背景

前端时间nacos爆出了漏洞. 因为他的默认token固定,容易被利用.
具体的问题为: QVD-2023-6271
漏洞描述：开源服务管理平台 Nacos 中存在身份认证绕过漏洞，
在默认配 置下未token.secret.key 进行修改，
导致远程攻击者可以绕 过密钥认证进入后台，造成系统受控等后果。

漏洞影响版本：0.1.0 <= Nacos <= 2.2.0

解决方法

其实应该是两步:
第一步修改默认密钥
第二步打开授权认证

默认密钥的修改版本
echo "zhaobenshuaitestnewkeyinfolongenough" |base64 
根据得出的结果修改配置文件
/nacos/conf/application.properties
内的:
nacos.core.auth.default.token.secret.key=
修改为 base64的数值, 注意要求是不能低于32位长度. 

然后打开授权认证,主要是两处
nacos.core.auth.system.type=nacos
nacos.core.auth.enabled=true

需要很多文档都说可以直接生效,不需要重启. 我感觉还是重启一下比较好

springboot设置

注意 为了安全一定要修改 nacos的默认密码.

然后在服务器内部修改配置文件:
nacos:
  discovery:
    server-addr: 127.0.0.1:8848
  username: nacos
  password: YourPassword

需要注意一定, 我这边使用 ?! 结尾的密码总是有问题.
无法正常注册进来
没办法我去掉了 ?! 就可以了.
因为已经快12点了, 想早点睡 ,改天在验证特殊字符密码的情况.