如何在Nacos中开启并配置用户名密码认证

Nacos作为主流的服务注册与配置中心，广泛应用于微服务架构中。然而，默认情况下其鉴权功能处于关闭状态，存在严重的安全风险。本文将从基础配置到高级实践，系统性地阐述如何在Nacos中启用并配置基于用户名和密码的认证机制。

1. 理解Nacos默认安全机制

Nacos 2.x版本默认未开启身份验证（Authentication），所有用户均可无需登录访问控制台、读取配置或注册服务。这种模式适用于开发环境，但在生产环境中极易导致敏感信息泄露或恶意注册攻击。

开启鉴权的核心是启用Nacos的auth模块，并确保所有节点使用一致的安全策略。

2. 启用Auth模块：修改application.properties

进入Nacos安装目录下的conf/application.properties文件，添加以下配置项以开启认证：

### 开启鉴权
nacos.core.auth.enabled=true

### 设置默认Token Secret Key（必须设置，否则无法启动）
nacos.core.auth.default.token.secret.key=Base64-encoded-string-of-32+bytes

### 设置默认用户名和密码（用于首次登录）
nacos.core.auth.system.type=nacos
nacos.core.auth.server.identity=serverIdentity
nacos.core.auth.server.identity.value=secureValue
nacos.core.auth.plugin.nacos.token.expire.seconds=18000
    

其中，nacos.core.auth.default.token.secret.key需为一个Base64编码的32字节以上密钥，可通过如下命令生成：

openssl rand -base64 36

3. 配置默认管理员账户

Nacos不直接在application.properties中明文设置用户名密码，而是通过数据库初始化或API方式创建用户。但首次启动时可使用内置默认账号：

• 默认用户名： nacos
• 默认密码： nacos

该账户仅在embedded storage模式下有效；若使用MySQL存储，需确保users表中存在对应记录。

4. 集群环境下鉴权配置一致性保障

在多节点集群部署中，必须保证以下配置全局一致：

5. 使用API创建新用户并分配角色

可以通过Open API完成用户管理操作。例如，创建新用户的HTTP请求如下：

POST /nacos/v1/auth/users?username=newuser&password=SecurePass123
Host: your-nacos-server:8848
Authorization: Basic base64(nacos:nacos)

成功后，再为其分配角色：

POST /nacos/v1/auth/roles?username=newuser&role=ROLE_DEV
Authorization: Basic base64(nacos:nacos)

常见内置角色包括：ROLE_ADMIN, ROLE_READ_CONFIG, ROLE_WRITE_SERVICE等。

6. 控制台用户管理流程

登录Nacos控制台（http://ip:8848/nacos）后，进入【权限控制】→【用户列表】，可进行以下操作：

1. 新增用户：填写用户名、密码、确认密码
2. 绑定角色：选择预定义或自定义角色
3. 设置命名空间权限（通过“权限”菜单）

7. 常见配置错误及规避策略

实际部署中容易因配置不当引发问题：

• 问题1： 修改配置后无法登录 —— 检查token.secret.key是否正确且各节点一致
• 问题2： 集群节点间通信失败 —— 确保内部gRPC调用也携带合法Token（自动处理，但需时间同步）
• 问题3： MySQL模式下用户不存在 —— 手动插入users表或先用嵌入式模式初始化
• 问题4： API返回403 Forbidden —— 检查调用方是否提供正确的Basic Auth头

8. 安全增强建议

为进一步提升安全性，建议采取以下措施：

# 启用HTTPS（需配置application.properties）
server.ssl.enabled=true
server.ssl.key-store=classpath:keystore.jks
server.ssl.key-store-password=changeit

# 缩短Token有效期
nacos.core.auth.plugin.nacos.token.expire.seconds=3600

# 禁用默认账户
DELETE FROM users WHERE username = 'nacos';
    

9. 架构级鉴权集成方案（适用于大型系统）

对于企业级应用，可结合LDAP/OAuth2进行统一身份认证。Nacos支持扩展Auth Plugin机制，实现与外部IDP集成。

流程图如下：

10. 监控与审计日志配置

开启操作日志有助于追踪安全事件。在conf/nacos-logback.xml中启用相关logger：

<logger name="com.alibaba.nacos.core.auth" level="INFO"/>
<logger name="com.alibaba.nacos.console.controller.UserController" level="DEBUG"/>

日志输出示例：

2025-04-05 10:23:11 [AuthFilter] INFO  User 'admin' logged in from 192.168.1.100