Dubbo Admin 安全性

為了方便使用 Dubbo，Dubbo 官方提供了 Dubbo Admin 控制台，方便管理 Dubbo 應用程式。

風險

Dubbo Admin 預設擁有整個叢集的查詢和呼叫權限，因此在線上環境中需要更加謹慎地使用。此外，為了降低任意存取 Dubbo Admin 的風險，Dubbo Admin 也提供了一個簡單的身份驗證機制。為了讓 Dubbo Admin 更安全，請參考以下文件。

身份驗證方案

Dubbo Admin 預設提供基於使用者名稱和密碼的登入機制，並在請求過程中基於 JWT Token 進行身份驗證。為了方便初學者，Dubbo Admin 包含預設的使用者名稱、密碼和 JWT Secret Token。

由於 Dubbo Admin 是公開發布的，預設的使用者名稱、密碼和 JWT Secret Token 都是公開的。在您的正式環境中，務必更改預設的使用者名稱、密碼和 JWT Secret Token。

如何更改預設的使用者名稱、密碼和 JWT Secret Token

對於基於 Java 程式碼直接打包部署的使用者，可以直接在 dubbo-admin-server/src/main/resources/application.properties 中修改以下配置

admin.root.user.name=root
admin.root.user.password=root
admin.check.signSecret=86295dd0c4ef69a1036b0b0c15158d77

對於透過 Docker 部署的使用者，可以在 /dubbo/dubbo-admin/properties 中修改以下配置

admin.root.user.name=root
admin.root.user.password=root
admin.check.signSecret=86295dd0c4ef69a1036b0b0c15158d77

對於透過 Kubernetes 部署的使用者，可以修改 ConfigMap 中的以下配置

admin.root.user.name=root
admin.root.user.password=root
admin.check.signSecret=86295dd0c4ef69a1036b0b0c15158d77

對於透過 Helm 部署的使用者，可以指定以下配置

properties:
  admin.root.user.name: root
  admin.root.user.password: root
  admin.check.signSecret: 86295dd0c4ef69a1036b0b0c15158d77

最佳實務

1. 請在私有化部署時更新預設的使用者名稱、密碼和 JWT Secret Token。建議修改 Dubbo Admin 的身份驗證邏輯，並將其連接到您組織的人員管理系統。
2. 不要將 Dubbo Admin 連接埠直接暴露在網際網路上。