nacos新版踩坑

yeluomen2024-06-09 20:00
背景
官方软件更新的背景

2.2.2版本之前的Nacos默认控制台,无论服务端是否开启鉴权,都会存在一个登录页,需要登录成功才能操作;这导致很多用户被误导 认为Nacos默认是存在鉴权的。在社区安全工程师的建议下,Nacos自2.2.2版本开始,在未开启鉴权时,默认控制台将不需要登录即可访问,同时在控制台中给予提示,提醒用户当前集群未开启鉴权。

官方参考链接:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

我的使用背景

之前用的旧版本nacos,许多服务的nacos client端都没有开启鉴权。但是为了保证运维开发人员不能随意改配置,管理页面上是有认证的。(nacos2.2.2版本前刚好都满足)

冲突

冲突1:nacos升级到2.2.2之后,如果没开启鉴权,管理页面没有登录功能了,访问进去可以直接修改配置。

冲突2:我们有很多服务,部分陈旧服务甚至没有源码,把鉴权加上不太可行。

冲突3:尝试用nginx代理访问nacos,在nginx上用auth_basic设置账号密码。发现即便是账号密码输入正确也不行,频繁报401的错。排查后发现,auth_basic和nacos都需要用Header中Authorization参数,发生了冲突。

解决方案

在nginx使用lua解析账号密码,使用cookie记录是否认证成功

步骤1:nginx中添加html登录页面login.html (输入账号密码,跳转的lua解析页面) --->

步骤2:lua解析页面,如果解析成功账号密码,就写一个cookie,并跳转到nacos页面 -->

步骤3:nacos页面判断是否有cookie,如果有cookie就访问nacos页面,如果没有对应的cookie就跳转到登录页面

nginx配置参考

复制代码 
events {
    worker_connections  1024;
}

http {
    server {
        listen 80;

        # 登录页面
        location = /login.html {
            default_type text/html;
            content_by_lua_block {
                ngx.say([[
                <!DOCTYPE html>
                <html lang="en">
                <head>
                    <meta charset="UTF-8">
                    <meta name="viewport" content="width=device-width, initial-scale=1.0">
                    <title>Nacos Login</title>
                </head>
                <body>
                    <h2>Nacos Login</h2>
                    <form method="post" action="/login">
                        <label for="username">Username:</label>
                        <input type="text" id="username" name="username" required><br><br>
                        <label for="password">Password:</label>
                        <input type="password" id="password" name="password" required><br><br>
                        <input type="submit" value="Login">
                    </form>
                </body>
                </html>
                ]])
            }
        }

        # 处理登录请求
        location = /login {
            content_by_lua_block {
                ngx.req.read_body()
                local args = ngx.req.get_post_args()

                local username = args.username
                local password = args.password

                -- 设定你的用户名和密码
                local valid_username = "sit"
                local valid_password = "sit"

                if username == valid_username and password == valid_password then
                    ngx.header["Set-Cookie"] = "auth=1; Path=/; HttpOnly"
                    ngx.redirect("/nacos")
                else
                    ngx.say("Wrong user or password!  Click the browser's 'Back' button to log in again")
                    ngx.exit(ngx.HTTP_UNAUTHORIZED)
                end
            }
        }

        # nacos路径
        location /nacos/ {
            # 如果认证不通过,就跳转到认证页面
            if ($cookie_auth != "1") {
                return 302 /login.html;
            }

            # 如果认证通过,代理请求到后端nacos服务器
            proxy_pass http://10.1.0.5:8848/nacos/;
        }
    }
}
相关推荐
benpaodeDD11 小时前
视频44——Tomcat标准输出流乱码问题
java·tomcat
Royzst11 小时前
集合进阶(Map集合)
java·前端·数据库
code tsunami11 小时前
如何通过Hermes Agent和CapSolver解决浏览器自动化中的CAPTCHA
运维·自动化
霍格沃兹测开D11 小时前
n8n + MCP:自动化工作流开始拥有“动手能力”
运维·自动化
happymaker062611 小时前
LeetCodeHot100——1.两数之和(详细解答)
java·数据结构·学习·算法
AI人工智能+电脑小能手11 小时前
【大白话说Java面试题 第60题】【JVM篇】第20题:垃圾收集算法和垃圾收集器有什么区别?
java·jvm·算法·面试
minji...11 小时前
Linux 网络基础之传输层TCP(六)TCP报头格式,TCP可靠性,序号/确认序号,窗口大,标志位,初识三次握手四次挥手
linux·运维·服务器·网络·网络协议·tcp/ip·http
文青小兵11 小时前
云计算Linux——数据库MySQL主从复制和读写分离(十七)
linux·运维·服务器·数据库·mysql·云计算
文青小兵11 小时前
云计算Linux——负载均衡 (十四)
linux·运维·服务器·nginx·云计算·负载均衡
深圳恒讯11 小时前
荷兰服务器到中国大陆的平均延迟是多少?
运维·服务器
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓04CC-Switch & Claude 基于 Linux 服务器安装使用指南05【AI】2026 年具身智能模型和世界模型总结06Codex 手机端连接教程:三分钟搞定,附完整步骤07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法09几个好用的ip纯净度检测网站10codex app每次打开重连5次Reconnecting问题解决