SpringBoot应用监控Actuator使用隐患及解决方案

 更新时间:2024年07月05日 09:23:48   作者:名字咋这么难起捏  
SpringBoot的Actuator 模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP 跟踪等,帮助我们监控和管理Spring Boot 应用,本文将给大家介绍SpringBoot应用监控Actuator使用隐患及解决方案,需要的朋友可以参考下

Actuator介绍

SpringBoot的Actuator 模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP 跟踪等,帮助我们监控和管理Spring Boot 应用。这个模块是一个采集应用内部信息暴露给外部的模块,如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等(上述的功能都可以通过HTTP 和 JMX 访问)。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。(PS:楼主这里就因为某同事的疏忽上线后被检测到未授权访问然后勒令整改的)

Actuator核心是:Endpoints,它用来监视应用程序及交互,actuator中内置了非常多的Endpoints(如:health、info、beans、httptrace等等),但同时也允许用户根据自己需求自定义端点。

Endpoints 主要分成两类:原生端点和用户自定义端点;自定义端点主要是指扩展性,用户可以根据自己的实际应用,定义一些比较关心的指标,在运行期进行监控。

常见端点如下表格所示

EndPoints描述
auditevents公开当前应用程序的审核事件信息。
beans显示应用程序中所有Spring bean的完整列表。 
caches 暴露可用的缓存。
conditions显示在配置和自动配置类上评估的条件以及它们匹配或不匹配的原因。
configprops显示所有的整理列表@ConfigurationProperties,查看配置属性,包括默认配置 
env 露出Spring的属性的各种环境变量,后面可跟/{name}查看具体的值
flyway显示已应用的任何Flyway数据库迁移。 
health显示应用健康信息,2.0以后需要在配置里show-details打开开关 
httptrace 显示HTTP跟踪信息,2.0以后需要手动打开
info 显示任意应用信息,是在配置文件里自己定义的
integrationgraph 显示Spring Integration图。
loggers 显示和修改应用程序中记录器的配置。
liquibase 显示已应用的任何Liquibase数据库迁移。
scheduledtasks 显示应用程序中的计划任务。

感兴趣的小伙伴可自行查阅

使用Actuator

使用Actuator监控只需要在Maven中引入依赖“spring-boot-starter-actuator”即可

        <!-- 监控端点-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>

在YML配置文件中配置actuator的访问路径,开放端口

management:
  endpoints:
    web:
      # actuator的访问路径,默认/actuator
      base-path: /actuator
      # 设置是否暴露端点 默认只有health和info可见
      exposure:
        # 如需暴漏指定端口,在下方输入,端口名称,多个端点之间用“,”分割。如:env,session。开放所        
        # 有用*号表示,如下所示
        include: "*"
  #新开监控端口,不设置采取项目端口(默认)
  server:
    port: 8081  
  endpoint:
    health:
      # 显示db、redis、rabbti连接情况等
      show-details: always 
    shutdown:
      enabled: true  

到这里引入Actuator已完成,启动项目在浏览器地址栏输入项目路径后拼上/actuator后即可访问(注:如果上面配置过地址这里就不应输入/actuator,应该为你配置的地址。如需查询某一个端点就在/actuator后面拼接上。如env:localhost:8080/actuator/env)

配置Actuator可视化界面

看上图所列出的让人看得不是很清楚,这时候可以使用monitor来构建界面,使用也很简单,只需要引入“spring-boot-monitor”即可

        <dependency>
            <groupId>cn.pomit</groupId>
            <artifactId>spring-boot-monitor</artifactId>
            <version>0.0.4</version>
        </dependency>

引入完成后启动项目,这个时候就不是访问/actuator而是/monitor来进行访问。

Actuator配置安全访问

需要使用Actuator监控服务端点情况时,如果在本地的话问题不大,但是放到线上就会有问题。这个时候我们需要对Actuator进行保护。

比如说限制开放某一端点,我们可以在yml中配置(env举例):

endpoint:
 env:
    enabled: false

也可以通过搭配security模块来进行登录限制。

首先引入maven依赖“spring-boot-starter-security”依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

在yml配置文件中定义账号密码(注:也可以不在配置文件中定义,在配置类中定义)

spring:
  security:
    user:
      name: root
      password: 123456
      roles: ADMIN

