Spring Boot Starter Actuator 安全性配置 (Security Configuration for Spring Boot Starter Actuator)

Spring Boot Starter Actuator 是 Spring Boot 提供的一个功能强大的库，用于监控和管理 Spring Boot 应用程序。它提供了许多有用的端点（endpoints），可以获取应用程序的一些关键信息，比如健康状况、内存使用情况、请求映射等。 然而，由于 Actuator 端点可以提供敏感信息，比如配置信息、环境变量等，所以在生产环境中，我们需要对 Actuator 进行安全性配置，以确保只有授权用户可以访问这些端点。 首先，我们需要在 pom.xml 中添加 Actuator 的依赖： <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> 接下来，我们需要配置 Spring Security 来保护 Actuator 端点。我们可以创建一个配置类，继承自 `WebSecurityConfigurerAdapter` 类，并重写 `configure()` 方法： @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/actuator/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .httpBasic(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}password").roles("ADMIN"); } } 在上面的配置中，我们定义了一个 HTTP Security，指定了 `/actuator/**` 路径需要具有 "ADMIN" 角色才能访问。任何其他的请求都需要身份验证。另外，我们还设置了基本认证（Basic Authentication），以便在访问 Actuator 端点时需要用户名和密码。 在 `configure(AuthenticationManagerBuilder auth)` 方法中，我们指定了一个内存中的用户，并设置其用户名为 "admin"，密码为 "password"，拥有 "ADMIN" 角色。 最后，我们需要为 Actuator 端点添加 Spring Security 的 CSRF（Cross-site request forgery）保护。我们可以在上述配置类中添加一个 `@EnableWebSecurity` 注解，并重写 `configure(WebSecurity web)` 方法，来配置 CSRF 的保护： @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override public void configure(WebSecurity web) throws Exception { web .ignoring() .antMatchers("/actuator/**"); } } 在上面的配置中，我们忽略了对 `/actuator/**` 路径的 CSRF 保护，以允许 Actuator 端点可以正常工作。 至此，我们已经完成了 Spring Boot Starter Actuator 的安全性配置。现在，只有拥有 "ADMIN" 角色的用户才能访问 Actuator 端点，并且需要提供正确的用户名和密码。同时，我们还为 Actuator 添加了 CSRF 保护，确保数据的安全性。 希望这篇文章可以帮助你了解如何为 Spring Boot Starter Actuator 进行安全性配置。如果有需要，你可以根据以上的代码和配置进行实际的开发和部署。