一、环境要求
windows7以上
jdk8及以上版本,并且配置了JAVA_HOME环境变量
二、nacos下载解压
release版本地址:Releases · alibaba/nacos · GitHub
下载后解压即可,上面的tar.gz是linux版本
解压后如下
nacos自己内置有数据库derby,我用的是自己本机安装的mysql数据库
先在本地mysql服务器创建有一个名字为nacos的数据库
然后打开脚本/conf/mysql-schema.sql,复制到nacos数据库中执行
执行完后,一共有12张表
接着需要改下配置文件
找到文件/conf/application.properties,用notepad++或记事本打开
### Connect URL of DB:
db.url.0=jdbc:mysql://127.0.0.1:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true&useUnicode=true&useSSL=false&serverTimezone=UTC
db.user.0=root
db.password.0=123456
这几行配置本来是注释的,前面有#,放开,配置上的 user和password是你本机mysql的用户名和密码
编辑/bin/startup.cmd,注意不要双击,右键编辑,启动模式改成单机模式
三、启动nacos
双击starup.cmd
四、nacos鉴权详细探索
到这里nacos已经可以启动使用了,之前用过老版nacos的同学知道,nacos是要输入用户名和密码的,默认都是nacos,但是上面启动却直接打开了页面
查看nacos官方文档:什么是 Nacos
找到一段话
2.2.2版本之前的Nacos默认控制台,无论服务端是否开启鉴权,都会存在一个登录页;这导致很多用户被误导认为Nacos默认是存在鉴权的。在社区安全工程师的建议下,Nacos自2.2.2版本开始,在未开启鉴权时,默认控制台将不需要登录即可访问,同时在控制台中给予提示,提醒用户当前集群未开启鉴权。
在用户开启鉴权后,控制台才需要进行登录访问。 同时针对不同的鉴权插件,提供新的接口方法,用于提示控制台是否开启登录页;同时在2.2.3版本后,Nacos可支持关闭开源控制台,并引导到用户自定义的Nacos控制台,详情可查看Nacos鉴权插件-服务端插件及控制台手册-关闭登录功能
由此知道,2.2.2版本以后默认没有鉴权,不需要输入登录就能直接打开访问
这在生产上是绝对不允许的,所以我们要配置登录鉴权
还是找到文件/conf/application.properties,用notepad++或记事本打开
### If turn on auth system:
nacos.core.auth.enabled=true这个是鉴权开关,默认false,修改为true
### The default token (Base64 String):
nacos.core.auth.plugin.nacos.token.secret.key=os7crpEmDgyDDsYckyNFP8CrdjkF4HVcD6wAr16rZScOS
这个是鉴权的token,官方要求至少32位
有一个工具生成:随机字符串生成 - 程序员工具箱 - 在线工具
注意:这里官方要求是不低于32位,但如果写32位生成的配置上去仍然报错,具体不知道为啥,也许源码判断不止32位吧,总之是搞大一点吧
nacos.core.auth.plugin.nacos.token.secret.key=os7crpEmDgyDDsYckyNFP8CrdjkF4HVcD6wAr16rZScOS
### The two properties is the white list for auth and used by identity the request from other server.
nacos.core.auth.server.identity.key=
nacos.core.auth.server.identity.value=
注意:这两个值默认是没有的,如果不设置这两个配置,打开鉴权开关后,启动nacos,发现报错如下:
扒了源码下来看看,这两个配置在nacos启动的时候就会有校验
@Postconstruct注解大家应该知道什么意思吧,启动类启动时会自动调用的方法,要求是void,具体解释可自行百度查看用法
里面是一个枚举类定义的错误信息
按照官方文档给的默认值配置
### The two properties is the white list for auth and used by identity the request from other server.
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security
这两个配置值是官方文档给的默认值,可以自己定义,官方文档解释如下
开启鉴权功能后,服务端之间的请求也会通过鉴权系统的影响。考虑到服务端之间的通信应该是可信的,因此在1.2~1.4.0版本期间,通过User-Agent中是否包含Nacos-Server来进行判断请求是否来自其他服务端。
但这种实现由于过于简单且固定,导致可能存在安全问题。因此从1.4.1版本开始,Nacos添加服务身份识别功能,用户可以自行配置服务端的Identity,不再使用User-Agent作为服务端请求的判断标准。
配置好鉴权后打开如下地址:
http://192.168.0.108:8848/nacos/index.html,可以替换为http://localhosy:8848/nacos/index.html,192.168.0.108是我本机的ip地址,打开地址如下
我用火狐浏览器打开控制台找到报错的请求,选择重发了一下,在请求头header中添加了
nacos.core.auth.server.identity.key=serverIdentity和nacos.core.auth.server.identity.value=security组成的键值对,发现请求成功了
其实是因为有鉴权没通过,跳转到登录页面了,我通过手动添加header请求头添加身份验证信息,成功跳过鉴权
但是,实际应该打开的是登陆页面地址: http://localhost:8848/nacos/#/login,这里我认为nacos处理是有瑕疵的,startup.cmd启动窗口给的console应该是
console: http://localhost:8848/nacos/#/login,而不是index.html
输入用户名/密码:nacos/nacos
发现左上角没有当前集群没有开启鉴权的提示了 。
五、总结思考
关于nacos.core.auth.server.identity.key和nacos.core.auth.server.identity.value配置的思考
这俩个配置先解释下
在Nacos中,nacos.core.auth.server.identity.key和nacos.core.auth.server.identity.value这两个配置项用于设置Nacos服务器的身份验证信息。
具体来说:
nacos.core.auth.server.identity.key:这个配置项用于设置身份验证的关键字,通常是一个字符串,例如"nacos"。
nacos.core.auth.server.identity.value:这个配置项用于设置与关键字对应的身份验证值,通常也是一个字符串,例如"admin"。
这两个配置项的作用是,当客户端尝试连接到Nacos服务器时,服务器会检查请求中的这些信息,如果请求中的关键字和值与服务器的配置匹配,那么服务器就会接受这个请求,否则就会拒绝这个请求。这样可以实现对Nacos服务器的访问控制,保护敏感信息的安全。
以下是一个示例:
假设我们有一个Nacos集群,其中有三个节点,它们的IP地址分别为192.168.0.1、192.168.0.2和192.168.0.3。我们希望只有IP地址为192.168.0.1和192.168.0.2的客户端才能访问Nacos集群。
首先,我们需要在每个节点上分别设置nacos.core.auth.server.identity.key和nacos.core.auth.server.identity.value的值。对于节点192.168.0.1,我们可以将其设置为"nacos",将其对应的值设置为"admin";对于节点192.168.0.2,我们可以将其设置为"nacos",将其对应的值设置为"admin";对于节点192.168.0.3,我们可以将其设置为"nacos",将其对应的值设置为"user"。
然后,我们需要在Nacos的配置文件(application.properties或application.yml)中添加以下配置:
nacos:
core:
auth:
server:
identity:
key: nacos
value: admin
这两个配置是nacos集群之间通信用到的,用于跳过鉴权,且多个集群这两个配置必须保持一致,防止数据错乱 ,或者其他第三方想要访问nacos服务,则需要在请求头header带上配置的key和value
前文已通过火狐浏览器重发请求带上这两个验证了(至于为什么用火狐,因为火狐是中文的,chrome浏览器英文的,我没找到重发按钮在哪。。。)
而我这里是单机模式启动,我认为是不强制需要判断这两个值是否 填写,我已经提了官方issue建议,判断单机模式不需要这个判断
不知道对不对,看看官方是怎么回复的吧
