Jeecg-Boot项目中Actuator端点泄露用户Token的安全风险分析

背景介绍

在Jeecg-Boot 3.4.4版本中，存在一个潜在的安全风险：通过Actuator的httptrace端点可能泄露用户认证Token。这是一个典型的安全配置问题，涉及到Spring Boot Actuator端点的安全防护和Shiro框架的整合问题。

问题本质

Spring Boot Actuator提供了丰富的应用监控端点，其中/actuator/httptrace端点会记录最近的HTTP请求信息。在默认配置下，这个端点会记录请求头信息，包括Authorization头中的认证Token。如果该端点未被适当保护，攻击者一旦获得访问权限，就能获取到其他用户的认证凭据。

技术细节分析

1. httptrace端点工作机制：

   • 该端点会记录最近100个HTTP请求的详细信息
   • 默认包含请求方法、URI、时间戳、请求头等信息
   • 对于认证请求，Authorization头会被完整记录

2. Shiro框架整合问题：

   • Jeecg-Boot使用Shiro作为安全框架
   • 在Shiro配置中，需要显式排除对Actuator端点的保护
   • 如果配置不当，可能导致端点暴露或保护不足

3. 风险影响：

   • 获取的Token可以被重放使用
   • 可能导致横向越权攻击
   • 泄露的Token可能包含高权限用户凭据

解决方案

1. 临时解决方案：

   • 在Shiro配置中注释掉对/actuator/httptrace的排除配置
   • 确保该端点受到Shiro的安全保护

2. 长期安全建议：

   • 限制Actuator端点的访问权限
   • 配置management.endpoint.httptrace.sensitive=true
   • 考虑禁用不必要的Actuator端点
   • 实现自定义的HttpTraceRepository过滤敏感信息

3. 最佳实践：

   • 生产环境应为Actuator配置独立的安全策略
   • 使用IP白名单限制访问
   • 定期审计Actuator端点配置

安全开发建议

1. 敏感信息过滤：

   • 实现自定义的TraceableRequest和TraceableResponse
   • 重写getHeaders()方法过滤Authorization等敏感头

2. 监控配置：

   • 定期检查Actuator端点暴露情况
   • 使用安全扫描工具检测配置问题

3. 框架整合注意事项：

   • 当整合多个安全框架时，需明确责任边界
   • 避免安全配置出现"真空地带"

总结

Jeecg-Boot项目中出现的这个问题提醒我们，在快速开发框架中，安全配置往往容易被忽视。特别是在整合多个框架时，安全策略的叠加和冲突需要特别关注。开发者应当建立完善的安全配置检查清单，确保所有端点都得到适当的保护，避免敏感信息泄露的风险。