Actuator and Security

当配置服务器与 Actuator 端点（例如 /actuator/health）配置在同一个 URL 路径时，可能会泄露受保护的配置信息。原因是配置服务器可能不依赖 Actuator，导致对 Actuator 端点的请求与配置服务器的 API 相匹配（例如 /actuator/ 与 /config-server-api），从而授予对受保护信息的访问权限。解决方法是添加 Actuator 依赖项并配置用户，以确保对 Actuator 端点的调用者无权访问配置服务器 API。

某些平台会配置健康检查或类似的内容，并指向 /actuator/health 或其他执行器端点。如果执行器不是 Config Server 的依赖项，对 /actuator/ would match the config server API /{application}/{label} possibly leaking secure information. Remember to add the spring-boot-starter-actuator dependency in this case and configure the users such that the user that makes calls to /actuator/ 的请求将无法访问 /{application}/{label} 处的 Config Server API。