springboot 3.0集成nacos2.2.1内容可评论区Q我
搭建环境:
-
Java版本:11.0.18
-
系统:window7
-
数据库:mysql8.0.29
第一步,下载nacos,下载地址:
https://github.com/alibaba/nacos/releases/download/2.2.1/nacos-server-2.2.1.zip
第二步,下载下来后解压到自己的某一个目录,如下图:
第三步,找到目录conf目录,在mysql创建数据库以及执行建表语句:
第四步,找到bin目录的“startup.cmd”文件,编辑
第五步,找到conf目录的“application.properties”文件进行编辑:
第一个改造点:
第二个就是找到配置“nacos.core.auth.plugin.nacos.token.secret.key”,
添加nacos.core.auth.plugin.nacos.token.secret.key值
nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789
NVDB-CNVDB-2023674205漏洞:Nacos 是一款构建云原生应用的服务管理平台,其在默认配置下未对密钥进行修改,导致攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
具体表现为,在application.properties文件中的配置项具有默认值,而多数用户不修改导致。nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789
新版本中,nacos.core.auth.default.token.secret.key被弃用,取而代之的是nacos.core.auth.plugin.nacos.token.secret.key,且没有默认值。直接启动将会报错如下(报错信息夹杂在繁多的错误提示中,很不明显)
自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。
可以通过以下地址生成密钥。Base64 在线编码解码 | Base64 加密解密 - Base64.us
然后找到bin目录执行“startup.cmd”
最后,启动起来后浏览器访问http://localhost:8848/nacos
账号密码:nacos/nacos
启动成功