48. 通过 HTTP 进行监视和 Management

如果您正在开发 Spring MVC 应用程序，则 Spring Boot Actuator 将自动配置所有启用的端点以通过 HTTP 公开。默认约定是使用端点的id作为 URL 路径。例如，health被公开为/health。

48.1 访问敏感端点

默认情况下，所有敏感的 HTTP 端点都是安全的，因此只有具有ACTUATOR角色的用户才能访问它们。使用标准的HttpServletRequest.isUserInRole方法可以增强安全性。

如果要在防火墙后面部署应用程序，则可能希望可以在不进行身份验证的情况下访问所有 Actuator 端点。您可以通过更改management.security.enabled属性来实现：

application.properties.

management.security.enabled=false

如果要公开部署应用程序，则可能需要添加“ Spring Security”以处理用户身份验证。添加“ Spring Security”后，默认情况下，将使用用户名user和生成的密码(在应用程序启动时在控制台上打印)使用“基本”身份验证。

您可以使用 Spring 属性来更改用户名和密码，以及更改访问端点所需的安全角色。例如，您可以在application.properties中设置以下内容：

security.user.name=admin
security.user.password=secret
management.security.roles=SUPERUSER

如果您的应用程序具有定制的安全性配置，并且您希望所有 Actuator 端点都可以不经身份验证访问，则需要在安全性配置中显式配置它。除此之外，您需要将management.security.enabled属性更改为false。

如果您的自定义安全配置保护了您的 Actuator 端点，则还需要确保通过身份验证的用户具有在management.security.roles下指定的角色。

48.2 自定义 Management 端点路径

有时将所有 Management 端点分组在单个路径下很有用。例如，您的应用程序可能已经将/info用于其他用途。您可以使用management.context-path属性为您的 Management 端点设置前缀：

management.context-path=/manage

上面的application.properties示例会将端点从/{id}更改为/manage/{id}(例如/manage/info)。

您还可以更改端点的“ id”(使用endpoints.{name}.id)，然后更改 MVC 端点的默认资源路径。合法端点 ID 仅由字母数字字符组成(因为它们可以在很多地方公开，包括 JMX 对象名，在这些地方禁止使用特殊字符)。可以通过配置endpoints.{name}.path单独更改 MVC 路径，并且不对这些值进行验证(因此您可以在 URL 路径中使用合法的任何内容)。例如，要将/health端点的位置更改为/ping/me，可以设置endpoints.health.path=/ping/me。

48.3 自定义 Management 服务器端口

对于基于云的部署，使用默认的 HTTP 端口公开 Management 端点是明智的选择。但是，如果您的应用程序在自己的数据中心内运行，则您可能更愿意使用其他 HTTP 端口公开端点。

management.port属性可用于更改 HTTP 端口。

management.port=8081

由于您的 Management 端口通常受防火墙保护，并且不公开，因此即使主应用程序是安全的，您也可能不需要 Management 端点上的安全性。在这种情况下，您将在 Classpath 上具有 Spring Security，并且可以像这样禁用 Management 安全性：

management.security.enabled=false

(如果您在 Classpath 上没有 Spring Security，那么就不需要以这种方式显式禁用 Management 安全性，甚至可能破坏应用程序.)

48.4 配置特定于 Management 的 SSL

当配置为使用自定义端口时，还可以使用各种management.ssl.*属性将 Management 服务器配置为其自己的 SSL。例如，这允许 Management 服务器在主应用程序使用 HTTPS 时通过 HTTP 可用：

server.port=8443
server.ssl.enabled=true
server.ssl.key-store=classpath:store.jks
server.ssl.key-password=secret
management.port=8080
management.ssl.enabled=false

另外，主服务器和 Management 服务器都可以使用 SSL，但具有不同的密钥库：

server.port=8443
server.ssl.enabled=true
server.ssl.key-store=classpath:main.jks
server.ssl.key-password=secret
management.port=8080
management.ssl.enabled=true
management.ssl.key-store=classpath:management.jks
management.ssl.key-password=secret

48.5 自定义 Management 服务器地址

您可以通过设置management.address属性来自定义 Management 端点可用的地址。如果您仅想在内部或面向操作的网络上侦听，或者仅侦听来自localhost的连接，则此功能很有用。

这是一个application.properties的示例，该示例将不允许远程 Management 连接：

management.port=8081
management.address=127.0.0.1

48.6 禁用 HTTP 端点

如果您不想通过 HTTP 公开端点，则可以将 Management 端口设置为-1：

management.port=-1

48.7 HTTP 运行状况端点格式和访问限制

运行状况端点公开的信息取决于是否匿名访问以及封闭的应用程序是否安全而有所不同。默认情况下，当在安全应用程序中匿名访问时，有关服务器运行状况的任何详细信息都将被隐藏，并且端点将仅指示服务器是否处于运行状态。此外，响应被缓存了一段可配置的时间，以防止端点被用于拒绝服务攻击。 endpoints.health.time-to-live属性用于配置缓存周期(以毫秒为单位)。缺省值为 1000，即一秒。

samples 摘要 HTTP 响应(匿名请求的默认值)：

$ curl -i localhost:8080/health
HTTP/1.1 200
X-Application-Context: application
Content-Type: application/vnd.spring-boot.actuator.v1+json;charset=UTF-8
Content-Length: 15

{"status":"UP"}

状态为“ DOWN”(请注意 503 状态代码)的示例 HTTP 响应摘要：

$ curl -i localhost:8080/health
HTTP/1.1 503
X-Application-Context: application
Content-Type: application/vnd.spring-boot.actuator.v1+json;charset=UTF-8
Content-Length: 17

{"status":"DOWN"}

示例详细的 HTTP 响应：

$ curl -i localhost:8080/health
HTTP/1.1 200 OK
X-Application-Context: application
Content-Type: application/vnd.spring-boot.actuator.v1+json;charset=UTF-8
Content-Length: 221

{
  "status" : "UP",
  "diskSpace" : {
    "status" : "UP",
    "total" : 63251804160,
    "free" : 31316164608,
    "threshold" : 10485760
  },
  "db" : {
    "status" : "UP",
    "database" : "H2",
    "hello" : 1
  }
}

可以增强上述限制，从而仅允许经过身份验证的用户完全访问安全应用程序中的运行状况终结点。为此，请将endpoints.health.sensitive设置为true。这是行为的摘要(默认的sensitive标志值“ false”以粗体显示)：