小编点评

**步骤 1：修改默认密钥** 1. 更改 `nacos/conf/application.properties` 中的 `nacos.core.auth.default.token.secret.key` 属性值，例如从 `your-secret-key` 改为 `your-modified-key`. 2. 打开 `nacos` 的授权认证配置页面（通常为 `nacos/config.yml` 或 `nacos/bootstrap.properties`），并设置 `nacos.core.auth.default.token.secret.key` 属性值。 **步骤 2：打开授权认证默认密钥的修改版本** 1. 在 `nacos/conf/application.properties` 中设置 `nacos.core.auth.default.token.secret.key` 属性值。 2. 在 `nacos` 的授权认证配置页面中设置 `nacos.core.auth.enabled` 属性值为 `true`。 **注意：** * 修改密钥之前备份它。 * 确保修改后的密钥长度至少为 32 位。 * 在启动 `nacos` 服务之前，请确保修改配置文件的更改生效。 * 可以使用以下命令验证密钥修改是否成功： ``` nacos version ``` * 请更改密码为安全且不可泄露的字符串，例如 `!@#$%^&*_`。

正文

Springboot 使用nacos鉴权的简单步骤

---

背景

前端时间nacos爆出了漏洞. 因为他的默认token固定,容易被利用.
具体的问题为: QVD-2023-6271
漏洞描述：开源服务管理平台 Nacos 中存在身份认证绕过漏洞，
在默认配 置下未token.secret.key 进行修改，
导致远程攻击者可以绕 过密钥认证进入后台，造成系统受控等后果。

漏洞影响版本：0.1.0 <= Nacos <= 2.2.0

---

解决方法

其实应该是两步:
第一步修改默认密钥
第二步打开授权认证

默认密钥的修改版本
echo "zhaobenshuaitestnewkeyinfolongenough" |base64 
根据得出的结果修改配置文件
/nacos/conf/application.properties
内的:
nacos.core.auth.default.token.secret.key=
修改为 base64的数值, 注意要求是不能低于32位长度. 

然后打开授权认证,主要是两处
nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true

需要很多文档都说可以直接生效,不需要重启. 我感觉还是重启一下比较好

---

springboot设置

注意 为了安全一定要修改 nacos的默认密码.

然后在服务器内部修改配置文件:
nacos:
  discovery:
    server-addr: 127.0.0.1:8848
  username: nacos
  password: YourPassword

需要注意一定, 我这边使用 ?! 结尾的密码总是有问题.
无法正常注册进来
没办法我去掉了 ?! 就可以了.
因为已经快12点了, 想早点睡 ,改天在验证特殊字符密码的情况.