addUserInfoUrl));
        } catch (URISyntaxException e) {
            // FIXME: 2021/4/2
        }
        return this.getNext().handle(clientRequest);
    }

    private String jiemi(String pwd) {
        // FIXME: 解密
        return pwd;
    }


    @Bean
    public DiscoveryClient.DiscoveryClientOptionalArgs discoveryClientOptionalArgs() {
        DiscoveryClient.DiscoveryClientOptionalArgs discoveryClientOptionalArgs = new DiscoveryClient.DiscoveryClientOptionalArgs();
        discoveryClientOptionalArgs.setAdditionalFilters(Collections.singletonList(new UserCilentFilter()));
        return discoveryClientOptionalArgs;
    }
}

這樣寫的思路是讓其餘客戶端註冊時去掉用戶名和密碼，而後在自定義過濾器中對沒有用戶名和密碼時補充上basic驗證的用戶名和密碼

而後開始測試，這樣仍是不行，其餘服務註冊過來時，會被其餘安全過濾器攔截都走不到自定義的攔截器就返回鑑權失敗了，即便@Priority(Integer.MIN_VALUE)最高優先級

那是否是能夠在更前面的地方進行攔截呢？增長ServletRequest攔截器可行否？

@Configuration
public class ServerRequestAuthFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain filterChain) throws IOException, ServletException {
        //業務實現，根據請求的IP或者參數判斷是否能夠執行註冊或者訪問
//        String addUserInfoUrl = originUrl.replaceFirst("http://", "http://admin:123456@");
        filterChain.doFilter(request, response);
    }
}

可是假設這樣修改後，登陸的web界面也會走到這個攔截器，一樣會增長鑑權

也就是說這樣直接增長鑑權，沒法區分是其餘客戶端註冊仍是從界面訪問

也沒有什麼太好的辦法了，就直接在security的攔截器中把eureka註冊相關的放掉，不進行鑑權操做

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/eureka/**").permitAll();
    super.configure(http);
}

這樣設置後除了直接訪問的界面須要鑑權外，其餘eureka相關注冊、查詢等不須要鑑權

都這樣分層鑑權操做了，再找下是否是有其餘方式達到相同的目的，因而找到

eureka:
  dashboard:
    enabled: false

經過在啓動腳本設置後，效果是相似的，在eureka主界面沒法訪問

上面全部的操做都是爲了信息安全考慮，還有一個常常忘記須要考慮的組件是Spring Boot Actuator，針對 Spring Boot Actuator 提供的 endpoint，採起如下幾種措施，能夠儘量下降被安全攻擊的風險

1. 最小粒度暴露 endpoint。只開啓並暴露真正用到的 endpoint，而不是配置：management.endpoints.web.exposure.include=*。
2. 爲 endpoint 配置獨立的訪問端口，從而和 web 服務的端口分離開，避免暴露 web 服務時，誤將 actuator 的 endpoint 也暴露出去。例：management.port=8099。
3. 引入 spring-boot-starter-security 依賴，爲 actuator 的 endpoint 配置訪問控制。
4. 慎重評估是否須要引入 spring-boot-stater-actuator。以我我的的經驗，我至今尚未遇到什麼需求是必定須要引入spring-boot-stater-actuator 才能解決，若是你並不瞭解上文所述的安全風險，我建議你先去除掉該依賴。

信息安全已經成爲各大公司不得不考慮的問題，因此精準的權限控制也是必不可少的，但願本文對你們在使用SpringCloud相關組件安全控制上有啓發做用。

若是以爲俺寫的還能夠，記得點贊，一鍵三連也不介意。

☞☞每週一篇，勝過神仙，看完點贊，養成習慣☜☜