У меня установлен hawtio 2.1.0 для подключения к конечной точке jolokia, доступной через приложение весенней загрузки 2.0.5.
В моем приложении yaml содержится
management:
endpoints:
enabled-by-default: true
web:
exposure:
include: "jolokia"
jmx:
exposure:
exclude: "*"
endpoint:
jolokia:
enabled: true
config:
debug: true
Кроме того, у меня естьфильтр
@Configuration
public class ActuatorSecurity extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.requestMatchers(EndpointRequest.to(ShutdownEndpoint.class))
.hasRole("ADMIN")
.requestMatchers(EndpointRequest.to(HealthEndpoint.class, InfoEndpoint.class))
.permitAll()
.requestMatchers(EndpointRequest.toAnyEndpoint())
.fullyAuthenticated()
.and().httpBasic();
}
Когда я захожу в конечную точку привода jolokia в браузере, он корректно запрашивает мои учетные данные.Таким образом, используя этот метод, конечные точки защищены.
Когда я подключаюсь к конечной точке jolokia через веб-приложение hawt.io, мне не нужно предоставлять никаких учетных данных.Это не имеет значения, если hawt.io работает на удаленном компьютере или на локальной машине, на которой запущено приложение весенней загрузки.Hawt.io может получить всю информацию о MBean через jolokia.
Как это может быть?Hawt.io каким-то образом обходит защиту конечной точки привода jolokia.
Любые идеи, почему это так или как я могу защитить конечную точку привода jolokia, чтобы даже hawt.io запрашивал учетные данные?
Большое спасибо заранее!
Приветствия
Оливер