2. 程式人生 > >springboot 1.3.6中使用actuator預設開啟監控,如何防止資料洩漏

springboot 1.3.6中使用actuator預設開啟監控,如何防止資料洩漏

阿新 發佈:2018-12-17

在新增完依賴後

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-actuator</artifactId>
</dependency>

啟動工程時會看到如下日誌:

2018-10-24 15:48:59.355  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/env/{name:.*}],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EnvironmentMvcEndpoint.value(java.lang.String)
2018-10-24 15:48:59.355  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/env || /env.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.356  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/info || /info.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.356  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/beans || /beans.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.357  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/health || /health.json],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.HealthMvcEndpoint.invoke(java.security.Principal)
2018-10-24 15:48:59.357  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/metrics/{name:.*}],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.MetricsMvcEndpoint.value(java.lang.String)
2018-10-24 15:48:59.357  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/metrics || /metrics.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.358  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/dump || /dump.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.359  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/autoconfig || /autoconfig.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.359  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/mappings || /mappings.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.359  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/trace || /trace.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.360  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/configprops || /configprops.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()

如果工程非web工程,僅提供API服務,那麼如果沒有進行URL過濾,工程執行起來後,是可以通過GET請求訪問監控資源的,如:

http://127.0.0.1:7001/health

{
    "status":"UP",
    "hello":{
        "status":"UP"
    },
    "diskSpace":{
        "status":"UP",
        "total":116333809664,
        "free":86622515200,
        "threshold":10485760
    },
    "db":{
        "status"
 
:"UP",
        "database":"Oracle",
        "hello":"Hello"
    }
}

生產環境中如果這些URL還沒有過濾的話,是會造成資料洩漏的,那如何遮蔽掉這些資訊呢,springboot 2.0中可以通過配置來關閉掉監控,但1.X版本的倒沒有找到有效的配置方式,目前僅通過URL過濾來防止資料過濾,即讓這些資料監控URL無法訪問。

package com.XXXX.filter;

import com.autonavi.utils.RegUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
 

import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.Collections;
import java.util.HashSet;
import java.util.Set;

/**
 * URL過濾器,僅接受允許陣列中的URL path
 *
 * @author loongshawn
 * @date 2018/10/23 下午8:30
 */
@Configuration
@WebFilter(urlPatterns = "/*")
@Order(value = 1)
public class UrlFilter implements Filter {

    private Logger logger = LoggerFactory.getLogger(UrlFilter.class);

    private static final Set<String> ALLOWED_PATHS = Collections.unmodifiableSet(new HashSet<>(
            Arrays.asList("/hello", "/product", "/error", "/checkpreload.htm", "/status.taobao")));

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        logger.info("init-----------filter");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$", "");
        boolean allowedPath = ALLOWED_PATHS.contains(RegUtil.getUrlPath(path));

        if (allowedPath) {
            logger.info(path + "是不需要處理的url進入方法");
            chain.doFilter(req, res);
        } else {
            logger.info(path + "是需要跳轉的url進入方法");
            response.sendRedirect("/error");
        }
    }

    @Override
    public void destroy() {
        logger.info("destroy----------filter");
    }
}

通過設定URL過濾器,僅允許訪問特定的URL訪問,攔截掉其他URL,效果如下:

Url:http://127.0.0.1:7001/error

Error:None

Status:999

Timestamp:Wed Oct 24 16:28:57 CST 2018

有關actuator資料監控的說明見https://www.jianshu.com/p/cc4b1ce1a913

相關推薦

springboot 1.3.6使用actuator預設開啟監控如何防止資料洩漏

在新增完依賴後 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-actuator</art

PHPnow-1.5.6升級php-5.2.14-Win32到php-5.3.5

今天在用thinkPHP訪問專案是提示require PHP > 5.3.0 !,然後看了看我的php環境是php-5.2.14-Win32。然後開始查詢資料升級php,現總結如下: 1.下載PHP5.3.5。http://download.csdn.net/deta

sqoop2 1.99.6 遇到問題及源碼修改匯總

sqoop 大數據 hadoop 數據預處理 sqoop21.當PartitionColumn的基數為1(如下圖)時。則會報錯報錯如下圖源代碼如下\sqoop-1.99.6-bin-hadoop200\connector\connector-generic-jdbc\src\main\java\org\apa

hdu acm-step 1.3.6 Wooden Sticks

continue -- i++ style print clas 重置 step mem       本題題意:有n根棍子,給出兩個屬性長度l和重量w,當加工當前棍子的長度和長度均大於上一根棍子時,可以不重置機器,每次重置機器要花1min,     求最小時間。    

What’s new for Spark SQL in Apache Spark 1.3英雙語)

block htm park -h apache HA log -a -- 文章標題 What’s new for Spark SQL in Apache Spark 1.3 作者介紹 Michael Armbrust 文章正文 參考文獻

Windows 10 下在python 3.6安裝scrapy框架包

第一步,開啟命令列視窗,使用pip指令,安裝wheel,pip install wheel  第二步,安裝lxml,pip install lxml 第三步,安裝PyOpenssl,pip install twisted 第四步,進入網站https://www.lfd.uci.

