正文
Springboot 使用nacos鉴权的简单步骤
背景
前端时间nacos爆出了漏洞. 因为他的默认token固定,容易被利用.
具体的问题为: QVD-2023-6271
漏洞描述:开源服务管理平台 Nacos 中存在身份认证绕过漏洞,
在默认配 置下未token.secret.key 进行修改,
导致远程攻击者可以绕 过密钥认证进入后台,造成系统受控等后果。
漏洞影响版本:0.1.0 <= Nacos <= 2.2.0
解决方法
其实应该是两步:
第一步修改默认密钥
第二步打开授权认证
默认密钥的修改版本
echo "zhaobenshuaitestnewkeyinfolongenough" |base64
根据得出的结果修改配置文件
/nacos/conf/application.properties
内的:
nacos.core.auth.default.token.secret.key=
修改为 base64的数值, 注意要求是不能低于32位长度.
然后打开授权认证,主要是两处
nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true
需要很多文档都说可以直接生效,不需要重启. 我感觉还是重启一下比较好
springboot设置
注意 为了安全一定要修改 nacos的默认密码.
然后在服务器内部修改配置文件:
nacos:
discovery:
server-addr: 127.0.0.1:8848
username: nacos
password: YourPassword
需要注意一定, 我这边使用 ?! 结尾的密码总是有问题.
无法正常注册进来
没办法我去掉了 ?! 就可以了.
因为已经快12点了, 想早点睡 ,改天在验证特殊字符密码的情况.