笙亿网络策划

Nacos 权限控制 RBAC 模型如何配置角色限制服务注册权限?

约 6 分钟读完 29 阅
文章导读
在 Nacos 2.x 版本中,通过控制台或 API 创建角色并绑定写权限资源,可以限制特定用户只能注册指定的命名空间或服务。配置时需特别注意鉴权插件版本差异及 API 调用的鉴权方式。
📋 目录
  1. 快速处理思路
  2. 核心原理与版本差异
  3. 分步处理
  4. 怎么验证是否生效
  5. 常见坑
  6. 生产环境安全建议
  7. 参考来源
A A

在 Nacos 2.x 版本中,通过控制台或 API 创建角色并绑定写权限资源,可以限制特定用户只能注册指定的命名空间或服务。配置时需特别注意鉴权插件版本差异及 API 调用的鉴权方式。

先说结论:开启鉴权后,利用 RBAC 模型将用户的写权限限定在具体命名空间或服务名模式上,是实现服务注册隔离的标准做法。

  • 适合:多团队协作、需要隔离不同业务线注册权限的场景
  • 先准备:确认 Nacos 服务端已开启鉴权功能,且版本支持 RBAC(默认内置或已安装 auth 插件)
  • 验收:使用受限账号尝试注册未授权服务,确认返回 403 错误
  • 注意:API 调用需先获取 AccessToken,资源格式可能因鉴权插件版本不同而有差异

快速处理思路

配置主要通过 Nacos 控制台完成,自动化场景可调用 API。

控制台路径:登录控制台 -> 权限控制 -> 角色管理 -> 创建角色 -> 添加权限 -> 用户管理 -> 绑定角色。

API 示例:若需脚本化配置,需分两步:先登录获取 Token,再携带 Token 调用角色接口。

核心原理与版本差异

Nacos 的权限控制基于 RBAC(基于角色的访问控制)模型。系统不直接给用户分配权限,而是先定义“角色”,给角色分配“权限”,再将用户绑定到“角色”。

权限由资源(Resource)和动作(Action)组成。对于服务注册,关键动作是写(w),资源通常对应命名空间 ID、分组和服务名的组合。

版本差异提示:

  • 内置鉴权:资源格式通常为 namespaceId:group:service,支持通配符 *
  • 自定义插件:若使用了第三方 auth 插件,资源格式可能不同(如 namespaceId::*),请以实际插件文档为准。

分步处理

1. 确认鉴权已开启

检查服务端配置文件 application.properties,确保以下配置为 true:

nacos.core.auth.enabled=true

修改后需重启 Nacos 服务端生效。

2. 获取 API 访问 Token(自动化必备)

API 操作不再支持直接在参数中传递密码,需先登录获取 Token:

curl -X POST 'http://<nacos-ip>:8848/nacos/v1/auth/users/login' \
-d 'username=<admin_user>&password=<admin_password>'

响应中将包含 accessToken 字段,复制该值用于后续请求。

3. 创建角色与添加权限

在控制台“角色管理”中新建角色,例如 dev_writer。角色名建议体现用途,方便后续审计。

为该角色添加权限。资源字段支持通配符,格式通常为 命名空间 ID:分组名:服务名

  • 若限制特定命名空间:资源填 namespace_id:*:*(部分插件版本可能为 namespace_id::*
  • 若限制特定服务:资源填 namespace_id:group_name:service_name
  • 动作选择:w(写权限,包含注册、更新、删除)

4. 绑定用户

在“用户管理”中找到目标账号,将刚才创建的角色绑定给它。确保该用户没有同时绑定其他高权限角色(如 admin)。

Nacos 权限控制 RBAC 模型如何配置角色限制服务注册权限?

5. API 绑定角色示例

使用获取到的 Token 调用接口:

curl -X POST 'http://<nacos-ip>:8848/nacos/v1/auth/roles?role=dev_role&username=dev_user&namespaceId=public&resource=*&action=w' \
-H 'Authorization: Bearer <accessToken>'

怎么验证是否生效

1. 正常场景测试

使用受限账号登录客户端,注册授权范围内的服务,观察控制台是否显示成功,且无报错。

2. 越权场景测试

尝试注册未授权命名空间或服务名的服务。客户端日志应捕获到 403 Forbidden 错误,Nacos 服务端访问日志中也会记录拒绝信息。

3. 检查控制台

使用该账号登录 Nacos 控制台,查看服务列表,确认只能看到有读权限的命名空间和服务。

4. 缓存清除验证

若修改权限后未立即生效,请重启客户端应用或清除本地缓存文件,排除客户端缓存干扰。

常见坑

1. 命名空间 ID 混淆

权限配置中的资源通常使用命名空间 ID(如 public),而不是命名空间名称(如“公共空间”)。填写错误会导致权限不生效。

2. 默认 admin 账号干扰

默认账号 nacos/nacos 通常拥有所有权限。测试权限限制时,务必使用新建的普通账号,避免被默认账号的高权限干扰。

3. 通配符风险

资源字段使用 * 需谨慎。若配置为 *:*:*,相当于赋予所有命名空间的写权限,失去了隔离意义。建议最小化授权范围。

4. 客户端缓存延迟

部分 Nacos 客户端会缓存权限信息。修改权限后,若未立即生效,尝试重启客户端应用或清除本地缓存文件。

生产环境安全建议

  • 禁用默认密码:生产环境务必修改默认账号 nacos/nacos 的密码。
  • 最小权限原则:应用账号仅分配必要的写权限,避免赋予 admin 角色。
  • 定期审计:定期检查角色绑定关系,移除离职人员或废弃服务的权限。
  • Token 安全:API 调用获取的 AccessToken 具有时效性,不要在代码中硬编码长期有效的凭证。

参考来源

  • Nacos 官方文档 - 权限控制,URL: https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
  • Nacos GitHub Wiki - Auth Plugin,URL: https://github.com/alibaba/nacos/wiki/Auth-Plugin