生产环境的客户端actuator最好是加上security校验,不然配置信息不登录就能直接获取到

server端配置,参考官方 文档,https://codecentric.github.io/spring-boot-admin/1.5.7/#getting-started

代码参见,码云,https://gitee.com/xiongjinpeng/spring-boot-admin

pom.xml

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <groupId>com.xx</groupId>

    <artifactId>spring-boot-admin</artifactId>

    <version>0.0.1</version>

    <packaging>jar</packaging>

    <name>spring-boot-admin</name>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>1.5.10.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <properties>

        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>

        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>

        <java.version>1.8</java.version>

        <spring-boot-admin.version>1.5.7</spring-boot-admin.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>de.codecentric</groupId>

            <artifactId>spring-boot-admin-starter-server</artifactId>

            <version>1.5.7</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

        <dependency>

            <groupId>de.codecentric</groupId>

            <artifactId>spring-boot-admin-server-ui-login</artifactId>

            <version>${spring-boot-admin.version}</version>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

                <configuration>

                    <executable>true</executable>

                    <finalName>${project.name}</finalName>

                </configuration>

            </plugin>

        </plugins>

    </build>

</project>

SecurityConfig.java,官方的配置

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**

 * 基于安全认证的spring boot admin

 *

 * @author niugang

 *

 */

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // Page with login form is served as /login.html and does a POST on /login

        http.formLogin().loginPage("/login.html").loginProcessingUrl("/login").permitAll();

        // The UI does a POST on /logout on logout

        http.logout().logoutUrl("/logout");

        // The ui currently doesn't support csrf

        http.csrf().disable();

        // Requests for the login page and the static assets are allowed

        //允许登录页面和静态资源的请求

        http.authorizeRequests()

                .antMatchers("/login.html", "/**/*.css", "/img/**", "/third-party/**")

                .permitAll();

        // ... and any other request needs to be authorized

        //这点重要:所有请求都需要认证

        http.authorizeRequests().antMatchers("/**").authenticated();

        // Enable so that the clients can authenticate via HTTP basic for registering

        http.httpBasic();

    }

}

application.properties

server.port=8011

#关闭原始的spring security 认证,不关闭的话,浏览器打开就会跳出弹出框

security.basic.enabled=false

#spring boot actuator某些端点的访问时需要权限的

management.security.enabled=false

#spring boot default user.name='user'

security.user.name=admin

#spring boot dafault user.password 在项目启动时打印在控制台中

security.user.password=123456

client端,客户端代码

maven添加

<dependency>

            <groupId>de.codecentric</groupId>

            <artifactId>spring-boot-admin-starter-client</artifactId>

            <version>1.5.7</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>
<parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

        <version>1.5.10.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

SecuritySecureConfig.java

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration

public class SecuritySecureConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable().authorizeRequests()

                //拦截所有endpoint,拥有ACTUATOR_ADMIN角色可访问,否则需登录

//静态文件允许访问

                .antMatchers("/css/**", "/images/**","/js/**","/webjars/**","/**/favicon.ico").permitAll()

                //根路径允许访问

                .antMatchers("/").permitAll()

                //所有请求路径可以访问

                .antMatchers("/**").permitAll()

                .and().httpBasic();

    }

}

application.properties

spring.application.name=client

#要注册的Spring Boot Admin Server的URL

spring.boot.admin.url=http://localhost:8011

#从Spring Boot 1.5.x开始,默认情况下所有端点都是安全的。 为简洁起见,我们暂时禁用了安全性。 查看有关如何处理安全端点的安全性部分。

#management.security.enabled=false
#注册到server端用

spring.boot.admin.client.metadata.user.name=admin

spring.boot.admin.client.metadata.user.password=123456

#如果保护/api/applications端点,请不要忘记使用spring.boot.admin.username和spring.boot.admin.password在SBA客户端上配置用户名和密码【否则你的client端信息注册不到server端上】
#注册到server端用

spring.boot.admin.username=admin

spring.boot.admin.password=123456


#配置很重要,server端主动获取信息会用到

security.user.name=admin

security.user.password=123456

最新测试,还可以精简一下去掉代码

.antMatchers(

                        "/info",

                        "/info.json",

                        "/health",

                        "/health.json",

                        "/metrics",

                        "/metrics.json",

                        "/dump",

                        "/dump.json",

                        "/metrics/*",

                        "/beans",

                        "/beans.json",

                        "/configprops",

                        "/configprops.json",

                        "/auditevents",

                        "/auditevents.json",

                        "/heapdump",

                        "/heapdump.json",

                        "/trace",

                        "/trace.json",

                        "/env/*",

                        "/env",

                        "/env.json",

                        "/loggers/*",

                        "/loggers",

                        "/loggers.json",

                        "/mappings",

                        "/mappings.json",

                        "/jolokia/**"

                        ).hasRole("ACTUATOR_ADMIN")

management.security.roles=ACTUATOR_ADMIN

去掉这2个,也可以达到效果。

spring boot 1.5.10.RELEASE ,spring boot admin 1.5.7 添加 security的更多相关文章

  1. Spring框架学习(10)Spring中如何使用事务?

    内容源自:Spring中如何使用事务? 一.为什么要使用事务? 如果我们一个业务逻辑只执行一次sql,是不需要使用事务的.但如果要执行多条sql语句才能完成一个业务逻辑的话,这个时候就要使用事务了. ...

