nacos新版踩坑

yeluomen2024-06-09 20:00
背景
官方软件更新的背景

2.2.2版本之前的Nacos默认控制台,无论服务端是否开启鉴权,都会存在一个登录页,需要登录成功才能操作;这导致很多用户被误导 认为Nacos默认是存在鉴权的。在社区安全工程师的建议下,Nacos自2.2.2版本开始,在未开启鉴权时,默认控制台将不需要登录即可访问,同时在控制台中给予提示,提醒用户当前集群未开启鉴权。

官方参考链接:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

我的使用背景

之前用的旧版本nacos,许多服务的nacos client端都没有开启鉴权。但是为了保证运维开发人员不能随意改配置,管理页面上是有认证的。(nacos2.2.2版本前刚好都满足)

冲突

冲突1:nacos升级到2.2.2之后,如果没开启鉴权,管理页面没有登录功能了,访问进去可以直接修改配置。

冲突2:我们有很多服务,部分陈旧服务甚至没有源码,把鉴权加上不太可行。

冲突3:尝试用nginx代理访问nacos,在nginx上用auth_basic设置账号密码。发现即便是账号密码输入正确也不行,频繁报401的错。排查后发现,auth_basic和nacos都需要用Header中Authorization参数,发生了冲突。

解决方案

在nginx使用lua解析账号密码,使用cookie记录是否认证成功

步骤1:nginx中添加html登录页面login.html (输入账号密码,跳转的lua解析页面) --->

步骤2:lua解析页面,如果解析成功账号密码,就写一个cookie,并跳转到nacos页面 -->

步骤3:nacos页面判断是否有cookie,如果有cookie就访问nacos页面,如果没有对应的cookie就跳转到登录页面

nginx配置参考

复制代码 
events {
    worker_connections  1024;
}

http {
    server {
        listen 80;

        # 登录页面
        location = /login.html {
            default_type text/html;
            content_by_lua_block {
                ngx.say([[
                <!DOCTYPE html>
                <html lang="en">
                <head>
                    <meta charset="UTF-8">
                    <meta name="viewport" content="width=device-width, initial-scale=1.0">
                    <title>Nacos Login</title>
                </head>
                <body>
                    <h2>Nacos Login</h2>
                    <form method="post" action="/login">
                        <label for="username">Username:</label>
                        <input type="text" id="username" name="username" required><br><br>
                        <label for="password">Password:</label>
                        <input type="password" id="password" name="password" required><br><br>
                        <input type="submit" value="Login">
                    </form>
                </body>
                </html>
                ]])
            }
        }

        # 处理登录请求
        location = /login {
            content_by_lua_block {
                ngx.req.read_body()
                local args = ngx.req.get_post_args()

                local username = args.username
                local password = args.password

                -- 设定你的用户名和密码
                local valid_username = "sit"
                local valid_password = "sit"

                if username == valid_username and password == valid_password then
                    ngx.header["Set-Cookie"] = "auth=1; Path=/; HttpOnly"
                    ngx.redirect("/nacos")
                else
                    ngx.say("Wrong user or password!  Click the browser's 'Back' button to log in again")
                    ngx.exit(ngx.HTTP_UNAUTHORIZED)
                end
            }
        }

        # nacos路径
        location /nacos/ {
            # 如果认证不通过,就跳转到认证页面
            if ($cookie_auth != "1") {
                return 302 /login.html;
            }

            # 如果认证通过,代理请求到后端nacos服务器
            proxy_pass http://10.1.0.5:8848/nacos/;
        }
    }
}
相关推荐
写bug的小屁孩3 分钟前
1.Kafka-快速认识概念
java·分布式·kafka
RisunJan5 分钟前
Linux命令-free命令(查看系统内存(RAM)和交换空间(Swap)使用情况)
linux·运维·服务器
linux修理工6 分钟前
vagrant file 设置固定IP并允许密码登录
java·linux·服务器
Highcharts.js8 分钟前
Highcharts Gantt 甘特图任务配置文档说明
java·数据库·甘特图·模板模式·highcharts·任务关系
heartbeat..9 分钟前
java中基于 Hutool 工具库实现的图形验证码工具类
java
似水流年 光阴已逝12 分钟前
拒绝“失联”:Linux 云服务器无法登录的全链路排查手册
linux·运维·服务器
脏脏a1 小时前
【Linux】进程优先级:谁先 “上车” 谁说了算?
linux·运维·服务器
要站在顶端2 小时前
Jenkins 多分支流水线配置教程
运维·servlet·jenkins
h***04774 小时前
SpringBoot(7)-Swagger
java·spring boot·后端
v***91306 小时前
Spring boot创建时常用的依赖
java·spring boot·后端
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04BongoCat - 跨平台键盘猫动画工具05Linux下V2Ray安装配置指南06本地部署阿里最新开源的Z-Image07Meta第三代“分割一切”模型——SAM 3本地部署教程:首支持文本提示分割,400万概念、30毫秒响应,检测分割追踪一网打尽08【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连0946个Nano-banana 精选提示词,持续更新中10Gemini 3.0 Pro Preview 实测报告