当前位置：移动技术网 > IT编程>开发语言>Java > springboot actuator 配置安全

springboot actuator 配置安全

2020年04月13日 | 移动技术网IT编程 | 我要评论

springboot actuator监控是什么？类似php的phpinfor()函数，不过actuator更强大，可以查看的数据、状态更多。actuator是spring boot提供的对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，例如自动化配置信息、创建的spring beans信息、系统环境变量的配置信以及web请求的详细信息等。如果使用不当或者一些不经意的疏忽，可能造成信息泄露等严重的安全隐患。

使用

pom加入依赖

<!--actuator模块为springboot提供一系列用于监控的端点-->
<dependency>  
	<groupid>org.springframework.boot</groupid>  
	<artifactid>spring-boot-starter-actuator</artifactid>  
</dependency>

pom加入依赖（安全版）

<dependencies>
    <!-- 如果使用http调用的方式，还需要这个依赖 -->
    <dependency>
        <groupid>org.springframework.boot</groupid>
        <artifactid>spring-boot-starter-web</artifactid>
    </dependency>
    <!-- 必须的 -->
    <dependency>
        <groupid>org.springframework.boot</groupid>
        <artifactid>spring-boot-starter-actuator</artifactid>
    </dependency>
    <!-- 安全需要，为了保证actuator暴露的监控接口的安全性，需要添加安全控制的依赖spring-boot-start-security依赖，访问应用监控端点时，都需要输入验证信息。-->
    <dependency>
        <groupid>org.springframework.boot</groupid>
        <artifactid>spring-boot-starter-security</artifactid>
    </dependency>
</dependencies>

properties配置文件

在application.properties核心配置文件中除了定义数据源外，还需要添加 management.security.enabled=false 配置。
不加的话，访问监控路径会报401。

#########################################################
###   actuator monitor  --   actuator configuration   ###
#########################################################
management.security.enabled=false

在springboot的application.yml配置文件中加入

# ============================= actuator监控 ============================= #
management:
  server:
    port: 1234           # 管理的端口调整成1234
    address: 127.0.0.1   # 只允许127.0.0.1访问
    servlet:
      context-path: /monitor  # actuator的访问路径
  endpoint:
    shutdown:
      enabled: true    # 启用shutdown功能
    beans.cache.time-to-live: 10s
    env.enabled: true  # 启用端点 env
  endpoints:
    enabled-by-default: true # 设置端点是否可用 默认只有shutdown可用
    web:
      # 设置是否暴露端点 默认只有health和info可见
      exposure:
        # include: env   # 方式1: 暴露端点 env 配置多个,隔开
        include: "*"     # 方式2: 包括所有端点, 注意需要添加引号
        # 排除端点
        exclude: shutdown

注意：若在核心配置文件中未添加 management.security.enabled=false 配置，将会导致用户在访问部分监控地址时访问受限，报401未授权错误。

常见的监控项目

方法	路径	描述
get	/autoconfig	查看自动配置的使用情况
get	/conditions	提供了一份自动配置报告，记录哪些自动配置条件通过了，哪些没通过
get	/configprops	描述配置属性(包含默认值)如何注入bean
get	/beans	描述应用程序上下文里全部的bean，以及它们的关系
get	/dump	打印线程栈
get	/heapdump	获取堆的快照
get	/threaddump	获取线程活动的快照
get	/env	获取全部环境属性
get	/env/{name}	根据名称获取特定的环境属性值
get	/health	报告应用程序的健康指标，这些值由healthindicator的实现类提供
get	/info	获取应用程序的定制信息，这些信息由info打头的属性提供
get	/mappings	描述全部的uri路径，以及它们和控制器(包含actuator端点)的映射关系
get	/metrics	报告各种应用程序度量信息，比如内存用量和http请求计数
get	/metrics/{name}	报告指定名称的应用程序度量值
post	/shutdown	关闭应用程序，要求endpoints.shutdown.enabled设置为true
get	/trace	提供基本的http请求跟踪信息(时间戳、http头等)

加入了依赖之后，在外部是可以访问到如下路径的：

# 加入上述依赖后，默认可以访问的url
http://localhost:8080/actuator
http://localhost:8080/actuator/info
http://localhost:8080/actuator/health

有敏感数据的接口可以自己测试一下：

/autoconfig
/conditions
/configprops
/beans
/heapdump
/threaddump
/env
/info
/mappings
/metrics
/trace

参考

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

Spring切入点表达式配置过程图解

常用标签：1. <aop:config> 作用：声明aop配置2. <aop:pointcut> 作用：配置切入点表达式属性：id：唯... [阅读全文]
简述JAVA同步、异步、阻塞和非阻塞之间的区别

同步和异步，阻塞和非阻塞是大家经常会听到的概念，但是它们是从不同维度来描述一件事情，常常很容易混为一谈。1. 同步和异步同步和异步描述的是消息通信的机制。同步当... [阅读全文]
通过代码实例了解页面置换算法原理

页面置换算法：本质是为了让有限内存能满足无线进程。先说明一下处理缺页错误的过程：分页硬件在通过页表转换地址时会注意到无效位被设置，从而陷入操作系统，这种陷阱是因... [阅读全文]
Java mybatis常见问题及解决方案

我们建立目录时一定得是这个格式　java中的目录结构和resource中的机构一定要一样，这是为了配置文件能准确映射到相应注意看我的java中有一个方法july... [阅读全文]
Mybatis环境搭建及文件配置过程解析

mybatis的环境搭建：　　1、创建maven工程并且导入坐标：即我们需要在pop.xml文件中添加我们需要的依赖具体方法：搜索maven中央仓库，搜索你需要... [阅读全文]
jsp中el表达式和jstl标签使用

bean 豆在java中是类的意思jar 罐子在java中是一个包的意思，里面有多个类el表达式（Expres... [阅读全文]
springboot利用profile配置文件进行多环境切换

springboot 多环境切换properties文件profile是Spring对不同环境提供不同配置功能的... [阅读全文]
归并排序与希尔排序算法(Java语言数据结构)

归并排序与希尔排序介绍归并排序归并排序的思想很简单，如果有一组待排序列，先切分再重组。任何一篇教程也都会说采用的... [阅读全文]
如何使用MyBatis-Plus代码生成器(逆向工程)一键生成代码

简介MyBatis-Plus 提供了功能强大的的代码生成器, 可以快速生成 Entity、Mapper、Mapp... [阅读全文]
俄罗斯方块(Java语言实现)

目录一、心得二、游戏实例三、代码一、心得在学习Java的过程中，难免会遇到很多的问题，这些问题可能会困扰你... [阅读全文]