拒绝访问Spring Cloud Config / config端点

时间:2018-02-28 14:50:21

标签: spring spring-boot spring-security spring-cloud

我有一个嵌入式Spring Cloud Config服务器和客户端。我想阻止所有用户访问https://host:port/config/*端点。在我目前的情况下,例如,对HTTP GET执行https://host:port/config/application.yml请求的任何人都可以看到整个应用程序配置。在春季文档中提到我可以使用如下的用户名和密码来防止这种情况:

  

7.6安全性如果您在服务器上使用HTTP Basic安全性,则客户端只需要知道密码(如果不是默认密码,则使用用户名)。   您可以通过配置服务器URI或单独的用户名来实现   和密码属性,例如

bootstrap.yml

spring: 
  cloud:
    config:
      uri: https://user:secret@myconfig.mycompany.com

bootstrap.yml

spring:   
  cloud:
    config:
      uri: https://myconfig.mycompany.com
      username: user
      password: secret
  

spring.cloud.config.password和spring.cloud.config.username   值会覆盖提供的任何内容   在URI中。

我当前的bootstrap.yml配置如下:

spring:
  application:
    name: 'MyApp'
  cloud:
      config:
        uri: 'http://localhost:${server.port}/config'
        enabled: true
        server:
            native:
                search-locations: '${config.location}'
            bootstrap: true
            prefix: '/config'

有没有办法在不使用用户名和密码的情况下实现这一目标?

0 个答案:

没有答案