16.4 保护 Actuator

16.4 保护 Actuator

对于 Actuator 提供的信息，可能您并不想被间谍窥探到。此外，由于 Actuator 提供了可以更改环境属性，以及调整日志记录级别的操作，那么使只允许具有适当访问权限的客户，才能使用 Actuator 是必要的。

尽管确保 Actuator 的安全非常重要，但 Actuator 并没有提供安全措施的责任。相反，您需要使用 Spring Security 来保护 Actuator。因为 Actuator 端点只是应用程序中的路径，这与应用程序中的任何其他路径没什么区别，所以确保 Actuator 的安全措施，与保证应用程序其他路径的安全措施相比，没有什么独特之处。我们在第 4 章中讨论的所有内容都适用 Actuator 端点。

因为所有的 Actuator 端点都集中在路径 /actuator 下（或者其他路径，如果设置了 management.endpoints.web.base-path 属性），很容易将授权规则应用于 Actuator 端点。例如，要求用户具有要 ROLE_ADMIN 权限，以调用 Actuator 端点，您可以重写 WebSecurityConfigurerAdapter 的 configure() 方法，如下所示：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
    .antMatchers("/actuator/**").hasRole("ADMIN")
    .and()
    .httpBasic();
}

这要求，所有请求都要来自具有 ROLE_ADMIN 权限的用户。另外还配置了 HTTP 基本身份验证，以便客户端应用程序，可以在请求头 Authorization 属性中，传输编码过的身份验证信息。

以这种方式保护 Actuator 的真正问题是，端点的路径硬编码为 /actuator/** 了。如果修改了 management.endpoints.web.base-path 属性，它将不再工作。为解决这个问题，Spring Boot 还提供了 EndpointRequest，这是一个请求匹配器类。它更容易使用，而且不依赖于给定的字符串路径。使用 EndpointRequest，您可以对 Actuator 端点应用相同的安全配置，而无需硬编码 /actuator/** 路径：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .requestMatcher(EndpointRequest.toAnyEndpoint())
      .authorizeRequests()
        .anyRequest().hasRole("ADMIN")
    .and()
    .httpBasic();
}

EndpointRequest.toAnyEndpoint() 方法返回一个请求匹配器，该匹配器匹配任何 Actuator 端点。如果要从中排除某些端点，可以调用 excluding()，并按名称指定它们：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .requestMatcher(EndpointRequest.toAnyEndpoint().excluding("health", "info"))
    .authorizeRequests()
      .anyRequest().hasRole("ADMIN")
    .and()
    .httpBasic();
}

另一方面，您如果希望对少数 Actuator 进行保护，您可以通过调用 to() 方法，而不是 toAnyEndpoint() 方法：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .requestMatcher(EndpointRequest.to("beans", "threaddump", "loggers"))
    .authorizeRequests()
    .anyRequest().hasRole("ADMIN")
    .and()
    .httpBasic();
}

这将 Actuator 的安全性仅限于 /bean、/threaddump 和 /loggers 端点。所有其他 Actuator 端点完全开放。