spring-boot-starter-actuator 是用来监控系统健康状况的一个很强大的工具，但是默认配置的情况下，路径都是通用的（/actuator），很容易导致泄露系统的重要信息。

可以通过修改监控地址的路径来避免被别人轻易的就访问到，更安全的做法是将其端口同服务的端口区分开，并禁止外网访问。

调查的时候还看到说可以通过设置 management.security.enabled 为 true 并配合 Spring Security 来实现通过密码来访问，但是没有成功。貌似是因为 2.x 中取消了这个配置项。security.user.password 配置了也没起作用。