1.3 Vue的計算屬性和偵聽器

Vue中的計算屬性和偵聽器 <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>Vue中的計算屬性和偵聽器</title> <!

Django2.1.3框架(fields.E300)和(fields.E307)報錯處理

        使用Django框架建立了Web專案,修改了模型models.py之後,執行資料庫遷移操作,出現如下報錯: models.py內容如下: from django.db import models from django.contrib.aut

Python 3.6reduce函式和cmp函式

1,Python 3中取消了cmp函式,使用cmp功能的話需按如下所示(方法一種): import operator #help(operator) ... __ge__ = ge(...) ge(a, b) -- Same as a>=b. __eq__ = eq(...

Sylius 1.3.61.2.13 釋出開源 PHP 電子商務網站框架

   Sylius 1.3.6 和 1.2.13 釋出了,這是一個常規維護版本,沒有重大的更新內容,僅包含 bugfix 和功能變更。 v1.3.6 (2018-12-17) TL;DR Fixed compatibility issues with Symfony 4.1

1.3 Android的幾種UI排布方法介紹

關於XML基本語法介紹和XML語法總結可以參考這裡:XML基本語法介紹、XML語法總結。 在Android中,提供了一種非常簡單、方便的方法用於控制UI介面。該方法採用XML檔案來進行介面佈局,從而將佈局介面的程式碼和邏輯控制的Java程式碼分離開

【深入SpringBoot 1.3.5 第一章】Boot應用的啟動流程

一、 快速建立一個Boot應用 使用maven <parent> <groupId>org.springframework.boot</groupId> <artifactId>spri

一週亂彈(1,絕對路徑的 / 代表什麼 2jsp include標籤 3java 獲取ip地址問題4springMVC @RequestMapping 傳遞多個引數5jQuery模糊搜尋)

1,只要搞清楚“/”代表的是什麼就行了:  (1).在form,js,css,sendRedirect裡邊,代表的是http://127.0.0.1/;  (2).在web.xml中的url-pattern,forword代表的是   http://127.0.0.1/my

Confluence 6 修改預設的表現和內容

Confluence 構建了一些有用的預設設定,這些設定能夠讓第一次訪問使用 Confluence 系統的使用者更好的瞭解系統。同時預設的內容將新空間和其他區域放置在 Confluence 中。 Confluence 的管理員可以修改這些設定來自定義他們 Confluence 站點的預設表現和內容。

AndroidStudio 3.0之後無法開啟DDMS [Android Device Monitor] 問題

一、AndroidStudio 3.0中之後無法開啟Android Device Monitor 最近升級了AS後發現在在選單欄中的Tools下Android中沒用了,這樣就不能愉快的打開了DDMS了,但是有些工作還是需要DDMS的幫助的,於是就開始了和And

Hibernate 3.6@OneToMany註解部署到WebSphere7上報錯的解決辦法

專案中使用到了Hibernate 3.6,在PO類中使用了@OneToMany註解 在Tomcat上部署執行正常,但是部署到webSphere7上出現問題,報錯如下: Caused by: java.lang.NoSuchMethodError: javax/persis

從數列1,2,3,......,n隨意取出幾個數使其和等於m

問題描述:    輸入兩個整數n和m,從數列1,2,3,.......n中隨意去幾個數,使其和等於m,要求將其中所有可能的組合列出來。解決思路:    這個問題其實是揹包問題的變形,給出兩種解決方法。    解法一:    用遞迴,效率可能低了點。假設問題的解為F(n,m)

3.1.3 STLlist、map、vector的使用方法

(一)list的使用方法: 程式碼: #include <iostream> #include <list> #include <algorithm> #include <numeric> #include <itera

一箇中興的面試題輸入兩個數n和m從數列1,2,3……n隨意取幾個數使其和等於m要求將其中所有組合列出來程式設計求解(c語言遞迴函式分解法)

原題目:輸入兩個數n和m,從數列1,2,3……n中隨意取幾個數,使其和等於m,要求將其中所有組合列出來程式設計求解 c語言解法分析:            先判定n和m的大小,如果m小於n,則只需從1,2……m之間找出和為m的組合即可,如果m大於n,則需要判斷1~n的和是否

1.3.6.1.4.1(SNMP-MIB庫)

iso.org.dod.internet.private.enterprises 最近在看SNMP,OID很好玩 1.3.6.1.4.1是Internet Assigned Numbers Authority (IANA)統一管理的,大家可以在http://www.iana.org/assignments/