编写配置类(注:SpringBoot2.0抛弃了之前的引用方式,故此使用配置类方法,该实例只针对actuator进行拦截,各位可根据实际情况调整)

@Configuration
@EnableWebSecurity
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) {
        http.csrf().disable();
        http.formLogin().and()
                .authorizeRequests()
                .antMatchers("/**actuator/**","/**monitor/**")
                .authenticated()
                .anyRequest()
                .permitAll()
                .and()
                .httpBasic();
    }
 
    //添加账号、密码、权限
    @Autowired
    public  void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("root")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("ADMIN");
    }
 
 
}

启动项目访问该地址会自动跳转到登录界面,使用配置好的账号密码登录即可。

 注:也可更改验证步骤搭配数据库进行登录,在此就不多说了感兴趣的小伙伴可自行研究展开了

Actuator安全建议

  • 设置Actuator独立端口,并且不对外开放
  • 设置特定访问IP地址,非设定IP自动拦截
  • 设置访问路径不采取默认路径
  • 按需开放端点
  • 搭配security模块进行访问加密

以上就是SpringBoot应用监控Actuator使用隐患及解决方案的详细内容,更多关于SpringBoot Actuator使用隐患的资料请关注脚本之家其它相关文章!

相关文章

  • java中@Configuration使用场景

    java中@Configuration使用场景

    本文主要介绍了java中@Configuration使用场景,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2023-03-03
  • idea运行java的配置详细教程(包含maven,mysql下载配置)

    idea运行java的配置详细教程(包含maven,mysql下载配置)

    程序员们在开发的时候,一定会用到Intellij IDEA这个集成开发环境,这篇文章主要给大家介绍了关于idea运行java的配置(包含maven,mysql下载配置)的相关资料,需要的朋友可以参考下
    2024-05-05
  • 解决IDEA使用springBoot创建项目,lombok标注实体类后编译无报错,但是运行时报错问题

    解决IDEA使用springBoot创建项目,lombok标注实体类后编译无报错,但是运行时报错问题

    文章详细描述了在使用lombok的@Data注解标注实体类时遇到编译无误但运行时报错的问题,分析了可能的原因,并提供了解决步骤
    2025-01-01
  • java参数传递之值传递和引用传递

    java参数传递之值传递和引用传递

    这篇文章主要介绍了java参数传递之值传递和引用传递,引用了两个代码实例来讲解,有感兴趣的同学可以研究下
    2021-02-02
  • Java Set 中的常用方法示例总结

    Java Set 中的常用方法示例总结

    Set是Java集合框架(Collection Framework)中最常用的接口之一,具有元素唯一、不允许重复 的特性,这篇文章将全面总结Java Set的常用方法并通过示例进行讲解,主要用于日常查询使用,感兴趣的朋友跟随小编一起看看吧
    2025-12-12
  • Spring Boot 整合 Redis 实现数据缓存案例详解

    Spring Boot 整合 Redis 实现数据缓存案例详解

    Springboot缓存,默认使用的是ConcurrentMap的方式来实现的,然而我们在项目中并不会这么使用,本文介绍SpringBoot整合Redis来实现数据的缓存,感兴趣的朋友一起看看吧
    2025-05-05
  • SpringCloud消息总线Bus配置中心实现过程解析

    SpringCloud消息总线Bus配置中心实现过程解析

    这篇文章主要介绍了SpringCloud消息总线Bus配置中心实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-03-03
  • idea插件无法下载4的种解决方式

    idea插件无法下载4的种解决方式

    这篇文章主要介绍了idea插件无法下载4的种解决方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2023-11-11
  • MyBatis-Plus分页时排序的实现方法

    MyBatis-Plus分页时排序的实现方法

    这篇文章主要介绍了MyBatis-Plus分页时的排序,分页时排序的方法,后端OrderItems排序、Wrapper排序前端指定排序,文章结合实例代码给大家介绍的非常详细,需要的朋友可以参考下
    2022-03-03
  • Java实现栈和最小栈的方法

    Java实现栈和最小栈的方法

    栈(Stack)是一种常用的数据结构,其核心特点是先进后出,这篇文章主要介绍了Java实现栈和最小栈的相关操作,需要的朋友可以参考下
    2026-02-02

最新评论