nacos新版踩坑

背景

官方软件更新的背景

2.2.2版本之前的Nacos默认控制台，无论服务端是否开启鉴权，都会存在一个登录页，需要登录乐成才气操作；这导致很多用户被误导认为Nacos默认是存在鉴权的。在社区安全工程师的发起下，Nacos自2.2.2版本开始，在未开启鉴权时，默认控制台将不需要登录即可访问，同时在控制台中给予提示，提醒用户当前集群未开启鉴权。
官方参考链接：https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
我的利用背景

之前用的旧版本nacos，很多服务的nacos client端都没有开启鉴权。但是为了保证运维开发职员不能随意改设置，管理页面上是有认证的。（nacos2.2.2版本前刚好都满足）
辩论

辩论1：nacos升级到2.2.2之后，如果没开启鉴权，管理页面没有登录功能了，访问进去可以直接修改设置。
辩论2：我们有很多服务，部分陈旧服务乃至没有源码，把鉴权加上不太可行。
辩论3：尝试用nginx代理访问nacos，在nginx上用auth_basic设置账号密码。发现即便是账号密码输入正确也不行，频繁报401的错。排查后发现，auth_basic和nacos都需要用Header中Authorization参数，发生了辩论。
解决方案

在nginx利用lua剖析账号密码，利用cookie记载是否认证乐成
步调1：nginx中添加html登录页面login.html (输入账号密码，跳转的lua剖析页面) —>
步调2：lua剖析页面，如果剖析乐成账号密码，就写一个cookie，并跳转到nacos页面 -->
步调3：nacos页面判断是否有cookie，如果有cookie就访问nacos页面，如果没有对应的cookie就跳转到登录页面
nginx设置参考

1. events {
2.     worker_connections  1024;
3. }
5. http {
6.     server {
7.         listen 80;
9.         # 登录页面
10.         location = /login.html {
11.             default_type text/html;
12.             content_by_lua_block {
13.                 ngx.say([[
14.                 <!DOCTYPE html>
15.                 <html lang="en">
16.                 <head>
17.                     <meta charset="UTF-8">
18.                     <meta name="viewport" content="width=device-width, initial-scale=1.0">
19.                     <title>Nacos Login</title>
20.                 </head>
21.                 <body>
22.                     <h2>Nacos Login</h2>
23.                     <form method="post" action="/login">
24.                         <label for="username">Username:</label>
25.                         <input type="text" id="username" name="username" required><br><br>
26.                         <label for="password">Password:</label>
27.                         <input type="password" id="password" name="password" required><br><br>
28.                         <input type="submit" value="Login">
29.                     </form>
30.                 </body>
31.                 </html>
32.                 ]])
33.             }
34.         }
36.         # 处理登录请求
37.         location = /login {
38.             content_by_lua_block {
39.                 ngx.req.read_body()
40.                 local args = ngx.req.get_post_args()
42.                 local username = args.username
43.                 local password = args.password
45.                 -- 设定你的用户名和密码
46.                 local valid_username = "sit"
47.                 local valid_password = "sit"
49.                 if username == valid_username and password == valid_password then
50.                     ngx.header["Set-Cookie"] = "auth=1; Path=/; HttpOnly"
51.                     ngx.redirect("/nacos")
52.                 else
53.                     ngx.say("Wrong user or password!  Click the browser's 'Back' button to log in again")
54.                     ngx.exit(ngx.HTTP_UNAUTHORIZED)
55.                 end
56.             }
57.         }
59.         # nacos路径
60.         location /nacos/ {
61.             # 如果认证不通过，就跳转到认证页面
62.             if ($cookie_auth != "1") {
63.                 return 302 /login.html;
64.             }
66.             # 如果认证通过，代理请求到后端nacos服务器
67.             proxy_pass http://10.1.0.5:8848/nacos/;
68.         }
69.     }
70. }

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。