  2. Spring学习总结(10)——Spring JMS---三种消息监听器

    消息监听器MessageListener 在spring整合JMS的应用中我们在定义消息监听器的时候一共可以定义三种类型的消息监听器,分别是MessageListener.SessionAwareMe ...

  3. Spring 源码(10)Spring Bean 的创建过程(1)

    Spring Bean的创建刚开始进行了一些准备工作,比如转换服务的初始化,占位符解析器的初始化,BeanDefinition元数据的冻结等操作,都是为了在创建Bean的过程中保证Bean的正确的创建 ...

  4. Spring Boot 1.5.10 发布:修复重要安全漏洞!!!

    2018/01/31,Spring Boot团队发布了Spring Boot 1.5.10. Maven: <parent> <groupId>org.springframew ...

  5. 001-Spring Cloud Edgware.SR3 升级最新 Finchley.SR1,spring boot 1.5.9.RELEASE 升级2.0.4.RELEASE注意问题点

    一.前提 升级前 => 升级后 Spring Boot 1.5.x => Spring Boot 2.0.4.RELEASE Spring Cloud Edgware SR3 => ...

  6. Spring学习总结(一)——Spring实现IoC的多种方式

    控制反转IoC(Inversion of Control),是一种设计思想,DI(依赖注入)是实现IoC的一种方法,也有人认为DI只是IoC的另一种说法.没有IoC的程序中我们使用面向对象编程对象的创 ...

  7. Spring学习总结(三)——Spring实现AOP的多种方式

    AOP(Aspect Oriented Programming)面向切面编程,通过预编译方式和运行期动态代理实现程序功能的横向多模块统一控制的一种技术.AOP是OOP的补充,是Spring框架中的一个 ...

  8. Spring学习总结(六)——Spring整合MyBatis完整示例

    为了梳理前面学习的内容<Spring整合MyBatis(Maven+MySQL)一>与<Spring整合MyBatis(Maven+MySQL)二>,做一个完整的示例完成一个简 ...

  9. Spring学习总结(五)——Spring整合MyBatis(Maven+MySQL)一

    MyBatis-Spring 会帮助你将 MyBatis 代码无缝地整合到 Spring 中. 使用这个类库中的类, Spring 将会加载必要的MyBatis工厂类和 session 类. 这个类库 ...

随机推荐

  1. 将Medium中的博客导出成markdown

    Medium(https://medium.com)(需要翻墙访问)是国外非常知名的一个博客平台.上面经常有很多知名的技术大牛在上面发布博客,现在一般国内的搬运的技术文章大多数都是来自于这个平台. M ...

  2. makemap - 为sendmail创建数据库映像表

    SYNOPSIS(总览) [-N ] [-d ] [-f ] [-o ] [-r ] [-s ] [-v ] maptype mapname DESCRIPTION(描述) 创建 sendmail(8 ...

  3. nginx之热部署,以及版本回滚

    热部署的概念:当从老版本替换为新版本的nginx的时候,如果不热部署的话,会需要取消nginx服务并重启服务才能替换成功,这样的话会使正在访问的用户在断开连接,所以为了不影响用户的体验,且需要版本升级 ...

  4. 判断是否是iframe框架打开登录页, iframe框架着顶部页面刷新

    if (window != top) top.location.href = location.href;

  5. Python核心技术与实战——五|条件与循环

    我们在前面学习了列表.元组.字典.集合和字符串等一系列Python的基本数据结构类型,下就需要把这一个个基本的数据串在一起了,这就要用到我们今天要讲的东西——”条件与循环“. 一.条件语句 条件语句的 ...

  6. 【leetcode】522. Longest Uncommon Subsequence II

    题目如下: 解题思路:因为given list长度最多是50,我的解法就比较随意了,直接用一个嵌套的循环,判断数组中每个元素是否是其他的subsequence,最后找出不属于任何元素subsequen ...

  7. python-登录保持

     cookies.Session import requests url1="http://127.0.0.1:5000/login" url2="http://127. ...

  8. 在mac上安装rabbitmq

    在 OS X 上安装 RabbitMQ¶ 在 Snow Leopard 上安装 RabbitMQ 最简单的方式就是 Homebrew ——OS X 上的一款新颖别致,光彩动人的包管理系统. 在本例中, ...

  9. JSP文件的上传和下载

    文件上传下载,与传统的方式不同,这里能够上传和下载10G以上的文件.而且支持断点续传. 通常情况下,我们在网站上面下载的时候都是单个文件下载,但是在实际的业务场景中,我们经常会遇到客户需要批量下载的场 ...

  10. Comet OJ - Contest #6 D. 另一道树题 并查集 + 思维 + 计数

    Code: #include <cstdio> #include <algorithm> #include <cstring> #include <vecto ...