彻底禁用 Spring Boot Actuator，让 /actuator 无法访问

Spring Boot Actuator：监控与禁用指南

简介

Spring Boot Actuator 是一套功能强大的工具，可帮助您监控和管理 Spring Boot 应用程序。然而，在生产环境中，出于安全性和稳定性考虑，通常需要禁用 Actuator。本文将深入探讨禁用 Actuator 的必要性，指导您通过多种方法实现这一目标，并为您提供常见的故障排除提示。

误区：Actuator 已被禁用，但仍可访问

许多开发人员认为禁用 Actuator 后，所有端点都会变得不可访问。但事实并非如此。如果您发现 /actuator 端点仍然可以访问，则可能是因为您只禁用了部分端点，而没有完全禁用 Actuator。

春风得意时，值得反思

彻底禁用 Spring Boot Actuator 至关重要，它可以显著提高应用程序的安全性。以下列出了三种有效的方法：

方法 1：在 application.properties 文件中禁用 Actuator

management.endpoints.web.exposure.include=

此配置将禁用 Actuator 所有端点。

方法 2：在 Spring Boot 主类中禁用 Actuator

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class, ManagementWebSecurityAutoConfiguration.class})
public class App {
    public static void main(String[] args) {
        SpringApplication.run(App.class, args);
    }
}

此配置将从应用程序上下文中排除 Actuator 模块。

方法 3：使用 Spring Security 禁用 Actuator

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/actuator/**").denyAll()
                .and()
                .httpBasic();
    }
}

此配置将使用 Spring Security 为 Actuator 端点添加身份验证，并拒绝对它们的访问。

结论

通过彻底禁用 Spring Boot Actuator，您可以提高应用程序的安全性并保护其免遭未经授权的访问。请务必根据您的具体需求选择适当的方法，并定期检查以确保 Actuator 已被完全禁用。

常见问题解答

1. 为什么要禁用 Actuator？

在生产环境中，Actuator 可能被恶意用户利用来收集敏感信息或执行攻击。禁用 Actuator 可减少此类风险。

2. 如何检查 Actuator 是否已禁用？

使用浏览器或工具（如 curl）尝试访问 /actuator 端点。如果收到 403（禁止）错误，则表明 Actuator 已成功禁用。

3. 为何我禁用了 Actuator，但仍能访问某些端点？

您可能只禁用了部分端点。使用第一种方法（在 application.properties 中禁用）可确保所有端点都被禁用。

4. 禁用 Actuator 会对我的应用程序产生负面影响吗？

不会。Actuator 仅用于监控和管理，其禁用不会影响应用程序的功能。

5. 如何仅禁用特定 Actuator 端点？

您可以使用 ManagementServerProperties 或 ManagementEndpoint 接口手动设置端点的访问权限。请参阅 Spring Boot 文档以获取更多详细信息。