Spring Boot 关闭 Actuator ，满足安全工具扫描

应用被安全工具，扫描出漏洞信息

【MSS】SpringBoot Actuator敏感接口未授权访问漏洞(Actuator)事件发现通告：
发现时间：2023-11-25 19:47:17
攻击时间：2023-11-25 18:56:44
事件/告警类型：非授权访问/权限绕过
告警设备：APT
攻击IP：xxx
被攻击IP/资产信息：xxx
告警描述：SpringBoot Actuator敏感接口未授权访问漏洞(Actuator) http://xxx/actuator/
优先级：三级（一般）
处置建议：关闭或限制Actuator端口的访问权限，或升级Spring Boot版本修复漏洞。

解决方案

方法1. 修改配置

management:
  server:
    port: -1  # 修改端口，跳过安全漏洞扫描
  endpoints:
    enabled-by-default: false #关闭监控
    web:
      exposure:
        include: '*' 

方法2. 添加访问权限

通过配置 Spring Security 来限制对 Actuator 端点的访问，只为了这一个需求，添加 Spring Security 感觉有些重

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/actuator/**").hasRole("ADMIN") // 设置只有具有 ADMIN 角色的用户可以访问 Actuator 端点
                .anyRequest().permitAll()
            .and()
            .httpBasic(); // 启用基本认证
    }
}