As Nacos is in production use, users require a basic login system to verify user identity, thereby reducing security risks.
随着Nacos在生产使用,用户要求有基本登录系统验证用户身份,从而降低安全风险。
支持 LDAP 就已经可以了,类似 社区里面的 jenkins, gitlab, rancher 之类,都是优先支持 LDAP;
更重要的是,需要对 Nacos 现有的所有功能就行权限和角色的划分,是给到所有权限,让用户自己创建角色来划分,还是不开放权限,直接内置角色来划分的问题了。
个人觉得Nacos不要太臃肿了,简单高效就行,与Nacos之外的其他东西耦合越少越好, 所以简单的登录系统就行,甚至帐号密码就放配制文件,可以简单的配制下权限即可(权限配制文件复杂点没问题,毕竟Nacos用户都是技术人员)
在我眼中的Nacos 就是一个高效的配制中心/注册中心. 应该是其他使用它的系统是适应它,而不是它去适应其他
支持 LDAP ,类似 jenkins就行
先来个简单的用户、密码验证
分权限这个事应该比账号更急切,一旦可以分权限了,就可以把编辑权限分出去,管理员只做审核。否则编辑和审核都只能管理员做。
我觉得先来个简单的用户名、密码登陆就可以。默认一个admin管理用户,可以创建其他子用户,可以分配权限,毕竟有些配置的修改最好有权限。
权限系统比账号更重要吧。这样配置中心里,敏感级别高的配置就只能运维人员修改,业务逻辑变动频繁等敏感级别低的配置可以由开发人员自行修改。
提供权限必要的数据结构,关于Id,Name等信息及验证方式,提供接口让各个公司实现;或者提供callback url 对接Http接口。
我也觉得简单的支持下LDAP就够了,目前很多开源产品都是加入对LDAP的支持,不需要啥单独定制,一些简单的配置就够了
small starter up companies doesn't have LDAP :)
提供足够好用的OPEN API & SDK。更复杂的登录需求或者权限需求可以让用户自行扩展。
如果想进一步提升体验,减少重复造轮子,可以提供类似于Jenkins插件机制。鼓励社区贡献,一些通用好用的插件可以进入官方推荐。
插件+1
从源码上看到,openapi 有很多 , 基本上分为3类, 一种是console使用, 一种是给外部接入方直接使用,例如sdk, 一种是集群内部使用, 例如raft相关的api, 初期如果能适当地进行分类, 有针对地提供权限控制扩展点会很有用
eureka也没有权限,需要的就自己定制,毕竟权限管理说小可以小,说大可以很大,nacos只是一平台,但是权限往往设计到业务
翻了一下源码,nacos用的httpclient+httpurlconn混用的,不支持basic auth。意味着nginx basic自己玩的,需要改源码,并且这种工具类居然不通用,意味着,你得改好几个地方,还得确保没漏掉。而且源码里有个地方写死的isSSL=false,目测也不支持https双向认证。所以基于ssl的安全方案也没得整。意味着,千万别把nacos搞成公网可访问,即使局域网也需要注意局域网隔离。防止内网渗透
Nacos本身就不需要登陆验证系统了吧,专注于目标。最多的话就是主页拦截,跳转到某个地方验证通过后回调回来,根据返回的用户、角色登陆进去即可。至于具体的权限就由各业务方自己去实现吧,如果真的需要。
支持 LDAP & OAuth2,或者直接上 keycloak 的支持更加好
支持OpenID Connect,比如,Okta和keycloak
肯定是要做权限的,建议可以分应用,分模块,分组织架构.
我觉得最优先有一个登陆页面,用户密码就简单配置一下就行了。要不内网都不放心使用,万一谁使坏把数据都删除 了怎么办。
我想请问一下,现在默认的登录账号密码是什么啊?
我想请问一下,现在默认的登录账号密码是什么啊?
那问一下,啥时支持LDAP呀。
Most helpful comment
支持 LDAP 就已经可以了,类似 社区里面的 jenkins, gitlab, rancher 之类,都是优先支持 LDAP;
更重要的是,需要对 Nacos 现有的所有功能就行权限和角色的划分,是给到所有权限,让用户自己创建角色来划分,还是不开放权限,直接内置角色来划分的问题了。