spring-boot-starter-actuator 是用来监控系统健康状况的一个很强大的工具,但是默认配置的情况下,路径都是通用的(/actuator
),很容易导致泄露系统的重要信息。
可以通过修改监控地址的路径来避免被别人轻易的就访问到,更安全的做法是将其端口同服务的端口区分开,并禁止外网访问。
调查的时候还看到说可以通过设置 management.security.enabled
为 true
并配合 Spring Security 来实现通过密码来访问,但是没有成功。貌似是因为 2.x 中取消了这个配置项。security.user.password
配置了也没起作用。