Spring Boot监控配置权限管理

在Spring Boot应用中，Actuator监控的权限管理是保障系统安全的重要环节。本文将详细介绍如何配置Actuator的访问权限控制。

权限配置基础

首先，在application.yml中启用Actuator端点并配置基本权限：

management:
  endpoints:
    web:
      exposure:
        include: health,info,metrics
  endpoint:
    health:
      show-details: always

安全配置

添加Spring Security依赖后，通过Java配置类控制访问权限：

@Configuration
@EnableWebSecurity
public class ActuatorSecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.requestMatcher(EndpointRequest.toAnyEndpoint())
            .authorizeHttpRequests(authz -> authz
                .requestMatchers(EndpointRequest.to("health", "info"))
                .permitAll()
                .requestMatchers(EndpointRequest.to("metrics"))
                .hasRole("MONITOR")
                .anyRequest()
                .denyAll()
            );
        return http.build();
    }
}

验证配置

启动应用后，使用curl命令验证权限：

# 无权限访问
 curl http://localhost:8080/actuator/metrics
# 有权限访问
 curl -u monitor:password http://localhost:8080/actuator/metrics

通过以上配置，可以有效控制Actuator监控数据的访问权限，确保系统安全。